نرم‌افزار ضدویروس

اگرچه ریشه‌های ویروس رایانه به اوایل سال ۱۹۴۹ بر می‌گردد، هنگامی که دانشمند مجارستانی جان فون نویمن «تئوری اتوماتیک تولید مثل خود» را منتشر کرد، اولین ویروس شناخته شده رایانه ای در سال ۱۹۷۱ ظاهر شد و لقب «ویروس خزنده» را داشت. این ویروس رایانه ای رایانه‌های اصلی شرکت تجهیزات دیجیتال (DECPDP-10)را که سیستم عامل TENEX را اجرا می‌کنند آلوده کرده‌است.

سرانجام ویروس Creeper توسط برنامه ای ساخته شده توسط ری Tomlinson و معروف به "The Reaper" حذف شد. برخی افراد "The Reaper" را به عنوان اولین نرم‌افزار ضد ویروس که تاکنون نگاشته شده می‌دانند - شاید به همین خاطر باشد، اما مهم است که توجه داشته باشید که Reaper در واقع یک ویروس بود که به‌طور خاص برای از بین بردن ویروس Creeper طراحی شده بود.

ویروس Creeper توسط چندین ویروس دیگر دنبال شد. اولین شناخته شده‌ای که «در طبیعت» ظاهر شد «الک کلونر» بود، در سال ۱۹۸۱، که کامپیوترهای اپل II را آلوده کرد.

در سال ۱۹۸۳ اصطلاح "ویروس رایانه ای" توسط فرد کوهن در یکی از اولین مقالات آکادمیک منتشر شده در مورد ویروس‌های رایانه ابداع شد. کوهن از اصطلاح "ویروس رایانه ای" برای توصیف برنامه ای استفاده کرد که: "سایر برنامه‌های رایانه ای را با تغییر دادن آنها به گونه ای تحت تأثیر قرار دهید که یک نسخه از آن را شامل کند (احتمالاً تکامل یافته)." (توجه داشته باشید که تعریف جدیدتر و دقیق تر از ویروس رایانه توسط محقق امنیتی مجارستان، پتر سزار ارائه شده‌است: "کدی که به صورت بازگشتی نسخه ای از احتمالاً تکامل یافته از خود را تکرار می‌کند").

اولین ویروس رایانه ای IBM که در «ویروس وحشی» سازگار است و یکی از اولین آلودگی‌های گسترده، «مغز» در سال ۱۹۸۶ بود. از آن زمان، تعداد ویروس‌ها بصورت نمایی افزایش یافته‌است. بیشتر ویروس‌های رایانه ای که در اوایل و اواسط دهه ۱۹۸۰ نوشته شده‌اند محدود به تولید مثل خود بوده‌اند و هیچ روال خاصی برای وارد شدن به کد ندارند. این تغییر هنگامی رخ داد که بیشتر و بیشتر برنامه نویسان با برنامه‌نویسی ویروس رایانه آشنا شدند و ویروس‌هایی را ایجاد کردند که داده‌های رایانه‌های آلوده را دستکاری یا حتی از بین می‌برد.

قبل از گسترش اینترنت، ویروس‌های رایانه ای معمولاً توسط دیسک‌های آلوده پخش می‌شدند. نرم‌افزار آنتی‌ویروس مورد استفاده قرار گرفت، اما به ندرت به روز می‌شود. در طی این مدت، ویروس‌های ویروس اساساً مجبور بودند پرونده‌های اجرایی و بخش‌های بوت فلاپی دیسک‌ها و دیسک‌های سخت را بررسی کنند. با این حال، به عنوان استفاده از اینترنت رایج شد، ویروس‌ها شروع به گسترش آنلاین.

ادعاهای رقابتی برای مبتکر اولین محصول ضد ویروس وجود دارد. احتمالاً، نخستین ویرایش مستند عمومی که ویروس رایانه ای "in the wild" (یعنی "ویروس وین") توسط Bernd Fix در سال ۱۹۸۷ انجام شده‌است.

در سال ۱۹۸۷، آندریاس لونینگ و کای فیگ که در سال ۱۹۸۵ نرم‌افزار G Data را تأسیس کردند، اولین محصول ضد ویروس خود را برای پلت فرم Atari ST منتشر کردند. در سال ۱۹۸۷، Ultimate Virus Killer)UVK) نیز منتشر شد. این قاتل استاندارد صنعتی de facto برای Atari ST و Atari Falcon بود که آخرین نسخه آن (نسخه ۹٫۰) در آوریل ۲۰۰۴ منتشر شد. در سال ۱۹۸۷، در ایالات متحده، جان مک آفی شرکت مک آفی را تأسیس کرد (بخشی از Intel Security) و در پایان همان سال، وی نسخه اول VirusScan را منتشر کرد. همچنین در سال ۱۹۸۷ (در چکسلواکی)، پیتر پائکو، رودولف هروبی و میروسلاو ترنکا نسخه اول آنتی‌ویروس NOD را ایجاد کردند.

در سال ۱۹۸۷، فرد کوهن نوشت که هیچ الگوریتمی وجود ندارد که بتواند تمام ویروسهای رایانه ای را کاملاً تشخیص دهد.

سرانجام، در اواخر سال ۱۹۸۷، دو ابزار ضد ویروس اکتشافی اول منتشر شد: Flushot Plus توسط Ross Greenberg و Anti4us توسط اروین لانتینگ. راجر گریمز در کتاب O'Reilly خود با عنوان کد مخرب تلفن همراه: محافظت از ویروس برای ویندوز، Flushot Plus را به عنوان "اولین برنامه جامع برای مقابله با کد تلفن همراه مخرب (MMC)" توصیف کرد.

