Klęska antywirusów w starciu z nowoutworzonymi binarnymi

Copyright© 2013 by [email protected]
Klęska antywirusów w starciu z nowoutworzonymi binarnymi
formami współczesnego malware
Skuteczność antywirusów w wykrywaniu nowych form binarnych
malware jest mniejsza niż 5%.To nie pomyłka: słownie pięć procent!
Pod koniec 2012 roku iMPERVA – Hacker Intelligence Initiative wraz z grupą
studentów The Technion – Israeli Institute of Technology zbadała skuteczność
antywirusów na ponad 80 próbkach nowego malware. A oto wyniki:
1. wykrywalność nowoutworzonych form binarnych malware jest mniejsza
niż 5% pomimo bieżącego aktualizowania baz sygnatur,
2. zaktualizowanie baz sygnatur, tak aby zagrożenia o których mowa w
pkt.1 były wykrywane zajmuje 4 tygodnie (Kaspersky, McAfee, Avast),
3. najlepsze wyniki w teście uzyskał Emsisoft (w tym bezpłatne wersje).
Źródło: www.imperva.com1
Dlaczego skuteczność antywirusów w starciu ze współczesnym malware
jest bliska zeru? Dlaczego tak się dzieje, pomimo bieżącego aktualizowania
zainstalowanego w komputerze oprogramowania antywirusowego? Problem
wynika z samej zasady działania takiego oprogramowania. Rozpoznaje ono i
ewentualnie usuwa szkodniki, które jest w stanie „zobaczyć”. Polega to na
poszukiwaniu
w
skanowanych
plikach
pewnych
charakterystycznych
dla
określonego szkodnika ciągów binarnych, określanych mianem sygnatur.
Oczywiście
takie
producentów
Wprawdzie
pakietów
sygnatury
programów
współczesne
oprogramowania
muszą
być
antywirusowych
rozwiązania
ochronnego
uprzednio
i
zdefiniowane
dostarczone
zaawansowanych,
wykorzystują
przez
użytkownikom.
zintegrowanych
również
dodatkowo
heurystyczne metody wykrywania złośliwego oprogramowania, lecz są one
tylko do pewnego stopnia skuteczne. Wynika to z tego, że autorzy złośliwego
oprogramowania stosują zaawansowane techniki modyfikacji i zaciemniania
1 http://www.imperva.com/docs/HII_Assessing_the_Effectiveness_of_Antivirus_Solutions.pdf
Copyright© 2013 by [email protected]
kodu w celu uniknięcia wykrycia. Techniki te „produkują” zmienione pliki
binarne, które jednakże realizują te same, szkodliwe dla ofiary funkcje.
Źródło: ebook „DeRATyzacja komputera. Jak usunąć szkodniki, gdy antywirus zawodzi?”,
Leszek IGNATOWICZ, 2012 (niepublikowany)
Zanim odpowiemy na postawione powyżej pytanie, warto przypomnieć,
jak działa klasyczny antywirus; niewielu użytkowników komputerów ma taką
wiedzę. Klasyczna technologia antywirusowa polega na poszukiwaniu w
skanowanych
plikach
charakterystycznych
dla
danego
szkodnika
ciągów
binarnych – sygnatur. Baza sygnatur jest słownikiem próbek złośliwego kodu.
Kiedy plik jest skanowany, antywirus odwołuje się do bazy sygnatur i
sprawdza, czy w pliku nie występują zdefiniowane w niej próbki binarne
złośliwego kodu. Jeśli wynik sprawdzenia jest pozytywny, antywirus sygnalizuje
wykrycie szkodnika i podejmuje dalsze działania: naprawienia zainfekowanego
pliku, umieszczenia w kwarantannie lub skasowania. Warto zauważyć, że
antywirus wykryje i być może unieszkodliwi złośliwy program tylko wtedy, gdy
posiada odpowiednią sygnaturę. Wykrywanie szkodliwego oprogramowania w
oparciu o technologię sygnatur może być efektywne pod warunkiem, że
dysponujemy kompletną bazą próbek złośliwego kodu. Aktualizowanie bazy
sygnatur jest coraz trudniejsze z kilku powodów, które przesądzają o słabości
tej technologii w walce ze współczesnym złośliwym oprogramowaniem.
Najistotniejszym
jest
prawie
wykładniczy
wzrost
wolumenu
złośliwego
oprogramowania. Producenci oprogramowania antywirusowego po pierwsze nie
mają
możliwości
otrzymania
próbek
wszystkich
nowych
szkodników,
a
wytwarzanie sygnatur dla tych schwytanych w czasie kilku godzin jest coraz
większym wyzwaniem.
Źródło: „Komputer bez antywirusa! Sysintegrus – bastion ochrony komputerów przed
złośliwym oprogramowaniem”2, Leszek IGNATOWICZ, 2012
Autor: Leszek IGNATOWICZ, twórca i lider projektu www.SysClinic.pl
DeRATyzacja komputera, ekspert w zakresie badania cyfrowych śladów w
komputerach PC, członek stowarzyszenia Instytut Informatyki Śledczej
2 http://ebookbrowse.com/gdoc.php?id=422470609&url=b7476e6a5ce22549e8f764d098bb99d8