Андрей Каримов: "Это некорректно по отношению к пользователям"
АрхивЭкспертВирусы научились прятаться от антивирусов в запароленных архивах. Первыми средство от новой напасти придумали в "Лаборатории Касперского", однако в других антивирусных компаниях сомневаются в его эффективности.
Борьба вирусов и антивирусов - это классический спор брони и снаряда. Антивирусы становятся всё совершеннее, но и вирусы не стоят на месте. Чтобы скрыться от антивирусов, некоторые почтовые вирусы рассылаются в архивах, защищенными паролями.
Люди ничему не учатся и продолжают запускать приходящие по почте вирусы. Мало того, как выяснилось, они готовы ради совершения очередной глупости даже преодолевать препятствия. Запароленные вирусы распространились, значит на удочку вируса попались многие.
Первой способ борьбы с новой напастью нашли специалисты "Лаборатории Касперского". Теперь "Антивирус Касперского" будет... подбирать пороли к архивам. Однако это достаточно ресурсоемкая задача, и в "Лаборатории" придумали изящное решение. Антивирус сканирует текст самого письма, пытаясь обнаружить в нем пароль к архиву (в зараженных такими вирусами письмах всегда есть пароль, ведь в противном случае открыть архив не сможет никто).
Об эффективности такого решения мы попросили высказать свое мнение руководителя российского представительства компании Panda Software Константина Архипова:
"На такое решение можно посмотреть с технической и с прикладной точек зрения. С технической точки зрения, конечно, это оригинальная идея. Но при всей её оригинальности надо посмотреть на реализацию. У меня очень большие сомнения, что программа будет корректно находить все пароли, но это мнение я оставлю при себе. Что ясно уже сейчас - добавление описанной процедуры, выполненной в такой технологии, несомненно замедлит работу антивируса и приведёт к дополнительной нагрузке. С прикладной точки зрения - кому это надо? Если клиент использует антивирус на своём компьютере, то при разархивации такого запароленного архива любой антивирус обнаружит вредоносный код. Проверять же в режиме постоянного мониторинга такие файлы имеет смысл на сервере, и я не думаю, что системный администратор будет доверять такие проверки антивирусу, поскольку всё равно речь не идёт о стопроцентной или даже восьмидесятипроцентной способности обнаружить пароль в теле письма. Гораздо эффективнее удалять или помещать в "карантин" все запароленные архивы, а такая функция есть у большинства антивирусов. Так что, на наш взгляд, идея интересная, но пока практически бесполезная при защите предприятий".
Андрей Каримов, руководитель отдела антивирусных исследований Proantivirus Lab, тоже сомневается в эффективности подобного метода защиты от вирусов и приводит свои аргументы:
"Решение весьма оригинальное, конечно, но, по нашему мнению, несколько поспешное. Искать пароль в тексте письма - метод самый простой, но, к примеру, он сразу лишает пользователей возможности пересылать образцы вирусов в сами антивирусные лаборатории. Сейчас все службы поддержки рекомендуют пользователям пересылать подозрительные файлы в архиве с паролем, для того чтобы уберечь файлы от "контакта с антивирусом". Сейчас, к примеру, эта возможность отпадет. Ну и второе. Пока не совсем ясно, насколько с юридической точки зрения это корректно. Что касается нашего антивируса, то мы реализуем детектирование этого червя несколько другим методом, без подбора пароля к архиву. Пока мы считаем, что искать пароль в письме к архиву - это некорректно по отношению к пользователям".