Jak wirusy ukrywają się przed antywirusem?

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

Twórcy wirusów muszą znaleźć jakiś sposób na obejście analizy zachowań. Nie wiadomo, w jaki sposób będą próbowali pokonać tę przeszkodę. Według analityków, pewne jest to, że wykorzystywanie zaciemniania na poziomie zachowań jest zasadniczo nieskuteczne. Ewolucja diagnostyki środowiskowej jest jednak bardzo interesująca, ponieważ częściowo zakłada ona wzrost "samoświadomości" wirusa, co umożliwiłoby mu określenie, gdzie dokładnie jest zlokalizowany: w "rzeczywistym świecie" (w czystym środowisku roboczym użytkownika) czy też w "matriksie" (pod kontrolą oprogramowania antywirusowego).

Technologie diagnostyczne mają swoje precedensy: niektóre szkodliwe programy, jeśli zostaną uruchomione w środowisku wirtualnym (takim jak VMWare lub Virtual PC), natychmiast unicestwiają siebie. Poprzez wbudowanie takiego mechanizmu autodestrukcji do szkodliwego oprogramowania jego autor uniemożliwia analizę szkodnika, która często przeprowadzana jest w środowisku wirtualnym.

Trendy i prognozy

Po zbadaniu obecnych trendów oraz skuteczności stosowanych podejść analitycy z Kaspersky Lab doszli do następujących wniosków odnośnie omówionych wyżej metod autoochrony szkodliwego oprogramowania:

1. Rootkity wykazują tendencję w kierunku wykorzystywania funkcji sprzętowych oraz w kierunku wirtualizacji. Jednak metoda ta nie osiągnęła jeszcze punktu szczytowego i w nadchodzących latach prawdopodobnie nie stanie się głównym zagrożeniem ani nie będzie powszechnie wykorzystywana.
2. Technologia blokująca pliki na dysku: znane są dwa programy typu " proof of concept", które udowodniły, że można spodziewać się rozwoju na tym obszarze w niedalekiej przyszłości.
3. Wykorzystanie technologii zaciemniania nie odgrywa istotnej roli, nadal jest jednak stosowane.
4. Wykorzystanie technologii, które wykrywają narzędzia bezpieczeństwa oraz zakłócają ich działanie, jest bardzo popularne i szeroko stosowane.
5. Wykorzystanie kompresorów jest rozpowszechnione i ciągle wzrasta (zarówno pod względem ilościowym, jak i jakościowym).
6. Przewidywany jest rozwój wykorzystywania technologii wykrywających debuggery, emulatorów oraz wirtualnych maszyn, jak również technologii diagnozy środowiska w celu zrekompensowania masowego przejścia produktów antywirusowych na wykorzystywanie analizy zachowań.

Można zauważyć, że kierunki ewolucji technologii autoochrony szkodliwego oprogramowania zmieniają się zgodnie z ewolucją szkodliwych programów oraz ochrony przed nimi. Gdy większość szkodliwych programów infekowało pliki, a programy antywirusowe stosowały wykrywanie oparte na sygnaturach, dominującymi formami autoochrony szkodliwego oprogramowania był polimorfizm oraz ochrona kodu. Obecnie szkodliwe programy są w większości niezależne, a programy antywirusowe stają się coraz bardziej proaktywne. Na podstawie tych faktów można przewidywać, które mechanizmy autoochrony szkodliwych programów będą rozwijały się intensywniej niż inne:

1. Rootkity. Dzięki temu, że są niewidoczne w systemie, mają oczywistą przewagę - nawet jeśli nie mogą w ten sposób uniknąć wykrycia. Z dużym prawdopodobieństwem możemy spodziewać się nowych rodzajów szkodliwych programów, które nie będą posiadały ciała, a następnie - implementacji technologii wirtualizacji.
2. Zaciemnianie i szyfrowanie. Metoda ta będzie powszechnie stosowana do czasu, gdy będzie utrudniała analizę kodu.
3. Technologie wykorzystywane do zwalczania rozwiązań bezpieczeństwa opartych na analizie zachowań. Można spodziewać się pojawienia się nowych technologii, ponieważ obecnie wykorzystywane (ukierunkowane ataki na programy antywirusowe) nie są skuteczne. Możliwe, że pojawią się metody wykrywania wirtualnych środowisk lub rodzaj szyfrowania behawioralnego.