Πριν την εποχή του Internet, ο μόνος τρόπος να κολλήσουμε ιό ήταν από καμιά δισκέτα μου μας έδωσε ένας φίλος, ή αν ξέφευγε κανένας ιός στα CD των περιοδικών. Πλέον, όμως, ένα ενημερωμένο antivirus είναι απαραίτητο σε κάθε εγκατάσταση Windows. Στον οδηγό αυτό θα δούμε πώς λειτουργεί το antivirus.
Προτάσεις συνεργασίας
Τα νέα άρθρα του PCsteps
Γίνε VIP μέλος στο PCSteps
Στον οδηγό χρησιμοποιούμε το Avast Antivirus, που είναι ένα από τα καλύτερα δωρεάν antivirus, και επιπλέον έχει πλήρως εξελληνισμένο περιβάλλον.
Προστασία σε πραγματικό χρόνο
To antivirus είναι μία από τις ελάχιστες εφαρμογές – αν όχι η μόνη – που είναι απαραίτητο να ξεκινάει αυτόματα μαζί με τα Windows, και να παραμένει ενεργή για όση ώρα είναι ανοιχτός ο υπολογιστής.
Κάθε εφαρμογή του είδους έχει μια λειτουργία προστασίας σε πραγματικό χρόνο, ελέγχοντας άμεσα οποιοδήποτε αρχείο χρησιμοποιούμε.
Τη λειτουργία αυτή θα τη συναντήσουμε ως ενεργή προστασία, real-time protection, real-time shield, on-access scanning, background scanning, resident scanning, ή με κάποιο παρόμοιο όνομα, αναλόγως του antivirus.
Η “υπογραφή” κάθε ιού
Κάθε antivirus διαθέτει μια βάση δεδομένων γεμάτη με τα χαρακτηριστικά του κώδικα εκατομμυρίων ιών, worms, trojans, και άλλων τύπων malware. Τα χαρακτηριστικά αυτά ονομάζονται “υπογραφές ιών” (virus definitions).
Κάθε αρχείο που ελέγχει το πρόγραμμα, ουσιαστικά διαβάζει τον κώδικά του, και ψάχνει να βρει αν περιέχει ίχνη από τις υπογραφές ιών που το antivirus ήδη γνωρίζει.
Επειδή εκατοντάδες νέοι ή παραλλαγμένοι ιοί κυκλοφορούν κάθε μέρα, είναι πολύ σημαντικό το antivirus να είναι συνδεδεμένο στο Internet, για να κατεβάσει τις νεότερες ενημερώσεις όσον αφορά τις υπογραφές ιών.
Αν το antivirus δεν είναι ενημερωμένο, είναι θέμα χρόνου να βρεθεί κάποιος νέος ιός που ο κώδικάς του να μην ταιριάζει με καμία από τις γνωστές υπογραφές, και να περάσει ανενόχλητος στο σύστημά μας.
Τα Heuristics των αρχείων
Για να αποφευχθεί αυτό το ενδεχόμενο, κάθε antivirus διαθέτει έναν έλεγχο όσον αφορά τα “heuristics” των αρχείων.
Ουσιαστικά ο έλεγχος αυτός ανιχνεύει τον κώδικα για ύποπτες συμπεριφορές ακόμη κι αν δεν ταυτίζεται με τον κώδικα κάποιων από τα γνωστά malware με βάση τις υπογραφές.
Για παράδειγμα, αν ένα αρχείο που τρέχει επιχειρεί να ανοίξει κάθε αρχείο .exe στο σύστημά μας και να αντιγράψει τον κώδικά του σε αυτό, ε, δεν είναι και η πιο φυσιολογική συμπεριφορά.
Το πρόβλημα με τα heuristics είναι πως αν είναι πολύ ελαστικά, υπάρχει κίνδυνος να περάσουν malware στο σύστημά μας.
Αν όμως είναι πολύ αυστηρά, τότε ασφαλή αρχεία μπορούν να παρεξηγηθούν ως μολυσμένα, κάτι που αναφέρεται ως false positive ή ψευδής συναγερμός.
Πότε γίνεται ο έλεγχος των αρχείων
Για να ελέγξει το antivirus ένα αρχείο, δεν είναι απαραίτητο να το τρέξουμε.
