Spojrzeć wstecz

Ponieważ złośliwy kod obecnie bardzo silnie integruje się z systemem Windows, niektórzy specjaliści są zdania, że całkowite wyczyszczenie podejrzanej stacji roboczej jest niemal niemożliwe. Dodatkowym utrudnieniem jest powszechnie stosowany mechanizm pobierania innych składników złośliwego oprogramowania. Pobrany moduł instaluje kolejny, przy czym nigdy nie ma pewności, że oprócz fragmentów komunikujących się przez sieć, nie pozostał zainstalowany jeszcze jeden, który na razie nie transmituje żadnych pakietów. Z kolei nawet malware, które wysyła jakieś informacje na zewnątrz, nie zawsze bywa wykryte w porę.

Szczególnego znaczenia nabierają zatem narzędzia, które potrafią skorelować zdarzenia sieciowe, by wskazać podobne zdarzenia z przeszłości. Administratorzy wiedzą wtedy, które stacje robocze i serwery należy dogłębnie skontrolować, gdyż istnieje prawdopodobieństwo, że zostały zainfekowane.

"Mechanizm taki umożliwia wykrycie infekcji, która dotąd przeszła niezauważona, a dopiero teraz oprogramowanie antywirusowe podniosło alarm przy okazji analizy innego kodu. W takim przypadku narzędzie typu Thread Management Services będzie potrafiło wskazać moment, w którym w przeszłości zanotowano podobny ruch do tego, który obecnie jest związany z wykrytym atakiem" - mówi Filip Demianiuk.

Czyszczenie nie ma sensu

Integracja malware'u sięga dziś coraz głębiej, przy czym oprogramowanie to jest przystosowane, by przetrwało jak najdłużej, zatem broni się przed narzędziami ochronnymi, wliczając MSRT czy niektóre motory antywirusowe. Jest to stały pojedynek, zatem w przypadku wykrycia i usunięcia znanej infekcji, trudno stwierdzić, czy dany system na pewno jest "czysty".

"Specjaliści są zdania, że administratorzy powinni w przypadku wykrycia infekcji obejmującej więcej niż jeden komputer rozważać całkowite odtworzenie kompletnego środowiska, które z sobą się komunikowało. Chociaż polityka ta wydaje się zbyt restrykcyjna, obecny stan wiedzy wskazuje, że jest to jedyny pewny sposób uniknięcia pozostawienia złośliwego oprogramowania w podejrzanych systemach. Analiza wsteczna ruchu za pomocą narzędzi, takich jak TMS, umożliwi wskazanie tych maszyn z dużym prawdopodobieństwem" - uważa Filip Demianiuk.

Ponieważ usuwanie złośliwego kodu jest trudne, należy spodziewać się wykorzystywania narzędzi do odtwarzania stacji roboczej lub serwera do stanu sprzed infekcji. Oprogramowanie takie jest dostępne już dziś, ale nie bywa integrowane z antywirusem i jest wykorzystywane głównie do kopii bezpieczeństwa z opcją disaster recovery.