با این حال، نوع اکتشافی مورد استفاده موتورهای اولیه AV کاملاً متفاوت از مدلهای امروزی بود. اولین محصول با یک موتور اکتشافی شبیه به موتورهای مدرن F-PROT در سال ۱۹۹۱ بود. موتورهای اولیه اکتشافی مبتنی بر تقسیم باینری در بخش‌های مختلف بودند: بخش داده‌ها، بخش کد (در یک باینری مشروع، معمولاً همیشه از همان مکان شروع می‌شود). . در واقع، ویروس‌های اولیه طرح بخش‌ها را مجدداً سازماندهی کرده یا به قسمت اصلی بخش بازنویسی می‌کنند تا به همان انتهای پرونده که کد مخرب در آن قرار داشت، پرش کرده و تنها به بازگشت از اجرای کد اصلی بپردازند. این یک الگوی بسیار خاص بود، در آن زمان توسط هیچ نرم‌افزاری قانونی استفاده نمی‌شد، که نشانگر یک اکتشافی ظریف برای گرفتن کد مشکوک بود. انواع دیگری از اکتشاف پیشرفته تر بعداً اضافه شد، مانند نام بخش مشکوک، اندازه نادرست هدر، عبارات منظم و تطبیق الگوی جزئی در حافظه.

در سال ۱۹۸۸، رشد شرکتهای آنتی‌ویروس ادامه یافت. در آلمان، Tjark Auerbach آویرا (H + BEDV را در آن زمان) تأسیس کرد و اولین نسخه آنتی‌ویروس را منتشر کرد (در آن زمان با نام "لوک Filewalker"). در بلغارستان، وسلین بونتچف اولین برنامه آنتی‌ویروس رایگان خود را منتشر کرد (وی بعداً به نرم‌افزار FRISK پیوست). همچنین Frans Veldman نسخه اول آنتی‌ویروس ThunderByte، همچنین با نام TBAV را منتشر کرد (وی شرکت خود را در سال ۱۹۹۸ به Norman Safeground فروخت). در چکسلواکی، پاول باودیو و ادوارد کوچرا شروع به تعجب کردند! (در آن زمان نرم‌افزار ALWIL) و اولین نسخه خود را از avast منتشر کرد! آنتی‌ویروس در ژوئن ۱۹۸۸، در کره جنوبی، Ahn Cheol-Soo اولین نرم‌افزار آنتی‌ویروس خود را با نام V1 منتشر کرد (او AhnLab را بعداً در ۱۹۹۵ تأسیس کرد). سرانجام، در پاییز ۱۹۸۸، در پادشاهی انگلستان، آلن سلیمان S&S International را تأسیس کرد و ابزار ضد ویروس دکتر سلیمان را ایجاد کرد (اگرچه او آن را تنها در سال ۱۹۹۱ به صورت تجاری راه اندازی کرد - در سال ۱۹۹۸ شرکت سلیمان توسط مک آفی خریداری شد). در نوامبر ۱۹۸۸، استاد دانشگاه Panamerican در مکزیکوسیتی به نام Alejandro E. Carriles از اولین نرم‌افزار آنتی‌ویروس در مکزیک تحت عنوان "بایت ماتابیچوس" (بایت بوگکیلر) برای کمک به حل آلودگی ویروس شایع در بین دانشجویان استفاده کرد.

همچنین در سال ۱۹۸۸، لیست پستی به نام VIRUS-L در شبکه BITNET / EARN که ویروس‌های جدید و امکان شناسایی و از بین بردن ویروس‌ها مورد بحث قرار گرفت، آغاز شد. برخی از اعضای این لیست پستی عبارت بودند از: آلن سلیمان، یوجین کسپرسکی (آزمایشگاه کسپرسکی)، Friðrik Skúlason (نرم‌افزار FRISK)، جان مک آفی (مک آفی)، لوئیس کورونز (پاندا امنیتی)، میککو هیپونن (F-Secure) , Pter Szőr , Tjark Auerbach (Avira) و Vesselin Bontchev (نرم‌افزار FRISK).

در سال ۱۹۸۹، در ایسلند، Friðrik Skúlason اولین نسخه ضد ویروس F-PROT را در سال ۱۹۸۹ ایجاد کرد (او نرم‌افزار FRISK را فقط در سال ۱۹۹۳ تأسیس کرد). در همین حال، در ایالات متحده، Symantec (در سال ۱۹۸۲ توسط گری هندریکس تأسیس شد) اولین آنتی‌ویروس Symantec خود را برای Macintosh)SAM) راه اندازی کرد. SAM 2.0 که در مارس ۱۹۹۰ منتشر شد، این فناوری را در اختیار کاربران قرار می‌دهد تا بتوانند SAM را به راحتی بروزرسانی کرده و ویروس‌های جدید را از بین ببرند، از جمله بسیاری از آنها که در زمان انتشار برنامه وجود نداشت.

در پایان دهه ۱۹۸۰، در انگلستان، جان هروسکا و پیتر لمر شرکت امنیتی سوفوس را تأسیس کردند و اولین محصولات ضد ویروس و رمزگذاری خود را آغاز کردند. در همان دوره، در مجارستان، VirusBuster نیز تأسیس شد (که اخیراً توسط Sophos در آن گنجانیده شده‌است).

در سال ۱۹۹۰، در اسپانیا، میکل اوریزارارارنا Panda Security (آن زمان نرم‌افزار پاندا) را تأسیس کرد. در مجارستان، محقق امنیتی پتر سزار نسخه اول آنتی‌ویروس پاستور را منتشر کرد. در ایتالیا، Gianfranco Tonello نسخه اول آنتی‌ویروس VirIT eXplorer را ایجاد کرد، سپس یک سال بعد TG Soft را تأسیس کرد.

