Читать «Журнал "Компьютерра" №705» онлайн - страница 47

Malware сегодня пишется так, чтобы обходить эвристические анализаторы антивирусов, а сигнатурные сканирующие модули обманываются путем модифицирования исполняемого кода (морфирование, перепаковка). Для усложнения получения антивирусными лабораториями образцов и усложнения процесса детектирования используются rootkit-технологии (аналог стелс-вирусов 90-х) для сокрытия своихпроцессов и модулей. Кроме того, пути распространения зловредного ПО претерпевают серьезные изменения. Если раньше это были постоянные массовые почтовые рассылки с прикрепленными программными модулями, то сейчас это массовые рассылки с ссылками на сайты, распространяющими инфекцию, взлом и внедрение подобных ссылок на легитимные страницы в Интернете, почтовые черви, самостоятельно модифицирующие свое тело от рассылки к рассылке для обхода антивирусов на почтовых серверах.

Счет в этой войне идет буквально на дни, если не на часы. Антивирус начал детектировать зловредный модуль на сайте, распространяющем заразу? Производитель зловреда в течение нескольких часов модифицирует его так, чтобы он больше не обнаруживался, и выкладывает обратно на сайт! Теперь вы понимаете, надеюсь, что стандартное тестирование антивирусных движков на качество обнаружения уже известных образцов зловредного ПО со стандартным 90-99% результатом с реальной ситуацией, с которой сталкивается пользователь при заражении, имеет мало общего? Ахиллесова пята современных антивирусных технологий - их реактивность. То есть, сначала зараза, а лишь потом - средства ее обнаружения и зачистки. Все то время, пока образец не попал в антивирусную лабораторию, идет инфицирование. Единственная надежда - на эвристик, но уровень его детектирования не дотягивает даже до 70%. Кроме того, ложные срабатывания становятся головной болью для производителей легитимного ПО (знаю по собственному опыту!) и обычных пользователей.

Так какие же технологии будут занимать умы пользователей в ближайшем будущем? Безусловно, это технологии, основанные на анализе поведения (так называемые HIPS) и белых списках. Рассмотрим каждую из них.

Исторически первая технология анализа поведения была основана на модели детекторов аномалий (на ней же базируются файрволлы) и имеет общее название classic HIPS. То есть, если приложение совершает потенциально опасное действие (запись в автозагрузку, например), защита выдает предупреждение об оном и просит пользователя принять решение (например, разрешить, запретить или внести в локальную базу правил как разрешенное). Для уменьшения количества подобных окон с вопросами обычно используется режим обучения (как и у файрволлов) либо онлайновая база знаний (community HIPS). Все подобные схемы имеют одну неразрешимую проблему: они перекладывают принятие решения на самого пользователя со всеми вытекающими. Такие защиты сложны в каждодневном использовании простым юзером и не получили сколь-нибудь массового распространения. Их ниша - суперпрофессиональные пользователи, считающие контроль синонимом слова "защита" (и наоборот). Примеры - почивший в бозе ProcessGuard, ProSecurity, SSM.