Niewidzialne wirusy

Komputerowy wyścig zbrojeń wciąż trwa: firmy zajmujące się zabezpieczeniami starają się jak najszybciej rozpoznawać nowe szkodniki i udostępniać ich sygnatury. Z kolei autorzy cyberplugastwa próbują w coraz krótszym czasie rozpowszechniać swoje kolejne dzieła. Teraz twórcy wirusów dostali do ręki nową, efektywną broń: narzędzie, które, gdy tylko naciśnięty zostanie guzik, zmieniają znane już wirusy tak, by skanery antywirusowe nie były ich w stanie od razu rozpoznać.

W przeszłości, gdy autor złośliwego kodu chciał się upewnić, że jego dzieło nie zostanie rozpoznane przez systemy bezpieczeństwa, musiał załadować je na stronę, taką jak na przykład Jotti czy VirusTotal. Tam kilka skanerów próbowało wykryć szkodnika. Jeśli wirus został rozpoznany, zwykle zabierał się do pracy paker EXE, który nie tylko zmniejszał szkodnika, ale jednocześnie zmieniał też jego sygnaturę. Ponieważ próbki kodu nie były nigdzie przekazywane, autor wirusa mógł sprawić, by nowy szkodnik nie dotarł do producentów programów antywirusowych, i tym samym dać sobie czas na jego użycie.

Oszukać antywirusa:
Hakerskie narzędzie online

Serwis VirusTotal – po naciskach firm zajmujących się bezpieczeństwem – zablokował możliwość korzystania z opcji nieprzekazywania próbek testowanych wirusów. Powstała w efekcie “luka w rynku” została natychmiast wypełniona przez nowe narzędzia, których twórcami są autorzy malware’u. Narzędzia przeciwantywirusowe, np. o nazwie KIMS czy AV Fixer, nie tylko testują nowe szkodniki z użyciem wszystkich dostępnych programów antywirusowych, ale też wprowadzają w nich zmiany konieczne, by sygnatura przestała być rozpoznawana. Wystarczy kliknąć myszką jeden przycisk.

Przeciwdziałanie: Heurystyka, analiza działania i piaskownica

Na szczęście dla potencjalnych ofiar wirusów skanery antywirusowe są wciąż przydatne, chociaż nie stanowią kompletnego środka ochronnego. Wykorzystując metody heurystyczne, potrafią one rozpoznawać niesklasyfikowane wirusy, i to nawet pomimo niewielkich zmian w ich kodzie.

Nowy kierunek, w jakim idzie udoskonalanie zabezpieczeń, to wykorzystanie analizy działania uruchamianych programów. Szkodliwe oprogramowanie jest rozpoznawane nie po wyglądzie (czyli kodzie), ale na podstawie tego, co robi w systemie. Technologia ta jest, niestety, jeszcze w powijakach – wiele praktycznych narzędzi modyfikuje system w pozornie ryzykowny sposób.

Trzecią rozwijaną metodą ulepszania ochrony antywirusowej są tzw. sandboksy (piaskownice), czyli wyizolowane wirtualne środowiska. Zamiast pracować w prawdziwym systemie, korzysta się z jego wirtualnej kopii. Jeśli użytkownik albo program antywirusowy stwierdzą, że mają do czynienia z wirusem albo innym szkodnikiem, wszelkie zmiany dokonane przez złośliwy kod można cofnąć za pomocą jednego przycisku. Na razie z trybu wirtualnego korzystają jednak tylko zawodowcy.