در سال ۱۹۹۰، سازمان تحقیقات آنتی‌ویروس رایانه ای (CARO) تأسیس شد. در سال ۱۹۹۱، CARO «طرح نامگذاری ویروس» را منتشر کرد، که در ابتدا توسط Friðrik Skúlason و Vesselin Bontchev نوشته شده‌است. اگرچه این طرح نامگذاری اکنون منسوخ شده‌است، اما این تنها استاندارد موجود است که اغلب شرکت‌های امنیتی رایانه و محققان تاکنون سعی در اتخاذ آن داشته‌اند. اعضای CARO شامل: آلن سلیمان، کاستین رایو، دیمیتری گریازنوف، یوجین کسپرسکی، فریریک اسکلاسون، ایگور موتویک، میکوکو هیپپنن، مورتون شناگر، نیک فیتز جرالد، پیجت پترسون، پیتر فرری، ریگارد زویننبرگ و وسلیننتونت

در سال ۱۹۹۱، در ایالات متحده، Symantec نسخه اول Norton AntiVirus را منتشر کرد. در همان سال، در جمهوری چک، جان گریتباخ و تامو هوفر AVG Technologies را تأسیس کردند (در آن زمان Grisoft)، اگرچه آنها اولین نسخه از گارد ضد ویروس خود (AVG) را فقط در سال ۱۹۹۲ منتشر کردند. از طرف دیگر، در فنلاند، F-Secure (در سال ۱۹۸۸ توسط پتری آلاس و ریستو سییلاسما - با نام Data Fellows تأسیس شد) اولین نسخه از آنتی‌ویروس خود را منتشر کرد. F-Secure ادعا می‌کند که اولین آنتی‌ویروس است که حضور در شبکه جهانی وب را تأسیس می‌کند.

در سال ۱۹۹۱، مؤسسه اروپایی تحقیقات آنتی‌ویروس رایانه ای (EICAR) برای تحقیقات بیشتر در مورد آنتی‌ویروس و بهبود پیشرفت نرم‌افزار آنتی‌ویروس تأسیس شد.

در سال ۱۹۹۲، در روسیه، ایگور دانیلوف اولین نسخه SpiderWeb را منتشر کرد که بعداً به دکتر وب تبدیل شد.

در سال ۱۹۹۴، AV-TEST گزارش داد که ۲۸۶۱۳ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.

با گذشت زمان شرکت‌های دیگری تأسیس شدند. در سال ۱۹۹۶، در رومانی، Bitdefender تأسیس شد و اولین نسخه آنتی‌ویروس eXpert (AVX) را منتشر کرد. در سال ۱۹۹۷، در روسیه، یوجین کسپرسکی و ناتالیا کسپرسکی شرکت امنیتی Kaspersky Lab را تأسیس کردند.

در سال ۱۹۹۶، اولین ویروس لینوکس "در وحشی" نیز وجود داشت که با نام "Staog" شناخته می‌شد.

در سال ۱۹۹۹، AV-TEST گزارش داد که ۹۸۴۲۸ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.

در سال ۲۰۰۰، Rainer Link و Howard Fuhs اولین موتور آنتی‌ویروس منبع باز را بنام OpenAntivirus Project راه اندازی کردند.

در سال ۲۰۰۱، Tomasz Kojm اولین نسخه ClamAV را منتشر کرد، اولین موتور آنتی‌ویروس منبع باز است که به بازار عرضه می‌شود. در سال ۲۰۰۷، ClamAV توسط Sourcefire خریداری شد که به نوبه خود در سال ۲۰۱۳ توسط سیسکو سیستم خریداری شد.

در سال ۲۰۰۲، در انگلستان، Morten Lund و Theis Søndergaard با تأسیس شرکت ضد ویروس BullGuard تأسیس کردند.

در سال ۲۰۰۵، AV-TEST گزارش داد که ۳۳۳٬۴۲۵ نمونه بدافزار منحصر به فرد (بر اساس MD5) در پایگاه داده آنها وجود دارد.

در سال ۲۰۰۷، AV-TEST تعداد ۵٬۴۹۰٬۹۶۰ نمونه بدافزار جدید (بر اساس MD5) را فقط برای آن سال گزارش داد. در سال ۲۰۱۲ و ۲۰۱۳ ، آنتی‌ویروس‌ها گزارش کردند که نمونه بدافزارهای جدید بین ۳۰۰۰۰۰ تا بیش از ۵۰۰۰۰۰ در روز است.

با گذشت سالها، لازم است نرم‌افزار آنتی‌ویروس از چندین استراتژی مختلف (مانند ایمیل خاص و حفاظت از شبکه یا ماژول‌های سطح پایین) و الگوریتم‌های تشخیص استفاده و همچنین بررسی انواع فایلی بجای فقط اجرایی به دلایل مختلف استفاده کند.

• ماکروهای قدرتمند مورد استفاده در برنامه‌های پردازشگر کلمه، مانند مایکروسافت ورد، خطری را ایجاد می‌کردند. نویسندگان ویروس می‌توانند از ماکروها برای نوشتن ویروس‌های موجود در اسناد استفاده کنند. این بدان معنی است که کامپیوترها می‌توانند با باز کردن اسناد با ماکروهای پنهان مخفی، در معرض خطر عفونت قرار بگیرند.
• امکان جاسازی اشیاء اجرایی در فرمت‌های پرونده غیر عملی در غیر این صورت می‌تواند باعث باز شدن این پرونده‌ها شود.
• برنامه‌های ایمیل بعدی، به ویژه Outlook Express و Outlook مایکروسافت، در برابر ویروس‌های جاسازی شده در بدن ایمیل آسیب‌پذیر بودند. با باز کردن یا پیش نمایش پیام، می‌توانید یک کامپیوتر کاربر آلوده شود.

