Часто возникает путаница между эвристическим анализом и тем, что обычно называют «эвристическим вирусом». Эвристика более точно описывается как эвристический анализ – метод, в котором обнаруживается опасный код. Термин «эвристический вирус» часто вводит в заблуждение.

Хотя термин «эвристический вирус» можно связать с методом обнаружения вредоносного кода, он лучше подходит для описания конкретного вируса Heur.Invader – вредоносной программы, предназначенной для изменения системных настроек.

Эвристический анализ – это адаптивная антивирусная защита, которая обнаруживает вредоносный код с помощью обоснованных догадок. Необходимость в ручном обзоре снижает масштабируемость такого типа анализа, поскольку методы являются менее точными. Машинное обучение ввели в антивирусное программное обеспечение. Благодаря автоматизации большинства процессов и ручному анализу для непрерывного улучшения уровня обнаружения в оставшихся случаях, антивирусное программное обеспечение становится более эффективным, обеспечивая практически нулевой риск заражения вредоносными программами, построенными на основе файлов.

Эвристика: подход к обнаружению или вирус?

Обычно эвристика используется в антивирусном программном обеспечении наряду со сканирующими решениями для того, чтобы найти вредоносный код на вашем компьютере. То, что можно назвать “эвристическим вирусом”, - это обнаружение возможных вредоносных программ, троянов или других угроз. Это предварительное предупреждение может появиться в сканировании как “HEUR” и должно рассматриваться как подозрительный код для дальнейшей проверки.


Эвристический анализ позволяет обнаружить потенциальные вирусы без необходимости их специальной идентификации. Этот процесс является гибким и постоянно совершенствуется по мере обнаружения угроз. Чем дольше он работает, тем более эффективным и действенным он становится. К сожалению, эвристический анализ является трудоемким, и он часто приводит к ложным срабатываниям, которые необходимо проверять вручную.

Что такое эвристический анализ?

Эвристический анализ основан на нескольких методах. Эти методы исследуют исходные коды файлов и сопоставляют их с ранее обнаруженными угрозами. В зависимости от пропорции совпадения система найдет вероятность угрозы и «пометит» код, который, вероятно, является вредоносным.

Эвристический анализ использует ряд методов для анализа поведения угроз и их уровня опасности, в том числе:

  • Динамическое сканирование: анализ поведения файла в моделируемой среде.
  • Файловый анализ: анализ цели файла, направлений его действия и предназначения.
  • Мультикритериальный анализ (MCA): анализ «веса» потенциальной угрозы.

Эвристические вирусные сканеры используют эти методы анализа для обнаружения вирусов внутри кода.

Эвристическое обнаружение вирусов

Сигнатурное обнаружение и песочница используются с эвристическим обнаружением вирусов для достижения наиболее эффективных результатов.


Эвристическое обнаружение может определить, что код представляет угрозу, если программа:
  • Остается после выполнения своих задач.
  • Пытается записать на диск.
  • Изменяет необходимые для операционной системы файлы.
  • Имитирует известное вредоносное ПО.

Эвристическое сканирование

Настройка уровня чувствительности в рамках эвристических сканирований определяет уровень допуска подозрительных файлов. При повышенном уровне чувствительности существует более высокий уровень защиты, но также и более высокий риск ложных срабатываний.

Включите эвристическое сканирование и выберите уровни его чувствительности с помощью следующих шагов:

1.       Откройте настройки в главном окне программы.

2.       Настройте опции сканирования в разделе, связанном с проверками (сканированиями).

3.       Включите опцию эвристического сканирования.

4.       Чтобы изменить уровень чувствительности, выберите в настройках один из доступных уровней.

Как избавиться от эвристического вируса?

Удаленный сервер управляет вирусом Heur.Invader. При удалении вируса Heur.Invader используйте антивирусное программное обеспечение для запуска полного сканирования в безопасном режиме. Удалите угрозу с Вашего компьютера, как только она будет обнаружена.


Эта критическая угроза может отключить антивирусное программное обеспечение, установить вредоносные программы, собрать конфиденциальную информацию и изменить параметры безопасности. Для удаления Heur.Invader всегда загружайте компьютер в безопасном режиме. При этом компьютер запускается только с необходимыми драйверами и службами и не загружает вирус, который может привести к отключению антивирусного программного обеспечения.

1.       Загрузите компьютер в безопасном режиме.

2.       Запустите как обычно полную проверку в вашем антивирусе

3.       Как только сканирование найдет вредоносный код, проверьте этот элемент вручную (вдруг это известный вам файл и произошло ложное срабатывание).

4.       Удалите вредоносный код.

Таким образом, эвристический анализ обнаруживает несоответствия в приложении. Такой метод обнаружения может быть найден в большинстве антивирусных программ. Однако недостатком эвристического обнаружения является необходимость проверки вручную из-за частых ложных срабатываний. Комбинируйте этот метод обнаружения с автоматизацией и другими инструментами обнаружения для получения наиболее точных результатов.

Источники: Panda Security 1, 2 | Techwalla | Wikileaks | IET