Антивирусная программа Finjan

Если вы не используете антивирусную программу, как вы собираетесь узнать, что электронное письмо содержит вирус? Не можете вы узнать. Без антивирусной программы никто не может определить безопасно ли письмо, тем более, что есть вирусы, запускающиеся просто при чтении получателем письма.

По этой причине каждый, даже те из нас, кто занимается бизнесом в сфере безопасности и отслеживает появление каждого нового вируса, должен иметь антивирусную программу. Эта программа не для того, чтобы неусыпно следить за всем и вся, она только выводит на экран все входящие данные для определения, не похожа ли совокупность их параметров на совокупность параметров известных вирусов.

Представим, что антивирусная программа — это рентгеновский аппарат в аэропорту. Каждый файл, сканируемый при загрузке в компьютер, — это чемодан. Антивирусная программа, сканируя файл, ищет известные вредоносные коды так же, как таможенник старается узнать в содержимом чемодана взрывчатку и оружие. В аэропорту приборы для поиска постоянно обновляются, и сейчас они уже способны найти новое оружие, сделанное из неметаллических материалов или выглядящее как другие вещи, чтобы миновать обнаружение. Как только власти обнаружат появление таких новых видов оружия, об этом сообщается всем таможенникам, чтобы они могли изменить порядок досмотра. И теперь они ищут новые виды оружия наряду со старыми «добрыми» пистолетами и ножами.

Антивирусные программы работают по такому же принципу. Когда вы, например, устанавливаете Norton, McAfee или Trend Micro, программа начинает работу с хранящейся в ней базой данных известных вирусов. «Антивирус» защищает вас от существующих вредоносных кодов или от любых вирусов, имеющих характеристики, похожие на характеристики известных вирусов. Тем не менее, если вирус новый и не был внесен в базу данных антивирусной программы, то антивирусная программа будет считать файл безопасным до тех пор, пока в «штаб-квартире» этой программы не внесут этот новый вирус в базу данных.

Не все антивирусные программы делают свое дело на основании цифровых подписей файлов, когда при сканировании ехе-файлов их отсутствие идентифицирует программу как вирус. Например, программа компании Finjan (http://www.finjan.com/) больше «смотрит» на поведение программы, чем на подписи. Программа считается предназначенной для взлома, когда она пытается сделать какое-либо изменение в Системном Реестре или удалить какой-либо фат и идентифицируется как использующая браузер или чтение электронной почты. Это общие признаки того, что вирус только что активирован. Преимущество подхода программы Finjan в том, что если вирус будет модифицирован или мутирует, он может быть пропущен антивирусными программами, о которых говорилось выше, но Finjan (теоретически) может его обнаружить.

Антивирусная программа Finjan предназначена преимущественно для больших компаний и сетей, поэтому это не самая подходящая программа для  содержания компьютера в безопасности домашним пользователем. Тем не менее, что ни концептуальная идея, то новый путь решения проблемы, а более традиционная антивирусная программа может со временем и перенять их стратегии защиты.