در سال ۲۰۰۵، F-Secure اولین شرکت امنیتی بود که یک فناوری Anti-Rootkit ایجاد کرد، به نام بلک لایت.

از آنجا که بیشتر کاربران معمولاً به‌طور مداوم به اینترنت متصل هستند، جان اوبرهید برای اولین بار یک طرح ضد ویروس مبتنی بر ابر را در سال ۲۰۰۸ پیشنهاد داد.

در فوریه سال ۲۰۰۸ آزمایشگاه‌های مک آفی اولین عملکرد ضد ویروس مبتنی بر ابر را در صنعت تحت نام Artemis به VirusScan اضافه کردند. این آزمایش توسط AV-Comparatives در فوریه ۲۰۰۸ مورد آزمایش قرار گرفت و بطور رسمی در اوت ۲۰۰۸ در McAfee VirusScan رونمایی شد.

Cloud AV مشکلاتی را برای آزمایش مقایسه ای نرم‌افزارهای امنیتی ایجاد کرد - بخشی از تعاریف AV از کنترل تسترها (روی سرورهای شرکت AV که به‌طور مداوم به روز می‌شوند) نتیجه ای غیرقابل تکرار می‌داد. در نتیجه، سازمان معیارهای تست ضد بدافزار (AMTSO) شروع به کار بر روی روش آزمایش محصولات ابری کرد که در ۷ مه ۲۰۰۹ پذیرفته شد.

در سال ۲۰۱۱، AVG سرویس ابری مشابه را با نام Protective Cloud Technology معرفی کرد.

پس از انتشار گزارش APT 1 از Mandiant در سال ۲۰۱۳، این صنعت شاهد تغییر رویکردهای کمتر امضایی برای مسئله ای است که قادر به شناسایی و کاهش حملات صفر روز است. رویکردهای بی شماری برای پرداختن به این اشکال جدید تهدیدات از جمله تشخیص رفتاری، هوش مصنوعی، یادگیری ماشین و منفجر شدن پرونده مبتنی بر ابر ظاهر شده‌است. به گفته گارتنر، پیش‌بینی می‌شود ظهور ورودی‌های جدید، از جمله Carbon Black , Cylance و Crowdstrike، شرکت کنندگان EPP را به مرحله جدیدی از نوآوری و کسب مجبور کند. یک روش از Bromium شامل میکرو مجازی سازی برای محافظت از رومیزی در برابر اجرای کد مخرب است که توسط کاربر نهایی آغاز می‌شود. رویکرد دیگر SentinelOne و Carbon Black بر ایجاد تشخیص رفتاری با ایجاد زمینه ای کامل در هر مسیر اجرای فرایند در زمان واقعی متمرکز است، در حالی که سیلانوس از مدل هوش مصنوعی مبتنی بر یادگیری ماشین استفاده می‌کند. به‌طور فزاینده، این رویکردهای کمتر امضا توسط رسانه‌ها و بنگاه‌های تحلیلی به عنوان آنتی‌ویروس «نسل بعدی» تعریف شده‌اند و شاهد تصویب سریع بازار به عنوان فن آوری‌های معتبر جایگزینی ضد ویروس توسط شرکت‌هایی مانند Coalfire و DirectDefense هستند. در پاسخ، فروشندگان آنتی‌ویروس‌های سنتی مانند Trend Micro , Symantec و Sophos با درج پیشنهادهای «نسل بعدی» در پرتفوی خود پاسخ داده‌اند زیرا شرکت‌های تحلیلگر مانند فارستر و گارتنر آنتی‌ویروس‌های سنتی مبتنی بر امضاها را «ناکارآمد» و «منسوخ» خوانده‌اند.[2]

نرم‌افزار آنتی‌ویروس سنتی برای شناسایی بدافزار به شدت به امضاها متکی است.

به‌طور اساسی، هنگامی که یک بدافزار به دست یک شرکت آنتی‌ویروس می‌رسد، توسط محققان بدافزار یا سیستم‌های آنالیز پویا آنالیز می‌شود. سپس، پس از مشخص شدن بدافزار، امضای مناسب فایل استخراج شده و به پایگاه داده امضاهای نرم‌افزار آنتی‌ویروس اضافه می‌شود.

اگرچه رویکرد مبتنی بر امضا می‌تواند حاوی شیوع بدافزارها باشد، اما نویسندگان بدافزار سعی کرده‌اند با نوشتن "oligomorphic" , "polymorphic" و اخیراً ویروسهای "دگردیسی"، که بخشی از خود را رمزگذاری می‌کنند، قدم جلوتر از چنین نرم‌افزاری بمانند. خود را به عنوان روشی برای مبدل اصلاح کنید تا امضای ویروس در فرهنگ لغت مطابقت نداشته باشد.

بسیاری از ویروس‌ها به عنوان یک عفونت واحد شروع می‌شوند و از طریق جهش یا اصلاح توسط مهاجمان دیگر، می‌توانند به ده‌ها سویه کمی متفاوت، به نام انواع مختلف تبدیل شوند. تشخیص عمومی به تشخیص و رفع تهدیدات متعدد با استفاده از یک تعریف ویروس واحد اشاره دارد.

به عنوان مثال، تروجان Vundo بسته به طبقه‌بندی فروشنده آنتی‌ویروس، دارای چندین عضو خانواده است. Symantec اعضای خانواده Vundo را به دو دسته مجزا، Trojan.Vundo و Trojan.Vundo.B طبقه‌بندی می‌کند.

