Antywirus

Oprogramowanie wykrywające, blokujące i usuwające złośliwe programy na podstawie sygnatur oraz analizy zachowania. Podstawowa warstwa ochrony urządzeń.

Antywirus to oprogramowanie, którego zadaniem jest wykrywanie, blokowanie i usuwanie złośliwego kodu (tzw. malware) z komputera, telefonu czy serwera. Mimo nazwy nie zajmuje się już tylko klasycznymi wirusami — chroni również przed trojanami, robakami, ransomware, spyware czy keyloggerami. Dlatego nowoczesne pakiety coraz częściej nazywa się antimalware albo EPP (Endpoint Protection Platform).

Jak to działa

Antywirus łączy kilka metod naraz. Najstarsza to wykrywanie sygnaturowe: program porównuje pliki z bazą znanych „odcisków palca” złośliwego kodu (hashe, charakterystyczne fragmenty). Szybkie i pewne, ale bezużyteczne wobec nowego, jeszcze nieskatalogowanego malware. Dlatego dochodzą metody heurystyczne (szukanie podejrzanych cech w kodzie) oraz behawioralne — silnik obserwuje, co program faktycznie robi. Jeśli świeżo pobrany plik nagle zaczyna szyfrować Twoje dokumenty i kasować kopie w tle, antywirus może go ubić, nawet bez żadnej sygnatury.

Do tego dochodzi ochrona w czasie rzeczywistym (on-access scanning) — skaner siedzi w tle i sprawdza każdy plik w momencie otwarcia lub zapisu — oraz analiza w chmurze, gdzie podejrzane próbki trafiają do sandboxa i są uruchamiane w izolacji.

Przykład z praktyki

Na Windowsie domyślnie działa Microsoft Defender i dla większości użytkowników w zupełności wystarcza. Możesz nim sterować z linii poleceń przez PowerShell. Szybki skan z konsoli:

Start-MpScan -ScanType QuickScan

A status silnika i datę ostatniej aktualizacji sygnatur sprawdzisz tak:

Get-MpComputerStatus

Na Linuksie popularny jest open-source’owy ClamAV — często stawiany na serwerach pocztowych, żeby skanować załączniki. Skan katalogu domowego: clamscan -r /home.

Częste błędy i mity

  • „Mam antywirus, więc jestem bezpieczny” — to złudzenie. Żaden silnik nie łapie 100% zagrożeń, zwłaszcza ataków zero-day i phishingu. Antywirus to jedna warstwa, nie cała obrona.
  • Dwa antywirusy = dwa razy lepiej — nie. Dwa skanery działające w czasie rzeczywistym walczą o te same pliki, zżerają wydajność i wzajemnie blokują sobie kwarantannę.
  • Nieaktualizowane bazy — antywirus bez świeżych sygnatur i silnika jest wart tyle, co kłódka bez pałąka. Aktualizacje muszą działać automatycznie.
  • Wyłączanie skanera „bo zwalnia” — klasyk, który kończy się szyfrowaniem dysku przez ransomware.

Pojęcia powiązane: malware, ransomware, sygnatura, heurystyka, sandbox, EDR (Endpoint Detection and Response), firewall, kwarantanna, fałszywy alarm (false positive), zero-day.