Niemiecki producent oprogramowania antywirusowego Avira od wielu lat jest w czołówce najczęściej pobieranych darmowych aplikacji zabezpieczających, także i w Polsce. W swoich nowych produktach na ten rok zaimplementował nowe sygnatury do wykrywania wirusów pod nazwą VDF – Virus Definition File.
Zacznijmy może od początku i wyjaśnijmy czym są sygnatury wirusowe.
Na pewno wszystkim znana jest funkcja skanowania plików lub dysków lokalnych. Kiedyś wykrywanie wirusów było możliwe tylko dzięki lokalnym syganturom na dysku twardym użytkownika. Obecnie skanowie jest bardziej skomplikowaną procedurą i może odbywać się równocześnie z:
- analizą heurystyczną (statyczną lub dynamiczną) z odpowiednim klasyfikowaniem w locie współczynnika zagrożenia,
- wykluczeniem obiektów, które nie były modyfikowane od ostatniego skanowania bez zmiany parametrów skanowania,
- ze sprawdzaniem identyfikatorów systemu plików NTFS i poprzednio skanowanych obiektów,
- sprawdzeniem tylko pierwszych N (np. 32) bajtów pliku i porównaniem ich ze wzorcem w chmurze,
- i wiele innych w zależności od producenta i zastosowanych przez niego technologii
Wracając do standardowych sygnatur – skaner programu analizuje i sprawdza, czy plik nie zawiera wirusa. Tak jak wszystkie programy, wirusy składają się z kodu, a jego specjalny ciąg producenci rejestrują oraz dodają do sygnatur, czyli bazy wirusów. Sama sygnatura składa się z ciągu znaków np.
Jest to podstawowa i bezpieczna metoda EICAR. Po skopiowaniu tego wierszu do pliku tekstowego i zapisaniu go jako pliku o prawie dowolnym rozszerzeniu (lub nazwanie pliku tym ciągiem znaków) program antywirusowy uzna ten plik za wirusa, ponieważ ów testowy kod przechowywany jest w jego bazie sygnatur. Jeśli program nie wykryje fałszywego zagrożenia (a może się tak stać) nie należy się tym przejmować. Należy mieć świadomość, że producent w swoim programie mógł oznaczyć test EICAR jako bezpieczny, lub program domyślnie nie skanuje nieinfekowalnych rozszerzeń, więc antywirus nie podniesie alarmu.
Avira udoskonalając swoje standardowe sygnatury wprowadziła kilka zmian technologicznych i przypisała im nazwę VDF – Virus Detection File, co ma pozwolić na zwiększenie liczby defenicji wirusów, zoptymalizować ich prędkość pobierania, w efekcie ma to przyczynić się do:
- szybszego startu systemu,
- zmniejszenia rozmiary defenicji sygnatury,
- niższego zużycia zasobów przez aplikację antywirusową
W zalezności od producenta, zastosowane technologie do gromadzenia sygnatur mogą być różne.
Nowe zagrożenia pojawiają się codziennie, dlatego programy antywirusowe muszą o nich być informowane na bieżąco. Informacje o złośliwym oprogramowaniu do wykrycia przez Avirę sa zapisane w plikach VDF na chronionych urządzeniach końcowych. VDF oznacza plik deficicji wirusa – Virus Definition File. Pliki VDF tworzy laboratorium antywirusowe Aviry i są dostępne prawie we wszystkich rozwiązaniach niemieckiego producenta. Aktualizacja plików VDF są przeprowadzane regularnie kilka razy dziennie.
Obecnie koncepcja sygnatur VDF jest nadal w procesie kształtowania i modernizacji w celu zaadresowania większej ilości przestrzeni na informacje o wirusach, optymalizacji zużywania zasobów na chronionych komputerach oraz w celu przyspieszenia procesu aktualizacji. W przyszłości nowa generacja plików definicji wirusów będzie w stanie aktualizować się szybciej i z mniejszym rozmiarem.
Sygnatury nVDF i xVDF
Poprzednia generacja sygnatur VDF miała zawierała w nazwie przedrostek „nVDF” i zawierała 32 kontenery plików, które znajdowały się w tablicy statycznej. Oznacza to, że niektóre z przechowywanych danych VDF często były pobierane niepotrzebnie podczas procesu aktualizacji. Jednak pliki nVDF nie były doskonałe. Aby jeszcze bardziej zoptymalizować wykorzystywane zasoby, zmniejszyć i przyśpieszyć ilość pobieranych informacji, wprowadzono rozszerzenie nVDF – xVDF: e (x) tended Virus Definition File. Technologia xVDF jest odpowiedzią Aviry na stale rosnącą liczbę zagrożeń. Sygnatury xVDF zwiększają szybkość reagowania na wykrycie zagrożenia i zużywają mniej zasobów na komputerze.
Przypisy:
1. http://www.avira.com/en/support-vdf-update-info
2. http://www.avira.com/en/support-vdf-history
źródło: Avira, własne