در حالی که ممکن است شناسایی یک ویروس خاص سودمند باشد، اما می‌توان خانواده ویروس را از طریق امضای عمومی یا از طریق یک مسابقه غیرمستقیم به یک امضای موجود سریعتر تشخیص داد. محققان ویروس مناطق مشترکی را پیدا می‌کنند که همه ویروس‌های یک خانواده به‌طور منحصر به فرد در آن سهیم هستند و بنابراین می‌توانند یک امضای عمومی مشترک ایجاد کنند. این امضاها غالباً حاوی کد غیرهمگرا هستند و از شخصیت‌های کارت ویزیت که در آن اختلافات وجود دارد استفاده می‌کنند. این کارتهای وحشی به اسکنر این امکان را می‌دهد تا ویروس‌ها را حتی اگر با کد اضافی و بی‌معنی خالی باشد شناسایی کند. گفته می‌شود تشخیصی که از این روش استفاده می‌کند «کشف اکتشافی» است.

نرم‌افزار ضد ویروس می‌تواند برای اسکن کردن rootkits اقدام کند. rootkit نوعی نرم‌افزار مخرب است که برای بدست آوردن کنترل سطح اداری بر روی یک سیستم رایانه ای بدون اینکه شناسایی شود، طراحی شده‌است. Rootkits می‌تواند نحوه عملکرد سیستم عامل را تغییر دهد و در برخی موارد می‌تواند با برنامه ضد ویروس دستکاری کرده و آن را ناکارآمد کند. حذف Rootkits نیز دشوار است، در بعضی موارد نیاز به نصب مجدد کامل سیستم عامل است.

محافظت در زمان واقعی، اسکن از دسترسی، محافظ پس زمینه، سپر ساکن، محافظت از خودکار و سایر مترادف‌ها به حفاظت خودکار ارائه شده توسط اکثر آنتی‌ویروس‌ها، ضد جاسوس افزارها و سایر برنامه‌های ضد بدافزار اشاره دارد. این سیستم سیستم‌های رایانه ای را برای فعالیت‌های مشکوک مانند ویروس‌های رایانه ای، نرم‌افزارهای جاسوسی، نرم‌افزارهای تبلیغاتی مزاحم و سایر اشیاء مخرب در «زمان واقعی» نظارت می‌کند، به عبارت دیگر در حالی که داده‌های موجود در حافظه فعال رایانه: هنگام وارد کردن CD، باز کردن ایمیل یا مرور وب یا هنگامی که یک پرونده در رایانه باز یا اجرا شده‌است.[3]

برخی از موافقت نامه‌های مجوز کاربر نهایی نرم‌افزار ضد ویروس شامل بندهایی هستند که اشتراک به‌طور خودکار تمدید می‌شود و کارت اعتباری خریدار به صورت خودکار در زمان تمدید بدون تأیید صریح صورتحساب می‌شود. به عنوان مثال، مک آفی از کاربران می‌خواهد حداقل ۶۰ روز قبل از انقضاء اشتراک فعلی، اشتراک خود را لغو کنند در حالی که BitDefender 30 روز قبل از تمدید، اعلان‌هایی را برای لغو اشتراک در این زمینه ارسال می‌کند. Norton AntiVirus همچنین اشتراک‌ها را بصورت پیش فرض به‌طور خودکار تجدید می‌کند.

برخی از برنامه‌های آنتی‌ویروس آشکار در واقع تروجان به عنوان یک نرم‌افزار مجاز، مانند WinFixer , MS Antivirus و Mac Defender در معرض خطر قرار دارند.

«نادرست مثبت» یا «هشدار کاذب» وقتی است که نرم‌افزار آنتی‌ویروس یک پرونده غیر مخرب را به عنوان بدافزار شناسایی می‌کند. وقتی این اتفاق بیفتد، می‌تواند مشکلات جدی ایجاد کند. به عنوان مثال، اگر یک برنامه آنتی‌ویروس پیکربندی شده‌است که بلافاصله پرونده‌های آلوده را حذف یا قرنطینه کند، همان‌طور که در برنامه‌های آنتی‌ویروس مایکروسافت ویندوز معمول است، یک مثبت کاذب در یک فایل ضروری می‌تواند سیستم عامل ویندوز یا برخی برنامه‌ها را غیرقابل استفاده کند. بازیابی چنین آسیب‌هایی در زیرساخت‌های نرم‌افزاری بحرانی، هزینه‌های پشتیبانی فنی را متحمل می‌شود و شرکت‌ها می‌توانند مجبور به بستن شوند در حالی که اقدامات درمانی انجام شده‌است.

نمونه‌هایی از موارد مثبت مثبت:

• مه ۲۰۰۷: امضای ویروس معیوب صادر شده توسط Symantec به اشتباه اشتباه پرونده‌های سیستم عامل اصلی را حذف کرد، و هزاران رایانه شخصی را قادر به راه اندازی نکرد.
• مه ۲۰۰۷: پرونده اجرایی مورد نیاز Pegasus Mail در ویندوز توسط نورتون آنتی‌ویروس به عنوان یک تروجان به اشتباه تشخیص داده شد و به‌طور خودکار حذف شد، و مانع از اجرای Pegasus Mail شد. Norton AntiVirus سه نسخه منتشر شده از Pegasus Mail را بدرستی شناسایی کرده بود و پرونده نصب Pegasus Mail را در صورت وقوع حذف می‌کند. در پاسخ به این ایمیل Pegasus اظهار داشت:

بر این اساس که Norton / Symantec این کار را برای هر یک از سه نسخه آخر Pegasus Mail انجام داده‌است، ما فقط می‌توانیم این محصول را به عنوان استفاده بیش از حد بی عیب و نقص محکوم کنیم و با قوی‌ترین توصیه توصیه می‌کنیم که کاربران ما استفاده از آن را به نفع جایگزین متوقف کنند. بسته‌های ضد ویروس با حشره کمتری

• آوریل ۲۰۱۰: McAfee VirusScan svchost.exe، یک باینری معمولی ویندوز، را به عنوان ویروس روی دستگاه‌های دارای Windows XP با Service Pack 3 شناسایی کرد و باعث یک حلقه راه اندازی مجدد و از دست رفتن دسترسی به شبکه شد.
  

