Videó: Malware: Difference Between Computer Viruses, Worms and Trojans (November 2024)
A rosszindulatú szoftverekkel fertőzött virtuális gépek esetében, amelyeket antivírus termékek tesztelésénél használok, ez minden egyes új teszt indításakor déjà vu. Visszaállítom a virtuális gépet pontosan ugyanabba a kiindulási pontba minden tesztnél, majd telepítem (vagy megpróbálom telepíteni) az antivírust, és kihívom a tisztításra. De néha valami több történik; néha a rosszindulatú program meghívja a barátokat játékra.
Azok a napok, amikor a magányos hacker vírusokat írt a fenébe, már rég elmúlt. Manapság létezik egy egész malware ökoszisztéma, és az ökoszisztéma egyik virágzó alkotóeleme magában foglalja az útvonalakat, olyan helyzeteket, amikor az egyik számítógépes csaló fizet egy másiknak, hogy új veszélyt jelentsen a meglévő rosszindulatú programok számára. Azoknak, amelyeket "csepegtetõknek" hívunk, még rosszindulatú terhelésük sincs; csak lábként szolgálnak más rosszindulatú programok számára.
Mit jelent ez a tesztelésem során? Minél tovább működik a fertőzött rendszer, mielőtt egy új víruskereső teljesen telepíthető és ellenőrzést végezhet, annál nagyobb a esélye, hogy a meglévő fertőzés meghívja a barátait egy partira. Az ilyen rendszerekre telepített védelem elnyerése néhány napig tart a műszaki támogatással. Miközben elfoglaltak, a rosszindulatú programok is; ijedős!
Gameover ZeuS
A múlt hónapban a Malware 2013 konferencián egy holland kutató hallgató bemutatta a Gameover ZeuS nagyon részletes elemzését. A ZeuS Trojan más példányaihoz hasonlóan ez a rosszindulatú program többféle funkcióval rendelkezik, de főként érzékeny információk, például az online banki hitelesítő adatok lopása. A Gameover ZeuS esetében az a különbség, hogy a központosított irányítási és vezérlőrendszer helyett elosztott, peer-to-peer hálózatot használ, ami sokkal nehezebb követni és megsemmisíteni. Hírek nekem!
Képzelje el a meglepetésem, amikor nemrégiben értesítést kaptam az internetszolgáltatómtól, miszerint észlelték a Gameover ZeuS forgalmat az én IP-címemmel. Nem, nem választottam meg egy fertőzést a kutatótól. Inkább az egyik meglévő mintám vadonatúj barátot hívott fel, hogy tartózkodjon, valószínűleg egy szokatlan napos műszaki támogatási maraton során, amely rengeteg időt adott neki.
Évekkel ezelőtt, amikor először elkezdtem a víruskereső tesztelését élő malware-fertőzött virtuális gépeken, nagyon számíthattam arra, hogy a tesztrendszereim rosszindulatú programjai továbbra is stabilak maradnak. Mindaddig, amíg nem telepítettem olyan rosszindulatú programok mintáit, amelyek aktívan megpróbálják elterjedni az interneten, el tudtam kerülni a probléma részévé válását. Az internetszolgáltatóomatól kapott feljegyzés ébresztés volt. Ha telepítek egy reprezentatív malware-mintagyűjteményt, akkor nincs garancia arra, hogy egyikük sem fogja megváltoztatni a viselkedését, vagy veszélyes társat hoz be.
Game Over valóban
Elképzelhető, hogy megváltoztathatom az internetszolgáltatókat és elkerülhetem a figyelmeztetést, de ez nem megoldás. Nem tudom jó lelkiismerettel folytatni azt a gyakorlatot, amely kárt okozhat a virtuális gépemen kívül. Nem tudom csak levágni a tesztrendszereket az internetről, mivel sok víruskereső eszköz igényel kapcsolatot. És nincs elég erőm a rosszindulatú programok forgalmának zárt környezetben történő replikálásához, ahogyan a nagy, független tesztelő laboratóriumok teszik. El kell hagynom a gyakorlati élő rosszindulatú programok tesztelését.
Ráadásul a független víruskereső tesztelő laboratóriumok manapság nagyon jó teszteket készítenek. Minden bizonnyal jobban felhasználom ezeket az eredményeket. Mégis teszteljük a spamszűrést, az adathalász-védelmet és a rosszindulatú URL-blokkolást - minden olyan tesztet, amely nem jár az aktív rosszindulatú programok potenciális kiadásával. És még mindig átvizsgálom az összes víruskereső minden funkcióját, és azon dolgozom, hogy megtaláljam a legjobbat. Csak nem teszek olyan teszteket, amelyek potenciálisan problémákat okozhatnak a külvilágban.
Új nulla napos teszt
Ezenkívül új tesztet adok hozzá annak ellenőrzésére, hogy az egyes víruskereső milyen jól kezeli a rendkívül új fenyegetések letöltését. Az MRG-Effitas, a brit biztonsági kutatóintézet jó tagjai hozzáférést biztosítottak számukra a rosszindulatú URL-ek hatalmas valós idejű adatainak beviteléhez. E hírcsatornával ellenőrizhetem, hogy egy víruskereső hogyan kezeli a száz legújabb rosszindulatú fájlt. Blokkolja az URL-t? Blokkolja a letöltést? Teljesen hiányzik? Várom, hogy ezt az új tesztet teljes mértékben elindítsam.
