Проактивная защита

Главный "плюс" поведенческого анализатора в способности обнаружить и заблокировать совершенно новый вирус, сигнатура для которого еще отсутствует в базах.

Война между вирусами и антивирусами – бесконечна. Чтобы победить в противостоянии, нужно быть сильнее противника – сложнее, мощнее, умнее. В результате, противодействие угрозам способствует их усложнению, а усложнение угроз ведет к совершенствованию средств противодействия. К чему же привела эта порочная спираль развития на сегодняшний день?

Во-первых, непрерывно растет скорость появления вирусов. По данным статистики "Лаборатории Касперского", за первое полугодие 2006 года число обнаруживаемых новых вирусов, в среднем, выросло на 8% относительно предшествующего полугодия. Антивирусные компании оказываются в ситуации жесткого выбора: либо внедрять инновационные технологии, позволяющие совершить некий качественный скачок в области обработки вирусной лавины, либо оказаться "погребенными" под ней, не справиться с задачей защиты от угроз.

Во-вторых, усложняются сами вирусы. Ускоряется создание средств их защиты, в том числе новых упаковщиков кода. Вирусописателями активно используются технические приемы, нацеленные на затруднение анализа кода вируса, такие как обфускация и полиморфизм, в итоге, задача анализа кода постоянно усложняется.

В качестве подпункта к предыдущему пункту заметно выделяется совершенствование вирусописателями технологий сокрытия присутствия вируса в системе. Оно обеспечивается совокупностью достаточно сложных технических приемов, которые сравнительно недавно (около двух лет назад) стали применяться в вирусах под Windows и были названы "руткитами" вслед за аналогичным давно известным явлением из мира Unix. (Подробнее см. статью "Возможности rootkit и борьба с ними"). В силах руткит-технологий сделать вредоносную программу невидимой не только для пользователя, но и для антивируса. Таким образом, усложняется даже, казалось бы, простая задача получения доступа к вирусу!

Итак, выделим три опасные тенденции:

1. Затруднение обработки потока новых вирусов за счет увеличения его объема
2. Затруднение анализа кода вирусов
3. Затруднение доступа к телу вируса

Классический метод противодействия вирусным угрозам – использование файлового сигнатурного антивируса. Суть его защитных функций заключается в сканировании файлов на диске и поиске в них вирусных "сигнатур" - цепочек байтов, характерных для той или иной компьютерной заразы. Базы, в которых эти сигнатуры хранятся, постоянно обновляются. Каждый новый вирус требует отдельного анализа и выделения сигнатуры. До тех пор, пока такая сигнатура не выделена специалистами и не добавлена в базы, вирус не может быть обнаружен.

Количество людей, занимающихся добавлением сигнатур в базы и анализом "упаковщиков", можно увеличить, а для противодействия руткитам - использовать все более изощренные технические средства. При сохранении такого подхода попытки противодействовать тенденциям в вирусной индустрии сродни попыткам убежать от поезда.

Проактивная защита (поведенческий блокиратор, поведенческий анализатор) - одна из современных технологий, воплощающих качественный скачок в области противодействия вирусным угрозам и позволяющих, условно говоря, "сойти с рельсов". Суть технологии в том, что анализу подвергаются не файлы на диске, а само поведение программы - совокупность действий, совершаемых приложением в системе. Ведь если мы считаем некий класс программ вредоносными, то можем определить и характерные особенности их поведения. Например, скрытая от пользователя инсталляция в систему или модификация системных файлов - если и не бесспорно "вирусные" действия, то, как минимум, крайне подозрительные.

Рассмотрим, как проактивная защита обходит вышеуказанные проблемные тенденции в современной вирусной индустрии:

1. Главный "плюс" проактивной защиты в способности обнаружить и заблокировать совершенно новый вирус, сигнатура для которого еще отсутствует в базах. Таким образом, скорость реакции на новый вирус со стороны специалистов, вносящих изменения в базы, перестает критичным фактором защиты, следовательно, увеличение вирусопотока перестает быть фактором риска для пользователя.
2. В то время как вирусы совершенствуются в шифровании своего кода и сокрытии файлов, скрыть поведение практически невозможно. Для проактивного анализатора файл программы играет роль лишь постольку, поскольку после вынесения вердикта о вредоносном поведении файла его потребуется удалить.

