Статистика загрузок позволяет оценить степень опасности программы

Примерно до 2007 года рост числа вредоносных программ имел линейную динамику и умеренный темп. Фактически он прямо зависел от скорости, с которой злоумышленники создавали новые вирусы. Однако за последний год появилось порядка миллиона образцов нового вредоносного кода, а сейчас каждый день регистрируется еще около 10-15 тыс. Столь сильное увеличение темпов роста объясняется тем, что создатели вредоносных программ стали массово использовать автоматическую модификацию кода, чтобы противодействовать антивирусам, основанным на сигнатурном анализе. Для этого в скомпилированную программу автоматически вставляются комбинации команд, которые не выполняют никаких полезных действий, например обрабатывают неиспользуемые данные или переходят по адресам только ради добавления команд перехода. Количество возможных сочетаний этих команд практически неограниченно, так что для каждого пользователя можно автоматически сгенерировать уникальный вирус, хотя и используемых сейчас малых серий для успешного противодействия традиционным антивирусам достаточно. Впрочем, в Symantec считают, что есть основания ожидать, что количество обнаруживаемых ежегодно образцов индивидуализированного вредоносного кода будет измеряться десятками миллионов.

Для того чтобы корпоративные пользователи, загружающие программы из Internet, смогли точнее отличать потенциально опасный код от полезного, Symantec разработала основанную на репутационном анализе и белых списках технологию под названием DeepClean, которая сейчас находится в финальной стадии концептуального проекта. В основе DeepClean — сеть программно-аппаратных сенсоров, устанавливаемых на границе сетей организаций — пользователей системы, и отслеживающих загрузку файлов из Internet. Эти сенсоры предоставляют сетевым администраторам и другим пользователям хранящуюся в центральной базе данных оценку риска для каждого файла, которая складывается из репутации издателя файла, репутации сайта, где файл опубликован, частоты загрузок данного файла другими пользователями, отзывов от прежних пользователей, которые в состоянии адекватно оценивать степень опасности файла, информации из антивирусных баз и т. д. Кроме того, сенсоры обеспечивают пополнение и обновление центральной базы. Репутационный анализ заполняет пробел между категориями, попадающими в белый список (проверенные файлы от доверенных поставщиков) и в черный (файлы, признанные вредоносными).

С использованием DeepClean сопряжены по меньшей мере два риска, о которых следует помнить пользователям. Во-первых, проверенные файлы от доверенных поставщиков могут содержать скрытые уязвимости, о которых известно ограниченному кругу лиц и которые могут быть потенциально использованы для атаки. Такие файлы могут быть помечены как полностью надежные, что может ввести в заблуждение.

Во-вторых, сведения о загружаемых организацией файлах, которые передаются в центральную базу данных, могут привести к раскрытию информации о деятельности этой организации, например направлениях исследований и разработок.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF