По его словам, вирусописатели стараются не просто заразить как можно больше систем, но и похитить с них конкретную информацию о том, как используется компьютер, и другие полезные сведения. Все более распространенным инструментом хакеров становится использование полиморфного кода, который постоянно изменяется. Многие злоумышленники для обхода систем обнаружения кода шифруют его с помощью различных "упаковщиков". По словам Вильямсона, впоследствии некоторые из них используют отличающиеся способы расшифровки кода, что позволяет создать практически неограниченное число вариаций. Примером такой программы является обнаруженный в начале этого года троянский загрузчик Swizzor. Раз в минуту он переупаковывает себя, избегая таким образом обнаружения с помощью средств, основанных на анализе сигнатур. Такие средства срабатывают только тогда, когда точно знают, что именно блокировать. «Перекомпиляция кода - еще один прием, с помощью которого хакеры могут изменить программный код и обойти блокирующие системы», - считает Вильямсон. Другие шпионские программы избегают обнаружения с помощью общедоступных средств шифрования или упаковки. По словам технического директора американской компании Webroot Software Герхарда Эсхельбека, в случае, если используются собственные алгоритмы шифрования, они обычно оказываются модификациями алгоритма, находящегося в открытом доступе, или алгоритма с открытым исходным кодом. Для того чтобы активно препятствовать работе антишпионских программ, злоумышленники используют также драйверы, работающие в режиме ядра, и методы блокировки процессов. Еще один способ маскировки, используемый современными вредоносными программами, – разделения себя на несколько зависящих друг от друга компонентов. Как рассказал менеджер по работе с вредоносным программным кодом отдела iDefense компании VeriSign Ральф Томас, после такого разделения каждый фрагмент-компонент отслеживает состояние других компонентов, и если сделана попытка удаления одного из компонентов, другие фрагменты немедленно запускают или инсталлируют его снова. «Таким образом, удаление становится весьма трудной задачей», - констатировал Томас. Одним из первых образцов подобной вредоносной программы стала WinTools, появившаяся еще в 2004 году. На зараженных системах она устанавливала панель инструментов и три отдельных компонента. Попытка удаления любой из частей программы приводила к тому, что другие части просто заменяли удаленный фрагмент и запускали ее снова. Еще больше проблем доставляют вирусологам руткиты, с помощью которых осуществляется скрытие вредоносного кода на зараженных системах. По словам Вильямсона, руткиты инсталлируются на уровне операционной системы или как модули, работающие в режиме ядра, после чего становятся способны скрывать вредоносный код и процессы от средств обнаружения вредоносных программ. Ярким примером подобной вредоносной программы является Haxdoor. С помощью одного из ее вариантов в октябре было осуществлено похищение информации с 8,5 тыс. компьютеров в 60 странах мира. С зараженных компьютеров были похищены и отосланы на удаленный сервер пароли, информация о нажатиях клавиш и снимки экрана. Haxdoor использовалась для отключения на зараженных системах межсетевых экранов и скрывала себя с помощью руткита.

Поделитесь материалом с коллегами и друзьями