Модуль проактивной защиты встроен, частности, в "Антивирус Касперского" шестой версии. Основное направление его работы - слежение за активностью приложений в системе. Если приложение совершает одно или несколько подозрительных действий, его работа временно приостанавливается, а на экран выводится предупреждение. Если по выбору пользователя приложение было остановлено, то возможен "откат" всех его действий. Это важно: если файл вируса просто удалить, то в системе останутся связанные с ним файлы или записи реестра, что может привести к неработоспособности или к продолжению заражения.

По каким особенностям поведения программы можно определить, что действия ее вредоносны? Например, если она создает свою копию в системной директории и одновременно записывает ссылку на нее в реестр, для автозагрузки при старте компьютера. Этому (в общих чертах) поведению соответствует вердикт проактивной защиты Trojan.Generic. Существует еще несколько таких "красных" (наивысшей степени опасности) вердиктов, каждый из которых выносится проактивной защитой в ответ на поведение, крайне характерное для того или иного типа вируса. Например, червь, создающий свои копии в сети, будет классифицирован как Worm.Generic, а червь, копирующий себя в директории файлообменных сетей - как Worm.P2P.Generic.

Определение приложения как вредного только по поведению - нетривиальная задача, и ее решение не может быть таким же гарантированно верным, как вердикт сигнатурного антивируса. Поэтому, помимо красных, существуют желтые предупреждения (уровень опасности – "подозрительно") и синие, информативные. Появление желтого или, в особенности, синего предупреждения необязательно означает, что обнаружен вирус. Возможно, некое легальное приложение пытается совершить подозрительное действие, например, получить доступ к критичному разделу реестра.

Проактивная защита следит не только за активностью приложений, но и за активностью скриптов MS Office, за целостностью загруженных модулей, за тем, не появился ли в списке процессов скрытый - руткит. "Проверенные" приложения, для которых не должны появляться никакие предупреждения, могут быть внесены в "белый список". Нами запланирован цикл более подробных статей отдельно по подсистемам проактивной защиты.

Для примера того, насколько важна проактивная защита сегодня, рассмотрим недавнюю и еще не вполне утихшую эпидемию червя Warezov. Этот, казалось бы, обычный почтовый червь получил широкое распространение в краткие сроки во многом благодаря такой защите его кода, что каждая новая модификация вируса (а их появлялось до десятка в день) оказывалась недетектируемой для старых сигнатур. В итоге, ситуацию спасали только круглосуточные бдения специалистов по сигнатурам да частое обновление антивирусных баз.

Между тем, при использовании проактивной защиты эпидемия E-Mail-Worm.Win32.Warezov была бы невозможной в принципе! Поведение данного червя настолько типично, что модуль контроля за активностью приложений реагирует на него без необходимости обновления антивирусных баз целым рядом предупреждений разной "степени тяжести":

• Trojan.Generic - предупреждение наивысшей степени опасности
• Invader - "желтое" предупреждение о попытке процесса внедрить код в другие процессы
• "Синие" предупреждения о модификации критических разделов реестра
• "Желтые" предупреждения о нарушении целостности исполняющихся приложений

Причем, каждое последующее предупреждение появляется только в том случае, если пользователь проигнорировал предыдущие. Из любого предупреждения выполнение вируса можно остановить, а те изменения, которые он успел внести в систему, отменить.

Таким образом, в настоящее время, когда число новых вредоносных программ постоянно растет, и скорость распространения вредоносных программ иногда превышает скорость реакции антивирусных компаний, проактивная защита становится критически важным компонентом защиты, органично дополняющим традиционные сигнатурные методы борьбы с компьютерными угрозами.