Защита вирусов от копирования осложнит борьбу с ними
26-01-2012
Техника шифрования вирусов с использованием уникального машинно-зависимого ключа впервые была обнаружена «в диком виде», когда в начале текущего года компьютеры Mac поразила эпидемия вируса Flashback.
Кроме того, что этот вирус на пике эпидемии заразил не менее 600 тысяч машин с операционной системой, считавшейся неподверженной вирусам, экспертов по компьютерной безопасности сильнее насторожил тот факт, что каждая копия Flashback жестко привязывается к зараженной машине. В своей работе Пол Ройял с максимальной глубиной анализирует технику, примененную в вирусе Flashback и прогнозирует, что с распространением этой техники работа антивирусных компаний сильно осложнится, если вообще останется возможной.
Почти апокалиптические прогнозы Ройяла имеют под собой основание. Сейчас работа антивирусных компаний выглядит следующим образом: они собирают образцы зараженных файлов с компьютеров своих клиентов, а потом выполняют автоматический анализ этих образцов для выявления общих особенностей. В результате анализа генерируются наборы характерных признаков, по которым можно опознать и обезвредить каждый конкретный вирус – в обиходе этот набор называется вирусной сигнатурой. Корпорация Symantec поддерживает базу данных из 19 миллионов таких сигнатур. Только за 2011 года специалисты и компьютеры Symantec провели автоматизированный анализ 403 миллионов уникальных вариантов вредоносного ПО против 286 миллионов в 2010 г. Без автоматизации эта задача была бы гораздо сложней. «Лаборатория Касперского», в свою очередь, сообщает, что через ее систему автоматизированного анализа за 2011 год прошло более миллиарда разных образцов с подозрением на вирусы. Это очень большие цифры, которые еще раз показывают, как сложно работать производителям антивирусов даже сейчас, когда копии вируса в разных системах практически не отличаются друг от друга. С массовым внедрением индивидуального шифрования тела вируса для каждой отдельной системы задача анализа грозит стать недоступно дорогостоящей.
Теоретически, антивирусная компания может решить проблему с шифрованием тел вирусов, создав виртуальную машину, идентичную зараженной системе клиента. Однако, это может вызвать серьезную озабоченность среди пользователей относительно неприкосновенности своих персональных данных. Задачу борцов с вирусами осложняет и тот факт, что вирусописатели могут создать функции, которые будут интерпретировать команды вирусу от центров управления с помощью ключа, созданного на основании информации о размещении компьютера. Этот метод уже получил название «локализация набора инструкций»: в результате его применения команда для машины в Москве будет совершенно непонятна другому (или тому же) компьютеру в Берлине.
Представители антивирусных вендоров уже выразили надежду, что Ройял будет продолжать обсуждение проблемы на высоком уровне, чтобы не давать злоумышленникам помощи и четких инструкций по привязке своих вирусов к каждой заражаемой машине. В свою очередь, сам Ройял заявляет, что его работа должна послужить предупреждением для всех специалистов по защите, чтобы они взялись за проблему с максимальной тщательностью и скоростью. По его словам, это не повод выбрасывать старые инструменты для анализа вредоносного ПО, но повод к их быстрой модернизации. Полное содержание своей работы Ройял собирается представить на хакерской конференции Black Hat в Лас-Вегасе на этой неделе.
По материалам сайта MIT Technology Review.
