Testy dynamiczne antywirusów a ryzyko

Przeczytaj także: Zabezpieczenia F-Secure dla klientów Netii

Tego typu portale internetowe oferują usługę, za pomocą której użytkownik może przeskanować plik przy użyciu wielu różnych skanerów, aby sprawdzić, jak wykrywają go różne produkty (a przede wszystkim, czy w ogólne go wykrywają).

Serwisy te cieszą się również popularnością wśród twórców szkodliwego oprogramowania, którzy wykorzystują je do przetestowania swoich najnowszych tworów, aby przekonać się, czy potrafią uniknąć wykrycia. O ile niektórzy producenci rozwiązań antywirusowych umieszczają na takich stronach najnowsze skanery i proszą osoby utrzymujące takie strony, aby wykorzystywały najbardziej rygorystyczne ustawienia w celu wykrycia możliwie jak największej liczby szkodliwego oprogramowania, istnieją również producenci, którzy nie udostępniają swoich najnowszych skanerów na takich stronach. Mogą również poprosić o użycie ustawień zapewniających ochronę niższą niż maksymalna, tak aby produkt wykrywał mniej szkodliwego oprogramowania niż potrafi w rzeczywistości - w ten sposób producenci nie ujawniają prawdziwych możliwości wykrywania swoich produktów.

Reakcja podziemia

Kaspersky Lab zauważa, że obecnie szkodliwe programy, które obchodzą mechanizmy bezpieczeństwa, nie są rzadkością. Jednak ogromna większość szkodników nadal koncentruje się na obchodzeniu jedynie mechanizmów wykrywania.

Niektóre produkty do zwalczania szkodliwego oprogramowania posiadają niewiele mechanizmów bezpieczeństwa, dlatego obejście zdolności wykrywania nadal oznacza obejście całego produktu. Nie ma zatem nic dziwnego w tym, że pojawiają się próbki szkodliwego oprogramowania, które są zaciemnione w taki sposób, że odwrócenie tego procesu zajmuje mniej więcej dwie minuty na procesorze Core 2 Duo 2 500 MHz. Jednak te same próbki szkodliwego oprogramowania można wykryć proaktywnie przy pomocy technologii blokowania zachowań sprzed dwóch lat.

Nie ma wątpliwości, że obecny szum wokół technologii ochrony i testów dynamicznych powoduje, że niektórzy autorzy szkodliwego oprogramowania zwracają większą uwagę na tego typu technologię. W obecnym klimacie istnieje duże prawdopodobieństwo, że temat ten wzbudzi zainteresowanie większej liczby autorów szkodliwego oprogramowania.

Z artykułu wynika, że istnieje wiele możliwych scenariuszy zdarzeń: po pierwsze, w podziemiu mogą powstać nowe grupy, które skoncentrują się na zapewnianiu nowych sposobów umożliwiających szkodliwym programom obchodzenie technologii ochrony. Po drugie, może wykształcić się nowy rynek ulepszonych multiskanerów, które będą testowały technologie ochrony produktów jak również ich możliwości wykrywania. Duży problem odnośnie obchodzenia przez szkodliwe programy technologii ochrony stanowi kwestia łatania dziur wykorzystywanych przez twórców szkodliwego oprogramowania. O ile producenci mogą dostarczyć nowe uaktualnienie sygnaturowe w ciągu godzin, a nawet minut, załatanie dziur może zająć o wiele więcej czasu - mówimy tutaj o czasie reakcji wynoszącym tydzień (tygodnie), a nie dni, czy godziny.