Nowa jakość epidemiologii

Z Markiem Sellem, twórcą najpopularniejszego polskiego programu antywirusowego mks_vir, rozmawia Wiesław Pawłowicz.

Z Markiem Sellem, twórcą najpopularniejszego polskiego programu antywirusowego mks_vir, rozmawia Wiesław Pawłowicz.

Marek SellCzy obserwuje Pan zmiany "rynku wirusów komputerowych"? Jak zmieniają się preferencje autorów wirusów, koni trojańskich i robaków sieciowych?

Najbardziej charakterystyczna tendencja to, obserwowany od dłuższego czasu, spadek liczby pojawiających się nowych wirusów. Obecnie jest ich tylko 150-200 na miesiąc. Wcześniej ich liczba regularnie utrzymywała się w granicach 500-600.

Zmienia się też repertuar. Makrowirusy są kategorią coraz rzadziej występującą. Pojawia się ich zaledwie ok. 50 na miesiąc, a w szczytowym okresie było ich 200-300. Zdecydowanie wzrasta liczba wirusów linuxowych, obecnie przybywa ich 20-30 miesięcznie.

Trudno przewidzieć, czy ogólny spadek liczby pojawiających się nowych wirusów będzie miał tendencję trwałą. Być może jest to tylko okres przejściowy, związany z zachodzącą właśnie zmianą technologii i narzędzi ułatwiających tworzenie tego typu programów.

Kiedyś komputery infekowano przenosząc dane z dyskietki na dyskietkę. Jaką drogą dzisiaj, w dobie Internetu, rozprzestrzeniają się najniebezpieczniejsze wirusy?

Zainteresowanie i aktywność autorów szkodliwych programów skoncentrowały się na sieciowych wirusach systemu Windows, które rozprzestrzeniają się w Internecie pocztą elektroniczną, ale nie tylko. Istnieją też typy wirusów bezpośrednio atakujące komputery podłączone do sieci. Dlatego dzisiaj użytkownik komputera jest bardziej narażony na infekcję jednym z należących do tej klasy wirusów - W32/SirCam, W32/BadTrans, W32/Klez, W32/ Magistr czy W32/Nimda. Żadnemu z pozostałych nie udało się ostatnio przekroczyć 1% udziału w "rynku".

Mniejsza liczba wirusów oznacza mniej pracy dla producentów oprogramowania antywirusowego...

Niestety, tak nie jest. Nowe wirusy są znacznie bardziej skomplikowane i trudniejsze do wykrycia. Częściej wymuszają zasadnicze zmiany w algorytmie działania programów antywirusowych. Wynika to m.in. z tego, że rozwój Windows i aplikacji dla tego systemu jest ukierunkowany na ułatwianie i automatyzowanie funkcji, z czego korzystają nie tylko użytkownicy, ale także autorzy wirusów. Poza tym szybko rośnie liczba obiektów w tym systemie, które są różnego typu programami wykonywalnymi, i w związku z tym mogą być infekowane.

Także poza Windows pojawiają się nowe obszary zagrożeń. Jak wspomniałem, wraz z rosnącą popularnością systemu Linux notujemy znacz-ny wzrost liczby wirusów na tę platformę. Rozwijają się wirusy Javy - dzisiaj do ich wykrywania nie wystarczy proste skanowanie, potrzebna jest już emulacja w wirtualnej maszynie. A przecież wszystko wskazuje na to, że jesteśmy u progu masowego wykorzystania platformy Java w urządzeniach powszechnego użytku, np. w telefonach komórkowych najnowszej generacji. Jestem przekonany, że wkrótce tego typu wirusy zaczną się pojawiać na dużą skalę.

Tworzenie jakich elementów oprogramowania antywirusowego stwarza najwięcej problemów?

Jednym z najtrudniejszych w realizacji modułów oprogramowania antywirusowego jest ich część, umożliwiająca automatyczne usuwanie modyfikacji plików wywołanych przez wirusy. Z jednej strony jest to spowodowane skomplikowaną strukturą systemu operacyjnego i aplikacji, które składają się z wielkiej liczby plików, z drugiej, wzrastającą złożonością działań podejmowanych przez wirusy.

Można tu podać przykład wirusów tworzonych przez jednego z rosyjskich autorów, który od pewnego czasu stara się zrealizować koncepcję wirusa powodującego zablokowanie funkcjonowania oprogramowania antywirusowego przez znaczne wydłużenie - wg jego deklaracji do 30 minut - czasu niezbędnego do skanowania jednego pliku. Na razie pomysł ten nie został zrealizowany, choć trzeba przyznać, że potrzeba wykrywania stworzonych przez niego wirusów spowodowała już kilkunastoprocentowe spowolnienie działania programów wykrywających jego "dzieła".

Czy rozwój Internetu spowodował, że użytkownicy w Polsce są tak samo zagrożeni atakami wirusów, jak w innych krajach?

W znacznym stopniu tak, ale mimo to występują różnice. Dotychczas polscy użytkownicy systemów informatycznych mieli dużo szczęś- cia i uniknęli masowych infekcji. Wynika to z niewielkiej aktywności krajowych autorów wirusów, a także ze względnie ograniczonej znajomości języka angielskiego. Osłabia to podatność Polaków na atrakcyjne i przyciągające uwagę Anglików lub Amerykanów treści wiadomości e-mail. Paradoksalnie lepsze wykształcenie i znajomość języków mogą zwiększyć zagrożenia infekcji wirusem.