Традиционные антивирусные технологии слишком медлительны, чтобы эффективно противодействовать распространению червей по IM-сетям
Традиционные антивирусные технологии слишком медлительны, чтобы эффективно противодействовать распространению червей активными пользователями, рассылающими сотни сообщений по сетям мгновенного обмена сообщениями

Если пользователи, поддерживающие связь со многими абонентами сетей мгновенного обмена сообщениями (instant messaging, IM), снизят свою активность, это может существенно замедлить распространение IM-червей.

Традиционные антивирусные технологии слишком медлительны, чтобы эффективно противодействовать распространению червей активными пользователями, рассылающими сотни сообщений по IM-сетям. Прерывание связи для таких пользователей может стать одной из стратегий, позволяющих замедлить или совсем прекратить распространение IM-червей. К такому выводу пришел Меттью Уильямсон, который, будучи специалистом компании Hewlett-Packard, проводил исследование, касающееся распространения IM-червей. В нем принимало участие около 700 пользователей.

На конференции Virus Bulletin 2004 International Conference Уильямсон рассказал о результатах этого исследования.

Сети мгновенного обмена сообщениями — пример феномена, известного как «генно-метаболитные» сети или «неограниченные сети». Этот термин используется эпидемиологами для описания систем, в том числе сообществ животных или людей, в которых не все члены связаны друг с другом, но которые сильно восприимчивы к вирусным инфекциям. В компьютерных сетях поведение таких систем определяется узлами с «большим числом связей», имеющих соединения с крупными частями сетевой популяции. В IM-сетях такие узлы — это пользователи, переписывающиеся со многими корреспондентами (в реальном мире такое поведение свойственно социально активным людям).

Черви, заражающие компьютеры таких пользователей, распространяются на машины их корреспондентов, а затем проникают в системы других пользователей IM-сетей. Результаты анализа деятельности «гиперобщительных» пользователей свидетельствуют о том, что традиционные методы защиты от вирусов, в частности антивирусное программное обеспечение для «иммунизации» пользователей сетей мгновенной передачи сообщений, становятся неэффективными. Причина этого, по мнению Уильямсона, заключается в том, что большинство пользователей IM-сетей имеют ограниченное число корреспондентов и их переписка существенно не влияет на распространение вирусов.

Разумнее, с его точки зрения, проводить «иммунизацию» пользователей с большим числом корреспондентов, но сделать это крайне сложно, учитывая, с какой скоростью IM-черви распространяются по всей сети. Тесты, проведенные в HP, показали, что для этого достаточно 10-20 секунд. В качестве альтернативы сетевые администраторы могут попытаться отследить поведение сообщений, по своему характеру напоминающее распространение вируса, и ограничить скорость взаимодействия машин. Эта методика, которую в HP называют «торможением вируса», практически идентична методу, разработанному компанией (сейчас HP оформляет на него патент) и применяемому для предотвращения массового распространения в корпоративных сетях вирусов и червей через электронную почту.

После объявления в феврале нынешнего года о планах, связанных с реализацией службы «торможения вирусов», компания в августе подтвердила, что он не эффективен в сетях со смешанным сетевым оборудованием. Сейчас HP ищет способы применения этой технологии в типичных сетевых средах.

Технология торможения вирусов предусматривает ограничение числа сообщений, которые пользователь, чей компьютер заражен вирусом, может послать абонентам, не входящим в состав его «рабочего множества», то есть тем немногочисленным корреспондентам, с которыми пользователь переписывается регулярно. Технология сама по себе эффективна, поскольку даже активные пользователи сети мгновенной передачи сообщений, имеющие 100 и больше «друзей по переписке», ежедневно обмениваются письмами лишь с небольшим количеством людей. Как правило, такое «рабочее множество» включает в себя не более пяти абонентов, а остальным корреспондентам активный пользователь пишет каждый день в среднем два письма.

При реализации технологии «торможения вирусов» любые сообщения, посланные абонентам, не входящим в рабочее множество, будут помещены в очередь, и их отправка будет задержана на какое-то время. Если очередь таких задержанных сообщений достигает определенной длины, это свидетельствует о необычно активной переписке с нетипичными корреспондентами. В таком случае, как отметил Уильямсон, связь в сети систем мгновенного обмена сообщениями будет блокирована или сообщения будут задержаны на более длительный период.

Использование «торможения» для того, чтобы временно отключить от IM-сети небольшое число активных пользователей, может существенно уменьшить скорость распространения червей в сетях мгновенного обмена сообщениями. В то же время, по мнению Уильямсона, этот метод никак не повлияет на работу подавляющего большинства пользователей.

Технология «торможения вирусов», как поспешил отметить Уильямсон, не была протестирована в крупных сетях мгновенной передачи сообщений, таких как сети абонентов America Online или службы Microsoft MSN. Она прошла апробацию среди корпоративных пользователей IM-сетей самой компании HP, однако наиболее показательной и активной категорией пользователей систем мгновенного обмена сообщениями являются подростки.

«Вполне возможно, что привычки и предпочтения молодежи несколько отличаются от тех, что свойственны людям более старшего возраста. К примеру, может быть, подростки предпочитают более активные переговоры», — сказал Уильямсон.

Итак, те же самые принципы, которые определяли использование сети мгновенной передачи сообщений в корпоративных сетях, таких как HP, должны применяться и к подросткам, позволяя администраторам отличать процесс распространения червей от легитимной деятельности, вне зависимости от структурного состава пользователей данной сети.