Ale tyle często wystarcza, aby zainfekować wiele maszyn, nawet jeśli są chronione skanerami antywirusowymi. Takie są wyniki testu z CHIP 02/2011, s96. Żaden z badanych programów nie zablokował 100 proc. malware’u nowego typu ani do końca nie wyczyścił zainfekowanych komputerów. Głównym problemem okazuje się ilość, bo według Panda Security codziennie pojawia się 63 tys. nowych zagrożeń, z których wiele jest aktywnych tylko przez krótki czas i atakuje niewielką liczbę PC. Rozpoznanie i usunięcie każdego wirusa jest prawie niemożliwe. Aby zrozumieć mechanizm powstawania luk w oprogramowaniu antywirusowym, prześledzimy drogę wirusa przez poszczególne poziomy skanera.

Filtry: blokada gniazd wirusów

Strony przemycające malware przez luki w przeglądarkach to główna droga rozpowszechniania szkodników. Wrogi kod, czyli exploity, to najczęściej skrypty w językach HTML i JavaScript. Aby mogły się przenosić, przeglądarka musi najpierw otworzyć stronę, na której są zapisane. Zanim jednak malware przeskoczy na komputer użytkownika, musi pokonać filtr URL i firewall. To pierwsza ważna linia obrony. Działania prewencyjne w tym przypadku polegają na porównaniu URL z czarną i białą listą. Ale ta zapora nie jest zbyt szczelna, ponieważ według Panda Security co tydzień pojawia się 57 tys. nowych stron z malware’em i trudno jest zarejestrować je wszystkie na czas.
Jeśli strona jest nieznana, przeglądarka ściąga ją jako plik tymczasowy i sprawdza pod kątem występowania szkodliwych kodów. Oprócz tego firewall kontroluje całą komunikację sieciową i analizuje przychodzące pakiety danych. Na przykład F-Secure wykorzystuje Stateful Packet Inspection, który w przypadku każdego wysyłanego pakietu sprawdza, czy zażądała go aplikacja taka jak przeglądarka, czy też próbuje on przeniknąć tylnymi drzwiami. Symantec analizuje dodatkowo zawartość pakietów danych (Deep Packet Inspection), aby już na tym poziomie zablokować szkodliwe skrypty albo ataki typu XSS, polegające na podmianie w locie treści stron internetowych.
W ten sposób ochrona antywirusowa broni komputer przed zdecydowaną większością exploitów. Ale znanych. Malware nowego typu i zero-day exploits, czyli nienotowane wcześniej złośliwe kody, mogą zostać przeoczone. Jeśli filtr URL i firewall nie zainterweniują, exploit ściąga malware i próbuje go uruchomić. Zanim jednak plik się uaktywni, będzie musiał pokonać inne bariery skanera: sygnatury, heurystykę i analizę zachowania – procedury przebiegające w ułamkach sekund. W celu rozpoznania szkodnika antywirus przechwytuje nieznany plik i konfrontuje go z bazą danych sygnatur. Każda z nich składa się z wartości hash, czyli odcisku palca pliku, a często także z pojedynczych próbek kodu.
Jeśli sygnatura jest nowa, trafia do laboratorium antywirusowego wytwórcy skanera. Tym samym malware’owi pozostaje tylko dwie do czterech godzin na pokonanie innych barier. W tym czasie laboratoria analizują bowiem nowe przypadki, co według Symanteca trwa około jednej godziny. Jeśli okaże się, że nieznany kod jest szkodnikiem, jego sygnatura zostanie dołączona do aktualizacji programu antywirusowego, co maksymalnie zajmuje kolejne trzy godziny. Od tego momentu szkodnik jest notowany i nie ma żadnych szans: w naszym ostatnim teście wszystkie programy rozpoznały 100 proc. znanego malware’u.
Tak malware przechytrza obronę Szkodnik musi być po prostu szybszy od laboratoriów antywirusowych. Zdaniem Stefana Wesche z Symanteca problemem tych ostatnich jest zbyt mała ilość czasu na uaktualnienie centralnych baz sygnatur.

Heurystyka: głęboki wgląd w kod

Jeśli malware okaże się szybszy od laboratorium, musi pokonać pozostałe mechanizmy obronne: analizę behawioralną i heurystykę. Ta pierwsza nadzoruje działanie szkodnika, skupiając się na jego zachowaniach odbiegających od normy. Druga szuka z kolei w podejrzanym kodzie ciągów bajtów niewystępujących w programach użytkowych, lecz typowych dla malware’u.
Aby ją oszukać, twórcy szkodników szyfrują albo kompresują ich kod, żeby budową nie przypominały malware’u. Dlatego ważnym elementem heurystyki są dekompresatory, które przenikają zaprogramowane często wyłącznie na użytek malware’u, egzotyczne algorytmy archiwizujące i szyfrujące. Po ich złamaniu rzeczywisty kod podejrzanego pliku jest widoczny i może być poddany analizie heurystycznej oraz  behawioralnej pod kątem dziwnych właściwości budowy i zachowania.
Tak malware przechytrza obronę Autorzy wirusów wypełniają pliki na przykład przypadkowymi liczbami albo innymi bezużytecznymi elementami, aby zamaskować ich prawdziwe funkcje. Innym sposobem na oszukanie heurystyki jest kodowanie i szyfrowanie. Obok prostego kodowania base-64 producenci oprogramowania antywirusowego zetknęli się już z silnym szyfrowaniem RSA, np. w Max-Sploit-Toolkit. Niektóre szkodniki, takie jak trojan Alisa, wykorzystują do zakłócania analizy heurystycznej nowe zestawy poleceń CPU, wyjątki systemu Windows albo niecodzienne funkcje API.
Bez takiego maskowania pliku malware nie zajdzie daleko, bo podczas analizy heurystycznej musi przetrwać jeszcze statystyczną klasyfikację kodu polegającą na szukaniu podobieństw ze znanym malware’em. Zaliczają się do niej format i rozmiar pliku, sygnatury małych części kodu i certyfikaty cyfrowe. Według Avira sama heurystyka rozpoznaje około 60 proc. nieznanego malware’u. Pozostałe 40 proc. musi przejść jeszcze analizę zachowania, która rozpoczyna się po analizie heurystycznej,
a w niektórych skanerach przebiega równolegle z nią. Granica pomiędzy tymi poziomami skanera jest często rozmyta.

Piaskownica: wirtualny test pliku

Trafiony, zatopiony Polowanie na wirusy nie zawsze jest tak skuteczne jak tutaj. Wobec nowych trików malware’u pakiety bezpieczeństwa są często bezradne.

Aby nie zagrażać systemowi użytkownika, podejrzany kod jest wykonywany w wirtualnym środowisku zwanym piaskownicą. To właśnie w nim silnik skanera rozpoznaje osobliwe zachowanie, takie jak ściąganie kolejnych plików z serwisów hostingowych albo ukrywanie procesów. Silnik pakietu bezpieczeństwa BitDefender podczas analizy przyznaje punkty za podejrzane działania, np. zakładanie nowego wpisu w Rejestrze systemowym. Jeśli liczba punktów przekroczy wartość graniczną, w zależności od ustawień programu, proces zostaje natychmiast zablokowany albo decyzję o jego działaniu pozostawia się użytkownikowi. Wartość graniczna jest wynikiem wyważenia dwóch czynników: siły ochrony przed malware’em i komfortu obsługi – bez tego byłoby zbyt wiele fałszywych alarmów, ponieważ również pożyteczne procesy mogą dokonywać zapisów w Rejestrze, takich jak np. wpisy Autostartu.