Ο έλεγχος από το real time protection γίνεται σε κάθε αλληλεπίδραση που έχουμε με το αρχείο, είτε αν το κατεβάζουμε από το Internet, είτε όταν το μετακινήσουμε, το αντιγράψουμε κλπ.
Εκτός από τα αρχεία που είναι τα ίδια επικίνδυνα με βάση την κατάληξή τους, το antivirus ελέγχει και αρχεία που μπορεί να περιέχουν malware, όπως συμπιεσμένους φακέλους .zip, ή ακόμη και μολυσμένα αρχεία word.
Το μειονέκτημα του real time scanning
Ενώ το real time scanning είναι ο ακούραστος σωματοφύλακας του συστήματός μας, το μειονέκτημά του είναι πως χρησιμοποιεί πόρους του συστήματος.
Τα καλά νέα είναι πως οι εταιρείες του είδους προσπαθούν σε γενικές γραμμές να κρατούν ελαφριά τα προγράμματά τους, και αν έχουμε ένα σύγχρονο υπολογιστή, η επιβάρυνση δεν θα είναι καν ορατή.
Τώρα, αν ο υπολογιστής μας δεν είναι ό,τι πιο καινούριο…
…η καλύτερη επιλογή είναι να αντικαταστήσουμε τα Windows με κάποια διανομή Linux, που είναι ελαφριά και δεν χρειάζεται καθόλου antivirus.
Χειροκίνητος έλεγχος του συστήματος
Εκτός από την αυτόματη προστασία σε πραγματικό χρόνο, τα περισσότερα προγράμματα μας δίνουν τη δυνατότητα να ξεκινήσουμε έναν χειροκίνητο πλήρη έλεγχο.
Ο έλεγχος αυτός ελέγχει ακριβώς τα ίδια χαρακτηριστικά και heuristics με το real time scan, μόνο που γίνεται μαζικά στα αρχεία του συστήματος, και όχι μόνο σε αυτά που χρησιμοποιούμε.
Ο χειροκίνητος έλεγχος μπορεί να είναι “γρήγορος”, ελέγχοντας μόνο τα ζωτικά αρχεία του συστήματος και τις εφαρμογές που τρέχουν ήδη στη μνήμη…
…είτε μπορούμε να κάνουμε έναν πλήρη έλεγχο του συστήματος, ο οποίος θα εξετάσει όλα τα αρχεία στον δίσκο ή τους δίσκους.
Όπως καταλαβαίνετε, ο πλήρης έλεγχος μπορεί να είναι εξαιρετικά χρονοβόρος αν έχουμε πολλά αρχεία…
…και επιπλέον καταναλώνει σημαντικούς πόρους του συστήματος και επιβαρύνει σε μεγάλο βαθμό τη λειτουργία του υπολογιστή μας.
Η βασική χρησιμότητα του πλήρους ελέγχου είναι, αμέσως μετά την εγκατάσταση του Antivirus, να βεβαιωθούμε πως όλα τα αρχεία που είχαμε ήδη στον υπολογιστή μας ήταν ασφαλή.
Από εκεί και πέρα, εφόσον όλα τα νέα αρχεία ελέγχονται σε πραγματικό χρόνο, το να τρέξουμε χειροκίνητα ένα πλήρη έλεγχο δεν είναι ιδιαίτερα απαραίτητο. Μια φορά στις δύο εβδομάδες ή και μια φορά το μήνα είναι αρκετή.
Εδώ είναι που θα μας βοηθήσει η δυνατότητα προγραμματισμού του ελέγχου, ώστε να μην χρειάζεται να τον έχουμε στο νου μας.
Φυσικά, ο χειροκίνητος έλεγχος είναι εξαιρετικά χρήσιμος αν θέλουμε να ελέγξουμε έναν εξωτερικό σκληρό δίσκο ή το δίσκο ενός άλλου υπολογιστή για malware.
Χειροκίνητο update
Όπως προαναφέραμε, είναι απαραίτητο το antivirus να κατεβάζει περιοδικά τις τελευταίες ενημερώσεις για τις νεότερες υπογραφές ιών.