  آنتی‌ویروس مک آفی
• دسامبر ۲۰۱۰: به روزرسانی معیوب در مجموعه ضد ویروس AVG، نسخه‌های ۶۴ بیتی ویندوز ۷ را خراب کرد و به دلیل داشتن یک حلقه بوت بی پایان ایجاد شده، قادر به بوت شدن نیست.
• اکتبر 2011: Microsoft Security Essentials (MSE) مرورگر وب Google Chrome را رقیب اینترنت اکسپلورر خود مایکروسافت کرد. MSE از Chrome به عنوان یک تروجان بانکی Zbot پرچم گذاری کرد.
• سپتامبر ۲۰۱۲: مجموعه ضد ویروس Sophos سازوکارهای مختلف بروزرسانی، از جمله نوع خود، را به عنوان بدافزار شناسایی کرد. اگر پیکربندی شده بود که به‌طور خودکار پرونده‌های شناسایی شده را حذف کندlll, Sophos Antivirus می‌تواند خود را قادر به به روزرسانی نکند، برای رفع مشکل نیاز به مداخله دستی دارد.
• سپتامبر ۲۰۱۷: آنتی‌ویروس Google Play Protect شناسایی برنامه Moto G4 Bluetooth Motorola به عنوان بدافزار را آغاز کرد و باعث می‌شود عملکرد بلوتوث غیرفعال شود.

اجرای (محافظت در زمان واقعی) چندین برنامه آنتی‌ویروس به‌طور همزمان می‌تواند عملکرد را کاهش داده و درگیری ایجاد کند. با این حال، با استفاده از یک مفهوم به نام multiscanning، چندین شرکت (از جمله نرم‌افزار G Data و Microsoft) برنامه‌هایی ایجاد کرده‌اند که می‌توانند همزمان چندین موتور را اجرا کنند.

بعضی اوقات لازم است هنگام نصب به روزرسانی‌های اصلی مانند Windows Service Pack یا به روزرسانی درایورهای کارت گرافیک، محافظت از ویروس را به‌طور موقت غیرفعال کنید. محافظت از آنتی‌ویروس فعال ممکن است تا حدی یا کاملاً مانع از نصب یک بروزرسانی بزرگ شود. نرم‌افزار ضد ویروس می‌تواند هنگام نصب یک سیستم عامل ارتقاء سیستم عامل، به عنوان مثال مشکلاتی ایجاد کند. هنگام به روزرسانی به نسخه جدید Windows «در محل» - با پاک کردن نسخه قبلی ویندوز. مایکروسافت توصیه می‌کند تا نرم‌افزار ضد ویروس غیرفعال شود تا از درگیری با روند نصب به روزرسانی جلوگیری کند. نرم‌افزار ضد ویروس فعال همچنین می‌تواند در فرایند بروزرسانی سیستم عامل اختلال ایجاد کند.

عملکرد چند برنامه رایانه ای را می‌توان با نرم‌افزار فعال ضد ویروس مختل کرد. به عنوان مثال، TrueCrypt، یک برنامه رمزگذاری دیسک، در صفحه عیب‌یابی خود اعلام می‌کند که برنامه‌های ضد ویروس می‌توانند با TrueCrypt در تضاد بوده و باعث نقص آن شوند یا بسیار کند عمل کنند. نرم‌افزار ضد ویروس می‌تواند عملکرد و پایداری بازی‌های در حال اجرا در سکوی Steam را مختل کند.

مشکلات پشتیبانی همچنین در مورد قابلیت همکاری برنامه آنتی‌ویروس با راه حل‌های رایج مانند دسترسی از راه دور SSL VPN و محصولات کنترل دسترسی به شبکه وجود دارد. این راه حل‌های فناوری اغلب دارای برنامه‌های ارزیابی سیاست هستند که به نصب و راه اندازی آنتی‌ویروس به روز نیاز دارند. اگر برنامه آنتی‌ویروس با ارزیابی خط مشی شناخته نشود، چه بخاطر اینکه برنامه آنتی‌ویروس به روز شده باشد یا بخاطر اینکه جزئی از کتابخانه ارزیابی خط مشی نیست، کاربر قادر به اتصال نخواهد بود.

مطالعات انجام شده در دسامبر ۲۰۰۷ نشان داد که کارایی نرم‌افزار آنتی‌ویروس در سال گذشته کاهش یافته‌است، به ویژه در مقابل حملات ناشناخته یا صفر روز. مجله رایانه متوجه نشده‌است که میزان ردیابی این تهدیدات از ۴۰–۵۰٪ در سال ۲۰۰۶ به ۲۰ تا ۳۰٪ در سال ۲۰۰۷ کاهش یافته‌است. در آن زمان، تنها استثنا آنتی‌ویروس NOD32 بود، که میزان تشخیص آن ۶۸٪ بود. . براساس وب سایت ردیاب ZeuS، میانگین میزان ردیابی برای انواع مختلف تروجان مشهور ZeuS به میزان ۴۰ درصد است.

