Jak testować antywirusa
- 27.10.2009
Mimo wszystko należy pamiętać, że pobrana próbka kodu jest statycznym obrazem malware'u. Ma to kolosalne znaczenie w dobie bardzo zmiennego kodu, niejednokrotnie rekompilowanego co kilka minut. Dzisiejsze zagrożenia w ponad 50% docierają do stacji roboczej właśnie przez Internet, proces infekcji składa się z kilku etapów, przy czym pierwszy (a czasami także drugi) nie powoduje jeszcze instalacji samego malware'u. Producenci oprogramowania do ochrony stacji roboczych znaleźli sprytną metodę wykrywania złośliwego oprogramowania, opierającą się na reputacji obiektów. Obiektami mogą być pliki lub hiperłącza, przy czym proces analizy odbywa się z użyciem cloud computing, realizowanej przez dostawcę oprogramowania antywirusowego. Aby przetestować takie oprogramowanie, należy podsunąć mu odpowiedni zestaw linków, przy czym niektóre z nich powinny być jeszcze nieznane danej usłudze. Pionierem w dziedzinie stosowania cloud computing na masową skalę w oprogramowaniu antywirusowym był Trend Micro.
Stary test nie pasuje do nowych antywirusów
Test związany z wykrywaniem malware dostarczanego w formie próbek na zewnętrznych nośnikach, dobrze odzwierciedla pracę antywirusa, który opiera zasadę działania na sygnaturach i mechanizmach behawioralnych. Jest to dobry test, oddający rzeczywiste zachowania stacji roboczej, z której nie przegląda się Internetu albo połączenie jest chronione za pomocą innych mechanizmów.
Zagrożenie "z powietrza"
Pewna część zagrożeń pochodzi z linków publikowanych w różnych portalach społecznościowych, takich jak Facebook czy blogi, bardzo wiele z nich znajduje się w spamie, a pewna część obiektów na przejętych przez włamywaczy serwerach. Sama ilość wykrywanych obiektów jest wyzwaniem - mechanizmy randomizacji kodu umożliwiają bardzo szybkie budowanie nowych składników oraz ich sprawną dystrybucję na przejętych serwerach WWW. Systemy wykrywania typowego złośliwego kodu rejestrują codziennie od 15 do 50 tys. nowych próbek malware'u - podaje F-Secure. Według ESET, liczba nowych źródeł infekcji przekracza sto tysięcy dziennie.
Jeśli policzyć wszystkie pliki (a niektóre z nich, zwłaszcza z pierwszych etapów infekcji, są często generowane), liczba wykrytych próbek malware'u przez niektóre skanery dochodzi do prawie 100 mln miesięcznie, co odpowiada średnio 3,2 mln dziennie (dane pochodzą z serwisu Virus Map dostarczanego przez Trend Micro). Przy takiej skali zagrożenia, porównanie opierające się na statycznych plikach przestaje mieć sens, gdyż antywirus, który korzysta jedynie z sygnatur i prostej heurystyki jest bezbronny wobec zmasowanego ataku coraz sprytniejszych infektorów.