Strona główna / Bezpieczeństwo / Rośnie odporność wirusów
czwartek 02 sierpień 2007 | APP
Rośnie odporność wirusów
Wirusy komputerowe, podobnie jak wirusy chorobotwórcze realne mutują się, a właściwie ewoluują. W jaki sposób rozwijają się mechanizmy obronne wirusów komputerowych – częściową odpowiedź na to pytanie przynosi raport firmy Kaspersky Lab na temat mechanizmów autoochrony szkodliwego oprogramowania. Odpowiedzią są też coraz doskonalsze i coraz trudniejsze do ominięcia programy chroniące przed niepożądanymi gośćmi.

Jak choroba w realu

Twórcy wirusów stosują coraz wymyślniejsze techniki ominięcia naszych programów antywirusowych i ochrony przed działaniami, które mają je unieszkodliwić. Walka z nimi coraz częściej przypomina walkę z wirusami chorobowymi, które nie dość że atakują nasz organizm, który z pewnym uproszczeniem możemy porównać do komputera i systemu operacyjnego, ale także z czasem uodparniają się na lekarstwa. W przypadku wirusów komputerowych rolę lekarstw pełnią programy antywirusowe. Im doskonalszy i bardziej wymyślny lek zastosujemy, tym bardziej wirusy zmutują się, żeby jednak ominąć nasze zapory.

Podstępne mutanty

Tworząc klasyfikację mechanizmów autoochronnych, analitycy firmy opierali się na dwóch kryteriach – aktywności zabezpieczeń oraz wyspecjalizowania mechanizmu. Do niedawna działanie programów antywirusowych polegało wyłącznie na analizowaniu kodu plików. Najwcześniejsze metody wykrywania były oparte na sygnaturach i koncentrowały się na szukaniu dokładnych sekwencji bajtów w kodzie binarnym szkodliwego programu.

Późniejsze metody heurystyczne również wykorzystywały kod pliku, stosowały jednak bardziej elastyczne podejście do szukania wspólnych sekwencji bajtów szkodliwego oprogramowania. Oczywiście, taki rodzaj ochrony można łatwo obejść, jeżeli każda kopia programu zawiera nową sekwencję bajtów. Stąd popularność użycia tzw. technik polimorficznych oraz metamorficznych, które umożliwiają szkodliwemu programowi mutację na poziomie bajta podczas tworzenia kopii. Jednocześnie funkcjonalność programu pozostaje niezmieniona.

Robaki są sprytne

Od czasu, gdy pojawiły się metody wykrywania szkodliwych programów oparte na analizie zachowania programu, techniki modyfikacji kodu stały się mniej użyteczne. Pojawiły się natomiast mechanizmy ukrywania wirusów, które z czasem wyewoluowały w rootkity. Termin "rootkit" pochodzi od narzędzi unixowych przeznaczonych do zapewnienia użytkownikowi uprawnień administratora w taki sposób, aby nie został zauważony przez administratora systemu. Rootkity przechwytują informacje i na przykład modyfikują łańcuch odwołań systemowych, co może prowadzić do zniekształcenia informacji lub kontrolowania tego, co ma miejsce po stronie odbiorcy bez jego wiedzy (czyli na przykład śledzenia jego aktywności w sieci lub dostępu do dokumentów).

Samodzielne trojany

Tradycyjne wirusy od dłuższego czasu są zastępowane przez trojany, które stanowią całkowicie niezależne szkodliwe programy. Trojany mają tę przewagę nad wirusami – przewagę z punktu widzenia swoich twórców oczywiście – że najczęściej przyjmują postać plików skompresowanych – co utrudnia ich wykrycie.

Wzmacnianie odporności wirusów

W jaki sposób działają mechanizmy ochrony szkodliwych programów? Analitycy Kaspersky Lab wyróżniają cztery metody działania. Pierwszą z nich jest przeszukiwanie systemu w celu znalezienia produktu antywirusowego, zapory sieciowej lub innego narzędzia bezpieczeństwa, a następnie przerwanie działania tego narzędzia. Ochrona wirusa może również blokować otwieranie plików.

Ponadto działania takie mogą również zmieniać zwartość pliku hosts w celu zablokowania dostępu do stron z uaktualnieniami antywirusowymi. Wreszcie ochrona wirusowa może wykrywać zapytania wysyłane przez system bezpieczeństwa (na przykład okno zapory sieciowej wyświetlające zapytanie "Czy zezwolić na to połączenie?") oraz imitować klikanie przycisku "Zezwalaj".

Nie jesteśmy bezbronni

Jednak w sytuacji, kiedy coraz częściej podstawą zabezpieczeń antywirusowych jest nie tylko kod zawarty w szkodliwych programach, ale również analiza ich zachowania, szkodliwe programy są mniej lub bardziej bezsilne. Ani polimorfizm, ani kompresory, ani nawet technologie ukrywania się nie zapewniają im całkowitej ochrony. Wydaje się, że kwestią czasu jest opracowanie przez ich autorów kolejnych mechanizmów zabezpieczających przed unieszkodliwieniem. Analitycy Kaspersky Lab oceniają, że przede wszystkim można się spodziewać rozwoju technologii wykrywających debuggery, emulatorów oraz wirtualnych maszyn i technologii diagnozy środowiska.

Rootkity w natarciu

Z raportu wynika też, że niektóre mechanizmy autoochrony szkodliwych programów będą rozwijały się intensywniej niż inne. Będą to głównie rootkity - dzięki temu, że są niewidoczne w systemie. Powszechnie stosowane będą też zaciemnianie i szyfrowanie - do czasu, dopóki utrudniają analizę kodu.

Anty-rootkity też

Jednak nawet wobec rootkitów nie pozostajemy całkiem bezbronni. Firma Trend Micro poinformowała o udostępnieniu pakietu Trend Micro OS Protection, zawierającego dodatkowe zabezpieczenia dla użytkowników Windows Vista™. Wchodzący w skład pakietu Trend Micro Pre-Startup Scan umożliwia wykrycie i usunięcie szkodliwych programów jeszcze przed uruchomieniem systemu Windows. Dzięki temu nie mają one szans na obniżenie wydajności komputera, ale przede wszystkim – nie mają jak się zabezpieczyć się przed wykryciem i usunięciem. W ten sposób Trend Micro de facto blokuje działanie rootkita i go unieszkodliwia.

Podobne artykuły
zobacz więcej
Nazwa.pl
więcej
Video
więcej
Video"
więcej