Jak wirusy ukrywają się przed antywirusem?

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

Wniosek

Samo istnienie szkodliwych programów spowodowało powstanie i rozwój ochrony przed nimi. Zdaniem analityków z Kaspersky Lab, będziemy teraz świadkami wyłonienia się i rozwoju autoochrony szkodliwego oprogramowania przed szkodliwymi programami. To z kolei grozi nigdy niekończącym się konfliktem, w którym nie natura, a technologia jest uzbrojona po zęby.

W ostatnich kilku latach sytuacja staje się coraz bardziej krytyczna. Ktoś z podziemia cyberprzestępczego (lub "badacze" ubrani w białe kapelusze - specjaliści od zabezpieczeń wykorzystujący techniki hakerskie do legalnych, etycznych celów) rozwija kod typu "proof of concept" w celu uniknięcia stosowanych obecnie środków ochrony. Osoba ta, w celu promowania siebie, ogłosi, że kod jest "niewykrywalny". Jak podkreślają specjaliści z Kaspersky Lab, kod ten będzie niewykrywalny jedynie na poziomie jedno lub dwustopniowego obejścia znanych funkcji bezpieczeństwa, nie będzie jednak niewykrywalny w 100%. Stworzenie jednostopniowego obejścia jest stosunkowo proste, jeśli ktoś jest zaznajomiony z mechanizmami ochrony.

Informacje takie powodują zaniepokojenie wśród pewnej liczby użytkowników, którzy nie wiedzą, jak działają szkodliwe programy oraz programy antywirusowe ("Czy mój program antywirusowy ochroni mnie przed tym nowym typem zagrożenia?"). W takiej sytuacji osoby tworzące metody autoochrony muszą tylko wykorzystać część zasobów, aby odzyskać swoją reputację i rozwinąć obejście, zazwyczaj jednostopniowe. W końcu ich reputacja zostanie uratowana, a system: szkodliwe oprogramowanie - oprogramowanie antywirusowe - użytkownik powróci do stanu początkowego i znów będziemy mieli do czynienia z tym samym błędnym kołem. Każda nowa iteracja prowadzi do jeszcze bardziej zaawansowanego szkodliwego oprogramowania oraz silniejszych środków obrony.

Jak podkreśla autorka artykułu Alisa Shevchenko, starszy analityk szkodliwego oprogramowania w firmie Kaspersky Lab - "[...]Proces ten zużywa wiele zasobów, jest bezsensowny i nie ma końca. Wszystkie trzy strony w tym konflikcie muszą zwiększyć swoją świadomość sytuacji. Zachęcam użytkowników do poszerzenia wiedzy w tym zakresie, aby mogli przekonać się, że żaden środek ochrony nie gwarantuje 100% zabezpieczenia, a najlepsza metoda ochrony przed zagrożeniami to zapobieganie im. Namawiam osoby, które piszą wirusy, aby rozważyły swoje intencje oraz motywy, jakie kierują nimi podczas publikowania kodu "proof of concept", który tylko dolewa oliwy do ognia. Wzywam również osoby zajmujące się tworzeniem ochrony, aby starały się spojrzeć na problem z nowej strony i wyprzedzały wroga nie tylko o jeden krok. Być może nie ujrzymy szybko końca tego wyścigu zbrojeń, możemy jednak nie dopuścić do tego, aby wymknął się spod kontroli."