مشکل با تغییر هدف نویسندگان ویروس بزرگتر می‌شود. چند سال پیش واضح بود که عفونت ویروس وجود دارد. در آن زمان، ویروس‌ها توسط آماتورها نوشته شده و رفتارهای مخرب یا پاپ آپ‌ها را به نمایش می‌گذاشتند. ویروس‌های مدرن اغلب توسط متخصصان نوشته می‌شوند، که توسط سازمان‌های جنایی تأمین می‌شوند.

در سال ۲۰۰۸، اوا چن، مدیرعامل Trend Micro اظهار داشت که صنعت ضد ویروس بیش از حد کاربرد محصولات خود را افزایش داده و سالهاست که مشتریان را گمراه کرده‌است.

آزمایش مستقل در تمام اسکنرهای اصلی ویروس به‌طور مداوم نشان می‌دهد که هیچ‌یک تشخیص ۱۰۰٪ ویروس را ارائه نمی‌دهند. بهترین آنهایی که تشخیص ۹۹٫۹٪ در موقعیت‌های شبیه‌سازی شده در دنیای واقعی داشتند، در حالی که کمترین آن ۹۱٫۱٪ را در تست‌های انجام شده در اوت ۲۰۱۳ انجام داده‌است. بسیاری از اسکنرهای ویروس نتایج مثبت کاذب و همچنین شناسایی پرونده‌های خوش‌خیم را به عنوان بدافزار ارائه می‌دهند.

اگرچه این روشها ممکن است متفاوت باشند، برخی از آژانس‌های تست کیفیت قابل توجه مستقل شامل AV-Comparatives، آزمایشگاه‌های ICSA، آزمایشگاه‌های ساحل غربی، بولتن ویروس، AV-TEST و سایر اعضای سازمان استاندارد تست‌های ضد بدافزار هستند.

برنامه‌های ضد ویروس همیشه در برابر ویروس‌های جدید مؤثر نیستند، حتی آنهایی که از روش‌های غیر امضایی استفاده می‌کنند که باید ویروس‌های جدید را تشخیص دهند. دلیل این امر این است که طراحان ویروس ویروس‌های جدید خود را بر روی برنامه‌های اصلی ضد ویروس آزمایش می‌کنند تا مطمئن شوند که قبل از رها شدن آنها به سمت وحشی شناسایی نشده‌اند.

برخی از ویروس‌های جدید، به ویژه باج افزار، از کد چندشکلی استفاده می‌کنند تا از شناسایی اسکنرهای ویروس جلوگیری کنند. جروم سگورا، یک تحلیلگر امنیتی با ParetoLogic، توضیح داد:

این چیزی است که آنها زمان زیادی را از دست می‌دهند، زیرا این نوع [ویروس ransomware] از سایت‌هایی تهیه می‌شود که از پلی مورفیسم استفاده می‌کنند، به این معنی که آنها اساساً پرونده ای را که برای شما ارسال می‌کنند تصادفی می‌کنند و به راحتی توسط آنتی‌ویروس‌های معروف شناخته می‌شوند. من دیده‌ام که مردم دست اول آلوده می‌شوند، همه پاپ آپ می‌کنند و هنوز نرم‌افزار آنتی‌ویروس در حال اجرا هستند و چیزی را کشف نمی‌کنند. در واقع خلاص شدن از این نیز می‌تواند بسیار سخت باشد و هرگز مطمئن نیستید که واقعاً از بین رفته‌است. وقتی چیزی شبیه به آن را می‌بینیم، معمولاً توصیه می‌کنیم سیستم عامل را مجدداً نصب کنید یا از پشتیبان‌گیری مجدداً نصب کنید.

اثبات ویروس مفهومی از واحد پردازش گرافیک (GPU) برای جلوگیری از شناسایی نرم‌افزارهای ضد ویروس استفاده کرده‌است. موفقیت احتمالی این امر شامل دور زدن CPU به منظور آن است که محققان امنیتی بتوانند عملکرد داخلی چنین بدافزارها را تجزیه و تحلیل کنند.

تشخیص ریشه‌ها یک چالش مهم برای برنامه‌های ضد ویروس است. Rootkits دسترسی کامل به رایانه دارند و برای کاربران نامرئی هستند و از لیست فرآیندهای در حال اجرا در مدیر وظیفه مخفی هستند. Rootkits می‌تواند عملکرد داخلی سیستم عامل را تغییر داده و برنامه‌های آنتی‌ویروس را دستکاری کند.

اگر یک فایل به ویروس رایانه ای آلوده شده باشد، نرم‌افزار ضد ویروس سعی خواهد کرد تا هنگام ضد عفونی کردن، ویروس کد را از پرونده خارج کند، اما همیشه نمی‌تواند پرونده را به وضعیت آسیب دیده خود برگرداند. در چنین شرایطی، پرونده‌های آسیب دیده فقط می‌توانند از پشتیبان‌گیری‌های موجود یا کپی‌های سایه بازیابی شوند (این مورد در مورد باج افزار نیز صادق است)؛ نرم‌افزار نصب شده آسیب دیده نیاز به نصب مجدد دارد (با این وجود، به پرونده فایل سیستم مراجعه کنید).

هر سیستم عامل قابل نوشتن در رایانه می‌تواند توسط کد مخرب آلوده شود. این یک نگرانی عمده است، زیرا یک بایوس آلوده آلوده می‌تواند برای اطمینان از حذف کامل کد مخرب، نیاز به تراشه واقعی BIOS داشته باشد. نرم‌افزار ضد ویروس در محافظت از سیستم عامل و BIOS مادربرد از عفونت مؤثر نیست. در سال ۲۰۱۴، محققان امنیتی دریافتند که دستگاه‌های USB حاوی سیستم عامل قابل ویرایش هستند که می‌توانند با کد مخرب (با نام "BadUSB") اصلاح شوند، که هیچ ضد ویروسی قادر به شناسایی یا جلوگیری از آن نیست. کد مخرب می‌تواند بر روی کامپیوتر غیرقابل اجرا باشد و حتی می‌تواند سیستم عامل را قبل از بوت شدن آلوده کند.

