Диалектику борьбы можно выразить и такими словами: «Враг не дремлет». Это относится и к вирусописателям, наделяющим вредоносные программы способностью противостоять своим заклятым противникам — антивирусным средствам. Поэтому стоит обратить внимание на статью Алисы Шевченко, эксперта компании «Лаборатория Касперского», посвященную проблеме эволюции технологий самозащиты вредоносных программ. Полный текст работы помещен на информационно-аналитическом портале Viruslist.com по адресу www.viruslist.ru/analysis?pubid=204007553.
Остановимся лишь на основных моментах публикации А. Шевченко. В ней отмечено, что главное направление антивирусной борьбы было связано с анализом кода файла, поэтому вирусописатели использовали в качестве основного приема технологии модификации кода, в частности полиморфные и метаморфные, позволяющие сохранять вредоносные функции неизменными, а вредоносным программам мутировать при копировании, что существенно затрудняло их обнаружение.
А. Шевченко рассматривает и другие технологии защиты вредоносности вроде шифрования, в основном применяемые для затруднения анализа кода. Эти технологии при реализации оказываются разновидностью полиморфных вирусов. Для той же цели разработчики вирусов весьма активно используют программы-упаковщики (пакеры), причем многообразие таких программ возрастает. С их помощью исходный файл не только сжимается, но и снабжается дополнительными функциями защиты, затрудняющими его распаковку и анализ с помощью отладчика.
У вредоносных программ также имеется способ самозащиты от обнаружения, связанный с их сокрытием внутри системы. Это так называемые stealth-технологии, использованные еще в DOS и возрожденные в ОС Windows под названием rootkit-технологии. Чаще всего они основаны на механизме модификации цепочки системных вызовов или изменении системных данных. Как отмечает А. Шевченко, направление развития rootkit-технологий обусловлено использованием виртуализации и функций оборудования. Она полагает, что эти технологии перспективны для вирусописателей, но в то же время они вряд ли принесут существенный вред в ближайшие годы.
Потеря актуальности полиморфных и смежных технологий обусловливается отходом в антивирусных программах от сигнатурных способов обнаружения вредоносности. Приход на смену им поведенческих способов поиска вирусов с помощью соответствующих анализаторов позволяет вредоносным программам обнаруживать лишь отдельные проявления или функции антивирусных продуктов. Но из-за отсутствия универсальности такой способ самозащиты вирусов, по мнению А. Шевченко, не слишком подходит вирусописателям. В то же время технологии, затрудняющие анализ кода специалистами, например обфускация, в отличие от полиморфизма не теряют актуальности. Тем не менее, как говорит автор статьи, принципиальная уязвимость вредоносных программ при использовании поведенческих анализаторов антивирусами задает наиболее вероятный вектор их дальнейшей эволюции. Вирусописатели будут вынуждены искать пути обхода поведенческих анализаторов антивирусов и тем самым повышать самозащиту вирусов. Вот какой прогноз путей развития самозащиты вирусов дает А. Шевченко.
-
Использование rootkit-технологий объективно дает преимущества вредоносным программам при их обнаружении.
-
В ближайшее время наиболее вероятны новшества в области создания вредоносных программ, не имеющих своего тела, и несколько позже таких, которые используют технологии виртуализации.
-
Затруднение анализа кода благодаря его обфускации (затенению) и шифрованию позволит сохранить вредоносность.
-
Развитие противодействия средствам борьбы с вредоносностью на основе поведенческого анализа приведет, скорее всего, к появлению новых технологий со стороны вирусописателей. Возможно, это будут некие способы детектирования виртуальной среды или шифрование поведенческих паттернов (образов).
В общем А. Шевченко считает, что конца «гонки вооружений» и у вирусо-, и у антивирусописателей не предвидится.