F-Secure: gigantyczna liczba próbek złośliwych kodów
- Józef Muszyński,
- 10.12.2007, godz. 14:11
Fiński dostawca środków bezpieczeństwa, firma F-Secure, zgromadziła w tym roku dwa razy większą liczbę próbek kodów złośliwych niż w ciągu ostatnich 20 lat.
Na koniec roku 2006 liczba zgromadzonych przez 20 lat próbek kodów złośliwych wynosiła 250 tysięcy. Ten sam poziom osiągnęła już też liczba nowych próbek z roku bieżącego.
Statystyki dotyczące liczby kodów złośliwych podawane przez firmy antywirusowe mogą być różne, ponieważ dane te często wywodzą się z doświadczeń użytkowników używających ich oprogramowania i są zależne od tego, jak szeroko jest stosowane takie oprogramowanie.
Jednak w tym wypadku także inni dostawcy odnotowują zalew nowych kodów złośliwych w internecie w ciągu ostatnich kilku lat. Symantec określił liczbę kodów złośliwych wykrytych pomiędzy styczniem i czerwcem br. nowych na 212 tys., co oznacza wzrost o 185 proc. w porównaniu z tym samym okresem roku poprzedniego.
Ten niespotykany przyrost świadczy o tym, że twórcy takich kodów generują duża liczbę różnych ich wariantów w celu utrudnienia życia dostawcom środków ochrony.
Wariant kodu złośliwego różni się zazwyczaj pewnymi elementami, które mają unikatowa postać, ale należy do znanej rodziny kodów złośliwych, wykorzystujących wspólny kod podstawowy i realizujących takie same funkcje. Twórcy kodów złośliwych wykorzystują tu takie techniki, jak "zaciemnianie", które polega na wtrącaniu pozornie niezbędnych fragmentów kodu, czyniąc go trudnym do rozpoznania i określania, co właściwe wykonuje, a także szyfrowanie dla zmylenia programów ochronnych.
Większa liczba próbek kodów złośliwych wymusza na dostawcach opracowywanie dostrojonych do nich produktów. Aby poradzić sobie z tym wyzwaniem F-Secure zatrudniła większą liczbę analityków do spraw bezpieczeństwa i prowadzi szeroko zakrojone prace projektowe nad automatycznymi narzędziami do oceny kodów złośliwych.
Każdy kod złośliwy musi być w pierwszej kolejności poddany analizie. W wyniku takiej analizy większość dostawców środków ochrony tworzy sygnatury, które pozwalają jego oprogramowaniu wykrywać kody złośliwe.
Automatyzacja czyni zadanie analizy kodów złośliwych cokolwiek łatwiejszym, ale i tak ostatecznie to człowiek podejmuje decyzje czy dodać automatycznie spreparowaną sygnaturę do zestawu.