فایروال‌های شبکه از دسترسی برنامه‌ها و فرآیندهای ناشناخته به سیستم جلوگیری می‌کنند. با این حال، آنها سیستم‌های ضد ویروس نیستند و هیچ تلاشی برای شناسایی یا حذف هر چیزی نمی‌کنند. آنها ممکن است در مقابل آلودگی از خارج از رایانه یا شبکه محافظت شده محافظت کنند، و فعالیتهای نرم‌افزاری مخرب موجود را با مسدود کردن درخواستهای ورودی یا خروجی در پورت‌های TCP / IP خاص محدود کنند. یک فایروال برای مقابله با تهدیدهای گسترده‌تر سیستم که از اتصالات شبکه به سیستم وارد می‌شوند طراحی شده‌است و جایگزینی برای سیستم حفاظت از ویروس نیست.

آنتی‌ویروس Cloud یک فناوری است که از نرم‌افزار عامل سبک‌وزن بر روی رایانه محافظت شده استفاده می‌کند، در حالی که اکثر تجزیه و تحلیل داده‌ها را به زیرساخت ارائه دهنده بارگذاری می‌کند.

یک روش برای اجرای آنتی‌ویروس ابری شامل اسکن پرونده‌های مشکوک با استفاده از چندین موتور آنتی‌ویروس است. این روش با اجرای اولیه مفهوم آنتی‌ویروس ابری به نام CloudAV پیشنهاد شده‌است. CloudAV برای ارسال برنامه‌ها یا اسناد به ابر شبکه طراحی شده‌است که در آن از چندین آنتی‌ویروس و برنامه‌های تشخیص رفتاری به‌طور همزمان به منظور بهبود نرخ تشخیص استفاده می‌شود. اسکن موازی پرونده‌ها با استفاده از اسکنرهای آنتی‌ویروس بالقوه ناسازگار با تخم ریزی یک ماشین مجازی در هر موتور شناسایی و در نتیجه رفع هرگونه مشکل احتمالی حاصل می‌شود. CloudAV همچنین می‌تواند «شناسایی گذشته نگر» را انجام دهد، به موجب آن موتور تشخیص ابر هنگام شناسایی یک تهدید جدید، کلیه پرونده‌های موجود در تاریخ دسترسی به پرونده خود را نجات می‌دهد، بنابراین سرعت جدید شناسایی تهدید را بهبود می‌بخشد. سرانجام، CloudAV راه حلی برای اسکن ویروس‌های مؤثر در دستگاه‌هایی است که فاقد قدرت محاسباتی برای انجام خود اسکن‌ها هستند.

برخی از نمونه محصولات ضد ویروس ابر عبارتند از: Panda Cloud Antivirus , Crowdstrike , Cb Defense و Immunet. گروه Comodo همچنین ضد ویروس مبتنی بر ابر تولید کرده‌است.

برخی از فروشندگان آنتی‌ویروس وب سایتهایی را با قابلیت اسکن آنلاین رایگان از کل رایانه، فقط مناطق بحرانی، دیسک‌های محلی، پوشه‌ها یا پرونده‌ها حفظ می‌کنند. اسکن آنلاین دوره ای ایده خوبی برای کسانی است که برنامه‌های آنتی‌ویروس را در رایانه‌های خود اجرا می‌کنند زیرا این برنامه‌ها برای گرفتن تهدیدات بسیار کند هستند. یکی از اولین کارهایی که نرم‌افزارهای مخرب در هنگام حمله انجام می‌دهند غیرفعال کردن هرگونه نرم‌افزار ضد ویروس موجود است و گاهی اوقات تنها راه اطلاع از حمله، روی آوردن به یک منبع آنلاین است که بر روی کامپیوتر آلوده نصب نشده‌است.

ابزارهای حذف ویروس برای کمک به از بین بردن عفونت‌های سرسختانه یا انواع خاصی از عفونت در دسترس هستند. به عنوان مثال می‌توان به Avast Free Anti-Malware، ابزار حذف نرم‌افزارهای مخرب رایگان AVG و ابزار حذف Avira AntiVir اشاره کرد. همچنین شایان ذکر است که گاهی اوقات نرم‌افزار آنتی‌ویروس می‌تواند نتیجه مثبت کاذب ایجاد کند و نشان دهنده عفونت در جایی که وجود ندارد.

دیسک نجات قابل بوت شدن، مانند CD یا دستگاه ذخیره‌سازی USB، می‌تواند برای اجرای نرم‌افزار آنتی‌ویروس در خارج از سیستم عامل نصب شده، به منظور از بین بردن عفونت‌ها در حالی که خفته هستند، استفاده شود. یک دیسک ضد ویروس قابل بوت می‌تواند زمانی مفید باشد که به عنوان مثال، سیستم عامل نصب شده دیگر قابل راه اندازی نباشد یا دارای بدافزار باشد که در برابر تمام تلاش برای حذف توسط نرم‌افزار آنتی‌ویروس نصب شده مقاومت می‌کند. نمونه‌هایی از برخی از این دیسک‌های قابل بوت شامل CD Bitdefender Rescue , Kaspersky Rescue Disk 2018 و Windows Defender Offline (از زمان بروزرسانی سالگرد در ویندوز ۱۰). بسیاری از نرم‌افزارهای Rescue CD را می‌توان روی دستگاه ذخیره USB نیز نصب کرد، که در رایانه‌های جدید قابل بوت شدن است.[4]