Τα δωρεάν προγράμματα συνήθως ελέγχουν για virus definitions μία φορά την ημέρα, ενώ τα πληρωμένα μπορεί να ελέγχουν αρκετά συχνότερα, κάθε 3-4 ώρες.
Αν θέλουμε, όμως, μπορούμε να ζητήσουμε και χειροκίνητα ένα update, ιδιαίτερα αν πρόκειται να τρέξουμε ένα αρχείο που μας φαίνεται ύποπτο.
Επίσης χρειάζεται πολύ μεγάλη προσοχή αν για κάποιο λόγο αποτύχει η ενημέρωση, και συνεχίζει να αποτυγχάνει απανωτά.
Πολλά από τα χειρότερα malware, αν καταφέρουν και εγκατασταθούν στο σύστημα, είναι προγραμματισμένα να μπλοκάρουν την πρόσβαση στους servers για τις νεότερες ενημερώσεις που θα μπορούσαν να τα αντιμετωπίσουν.
Αντιμετώπιση μολυσμένων αρχείων
Τα περισσότερα antivirus, μόλις εντοπίζουν ένα μολυσμένο αρχείο, επιχειρούν να το καθαρίσουν, και αν αποτύχουν το μεταφέρουν αυτόματα στην “καραντίνα” (quarantine), που αλλιώς θα τη συναντήσουμε και ως “κιβώτιο ιών” (virus vault).
Από εδώ μπορούμε να διαγράψουμε οριστικά κάποιο αρχείο, ή, αν έχει αποδειχτεί εσφαλμένος ο χαρακτηρισμός του ως επικίνδυνο, να το επαναφέρουμε.
Λάθος διαγνώσεις
Όπως και με τα ιατρικά λάθη, οι λάθος διαγνώσεις στο antivirus, όσο κι αν μας ανησυχούν, είναι μια πραγματικότητα.
Μάλιστα, σοβαρές περιπτώσεις καταλήγουν στις ειδήσεις, όπως όταν ένα λάθος update του AVG κατέληγε να κάνει τόση ζημιά στα Windows 7 64bit που δεν φόρτωνε καν το λειτουργικό σύστημα.
Αν λοιπόν το πρόγραμμα υποστηρίζει πως ένα αρχείο είναι μολυσμένο ενώ εμείς πιστεύουμε πως είναι ασφαλές, η καλύτερη λύση είναι να χρησιμοποιήσουμε μια υπηρεσία όπως το VirusTotal, που ελέγχει το αρχείο με 52 διαφορετικά antivirus.
Αν μόνο ένα ή δύο από αυτά βλέπουν το αρχείο ως μολυσμένο, το πιθανότερο είναι πως είναι ασφαλές.
(ειδικά το Qihoo-360 βγάζει συχνά false positives).
Υπάρχει το τέλειο antivirus?
Όσο κι αν προσπαθεί η κάθε εταιρεία να προλάβει όλες τις πιθανές μολύνσεις, δεν υπάρχει κανένα antivirus που να είναι εντελώς απροσπέλαστο.
Το μόνο που μπορούμε να κάνουμε είναι να εγκαταστήσουμε ένα από τα antivirus με τις καλύτερες βαθμολογίες σε δοκιμές ανεξάρτητων εργαστηρίων.
Σε κάθε περίπτωση, όμως, η ισχυρότερη προστασία από ιούς είναι η κοινή λογική.
Αν μια ιστοσελίδα με δωρεάν ταινίες μας ζητάει να κατεβάσουμε ένα αρχείο .exe για να δούμε την ταινία, ή να κάνουμε μια δήθεν αναβάθμιση στον Flash Player, δεν χρειάζεται διδακτορικό στην επιστήμη των υπολογιστών για να γνωρίζουμε πως πρέπει να την αποφύγουμε.
Το ίδιο κι αν μας έρθει ξαφνικά ένα μήνυμα στο facebook με ένα συνημμένο αρχείο που δεν περιμέναμε, πιθανώς από ένα άτομο με το οποίο δεν πολυμιλούσαμε.
Συνδυάζοντας ένα ενημερωμένο antivirus με την κοινή λογική να μην τρέχουμε άκριτα οτιδήποτε μας στέλνεται από το Internet, η ασφάλεια του συστήματός μας είναι λίγο-πολύ εγγυημένη.
