Wirusy

< Powrót

Biuletyn badania Megapanel PBI/Gemius 6 marca 2007

I-nformacje

Przedstawiciele firm zajmujących się walką ze szkodliwym oprogramowaniem: wirusami, robakami, trojanami i innymi rodzajami zagrożeń są zgodni: jest ich coraz więcej.
Jeśli tempo ich wzrostu będzie się utrzymywało, to jeszcze w tym roku trzeba będzie zmierzyć się z tysiącem nowych niebezpieczeństw. Zdecydowana większość z nich to proste modyfikacje już sprawdzonych pomysłów na utrudnienie życia użytkownikom komputerów, innowacje pojawiają się rzadko. Ale i tak każde zagrożenie trzeba nazwać, wymyślić lub zmodyfikować istniejącą już "szczepionkę".

Co to oznacza dla producentów pakietów zabezpieczających i dla użytkowników?
Dla tych pierwszych - dużo pracy. Dla nas - częstsze aktualizacje, dłuższe skanowanie, większe bazy zagrożeń. W końcu może stać się to nieznośne. Dlatego też, prędzej czy później, dotychczasowe metody poszukiwania wirusów będą musiały odejść do lamusa.

Czy to oznacza, że stoimy u progu rewolucji w sposobie wykrywania zagrożeń?
Niewykluczone! Już w tej chwili programy antywirusowe działają niewystarczająco efektywnie. Do szukania zagrożeń zabierają się zwykle tak, jak gdyby przyszło nam znaleźć konkretny artykuł w stercie gazet przeglądając archiwalne numery jeden za drugim. Podobnie funkcjonuje program antywirusowy - przegląda plik po pliku, szukając fragmentów kodu i porównując go z sygnaturami wirusów. Taka metoda jest dość prosta, ale w obliczu zwiększających się pojemności twardych dysków i coraz większej liczby wirusów, szukanie staje się długotrwałe. W dodatku, wirusy okazują się na tyle sprytne, że potrafią zmieniać swój kod, oszukując program antywirusowy.

Co więc zamiast tego?
Programy antywirusowe mogą działać jak sprytny detektyw, który szuka śladów pozostawionych przez złodzieja.
Próbuje wykryć pewne zachowania w systemie, które są zdefiniowane jako nietypowe - choćby zmianę wielkości pliku, albo wykrycie akcji, która nastąpiła nagle, bez żadnych działań ze strony użytkownika. To tzw. metoda heurystyczna, która pozwala na wykrycie wirusów zanim jeszcze zdefiniują je laboratoria i zdążą ogłosić światu nowe zagrożenie. Szkopuł w tym, że podobnie jak detektyw, program posługujący się tą metodą może się mylić.
Dlatego też, zwykle wspomaga się metodę heurystyczną innymi sposobami, testując dokładnie podejrzany plik.

Bardziej zaawansowanym sposobem wykrywania zagrożeń jest tzw. metoda behawioralna, polegająca na ocenie działania tego pliku czy programu, który chcemy zbadać. Wyobraźmy sobie, że w systemie tworzony jest bezpieczny, kontrolowany obszar, nazywany "piaskownicą".
Każdy nowy program, na przykład załącznik poczty, jest uruchamiany w odizolowanym obszarze pamięci i podlega obserwacji. Jeśli wykazuje cechy typowe dla wirusa czy robaka, na przykład próbuje doklejać się do różnych plików, otwiera połączenia sieciowe, wyszukuje na dysku adresy e-mail, jest traktowany jako intruz i usuwa się go z pamięci. Jeśli zachowuje się "normalnie", może dalej pracować.

Ale i ta metoda nie jest jeszcze doskonała. Podobnie jak metoda heurystyczna, powoduje dużo fałszywych alarmów.

Czy to właśnie przyszłość programów antywirusowych? Niewykluczone. Być może znajdą się jakieś inne, lepsze sposoby walki z zagrożeniami. Jedno jest pewne - walka z wirusami wciąż trwa.