Сейчас на сайте
Сейчас на сайте 0 пользователей и 0 гостей.

Вирусное завтра

Извечное противостояние снаряда и брони имеет прямое отношение и к антивирусной индустрии. В роли снаряда выступают вредоносные программы, созданные вирусописателями, а антивирусные компании должны постоянно совершенствовать броню, предлагаемую пользователям. Это постоянная гонка, в которой трудно что-либо изменить, поскольку злоумышленники всегда будут на шаг впереди и задача — максимально быстро отреагировать на их новшества. Несмотря на многие современные технологии, позволяющие значительно затруднить создание «недетектируемого» вируса, такие как проактивная защита, эвристические анализаторы, эмуляторы, мы уже сейчас видим угрозы, которые будут присутствовать в завтрашнем компьютерном мире и которые заставят разрабатывать новые и новые методы противодействия им.

Наиболее заметными явлениями в области «теории компьютерных вирусов» стали три концептуальные разработки, осуществленные исключительно с исследовательской целью. Однако сами по себе представленные технологии весьма опасны и, несомненно, привлекут самое пристальное внимание андеграунда.

Первой такой технологией стал прообраз бэкдора, расположенного в загрузочном секторе жесткого диска и получающего управление еще до старта операционной системы. Будучи загружен таким образом, он имеет возможность изменить многие системные функции ОС или заменить их на собственные. Бэкдор был представлен публике компанией eEye Digital Security в августе 2005 года.

Несмотря на то что практически все современные антивирусные программы имеют функцию сканирования загрузочных секторов дисков (собственно, именно с boot-вирусов и началась антивирусная история много лет назад), но проблема обнаружения перехваченных и подмененных системных функций остается весьма актуальной и по сей день и не решена окончательно даже в рамках работы троянца и антивируса в одной ОС, не говоря уже о бэкдоре, стартующем до операционной системы.

Эта работа привлекла внимание, и вскоре у нее появились последователи. В январе 2006 года Джон Хесман, сотрудник компании Next-Generation Security Software, заявил о том, что набор функций по управлению электропитанием компьютера (так называемый ACPI - Advanced Configuration and Power Interface) позволяет создание программ, реализующих rootkit-функционал, которые могут храниться в флеш-памяти BIOS.

Технология записи вирусов в флеш-память BIOS не нова. Еще в 1998 году печально известный вирус CIH («Чернобыль») стирал флеш BIOS, если мог получить к нему доступ. Впоследствии появились троянские программы, осуществлявшие подобные атаки.

Хесман также создал прототип кода, позволяющий повысить привилегии в системе и читать данные из памяти компьютера.

Подобное место хранения вредоносного кода (BIOS) еще более затрудняет возможность его обнаружения, чем в случае с boot-бэкдором.

В марте сего года в среде специалистов по компьютерной безопасности произошла шумиха: активно обсуждалась идея «недетектируемого» руткита, основанного на технологиях виртуальных машин. Возникает вопрос: о чем все это и нужно ли начинать волноваться?

Проект руткита, работающего ниже уровня операционной системы, разрабатывается в университете штата Мичиган и спонсируется Microsoft. Широкой общественности стало известно о нем после публикации программы конференции IEEE Symposium on Security and Privacy, на которой будет представлена данная proof-of-concept-разработка.

Все современные вредоносные программы работают в одной среде со средствами защиты; таким образом, преимущество той или иной стороны определяется всецело «гонкой вооружений». Кто оперирует на более низком уровне внутри системы, тот и сильнее. Идея парней из Мичигана состоит в том, что можно вынести вредоносный код за пределы этой «матрицы», сделав его принципиально невидимым изнутри нее.