Kako sam dobio virus kad imam antivirus?

Ćao svima!

Moje ime je Denis i u EXTREMEu radim tehničku podršku za NOD32 i komercijalne aplikacije na Windows platformi. U razgovoru sa korisnicima često nailazim na pitanje iz naslova i prvi odgovor je jednostavan – savršena antivirusna zaštita ne postoji. „Da postoji, svi bi je prodavali…“ – često ume da doda direktor našeg razvojnog tima. Iako se sa konstatacijom svi slažu, sigurni smo da nijedan korisnik ovim odgovorom nije zadovoljan. Iskreno, ne bih bio ni ja. Zbog toga je pronalaženje rešenja kada do problema dođe sledeći korak i ono čime se mi u EXTREMEu zapravo bavimo. U ovom i sledećim postovima pokušaću da vam odgovorim na gore pomenuto i, nadam se, mnoga druga pitanja vezana za bezbednost računara.

Antivirusna zaštita je koncept poznat većini korisnika računara i mislim da ga nije potrebno dodatno pojašnjavati. Za primer ćemo uzeti jedan od najčešćih scenarija:

Pretpostavimo da je kreator virusa napravio novu varijantu poznatog malicioznog koda i ubacio ga u keygenerator za nelegalnu aktivaciju neke popularne, komercijalne aplikacije koju većina korisnika Interneta rado koristi. Kreator će tako spremljen paket podići na većinu poznatih Internet servisa za razmenu fajlova (rapidshare, megaupload itd.) i ostaviti link na nekoj posećenoj lokaciji za pretragu (warez, torrent search itd.) – mamac je postavljen. Žrtva, tj. korisnik nelegalnog softvera će preuzeti najnoviji paket, iskoristiti keygenerator i instalirati aplikaciju iako zna da realna opasnost da zarazi računar ipak postoji. Pogađate verovatno, većina korisnika računara danas ima antivirus i opravdano računa na njegovu zaštitu. Istina je, međutim,  da je antivirus tu da smanji potencijalni rizik, ali ne može da ga eliminiše u potpunosti.

U našem scenariju maliciozni kod predstavlja nedefinisanu varijaciju poznatog virusa i za tradicionalnu analizu antivirusnim potpisima je nevidljv.  Neprimećen, kod će nastaviti da se izvršava i dalje širi preko USBa, fajl šera, mail-a i Interneta tražeći nove žrtve. Koliko je virus sofisticiran, tj. koliko se vešto prikriva i širi zavisi samo od mašte i umešnosti kreatora, a poznato je da se radi o vrhunskim programerima. Evo malo statistike da ne bude sve pretpostavka – na globalnoj mreži se svakog sata pojavi oko 7000 novih varijacija poznatih pretnji. Conficker, poslednji veliki outbreak, zarazio je preko 9.000.000 računara za svega nekoliko nedelja. U našem scenariju dalje širenje virusa se neće usporiti sve dok antivirusni programi kroz redovni update ne dobiju odgovarajući potpis na osnovu kojeg mogu da prepoznaju i uklone neželjeni kod. Vremenski period od pojavljivanja virusa do njegovog definisanja ima i svoje ime – ZeroDay Outbrake. Sledeći dijagram prikazuje taj period u satima:

Kako se NOD bori protiv ovakvih pretnji?

TreathSense tehnologija predstavlja srce NOD32 Antivirusa, programski kod (endžin) koji pronalazi viruse na dva načina. Prvi je tradicionalno upoređivanje programskog koda sa postojećom bazom virusnih definicija i u našem slučaju metod koji ne obećava previše, jer definicija za novu varijaciju još uvek ne postoji.

Drugi metod za otkrivanje pretnji je heuristička analiza. Heuristika je, ustvari,  sofisticiran programski algoritam koji nadgleda izvršavanje programa na računaru i klasifikuje ih na osnovu unapred definisanih ’pravila ponašanja’. U većini slučajeva, virusi su ’prljavi’ procesi bez odgovarajućih, validnih atributa koji se kriju i ’operišu’ na računaru po prepoznatljivom šablonu. Ukoliko je određeni program sumnjiv jer krši više pravila istovremeno, heuristika će ga detektovati kao potencijalnu pretnju. U našem primeru heuristika predstavlja prvu liniju odbrane i početak rešavanja problema. Nakon detekcije, korisniku će biti ponuđena opcija slanja sumnjivog fajla na dalju analizu u ESET-ove laboratorije uz pomoć TreathSense.NET sistema za rano upozoravanje.

TreathSense.NET predstavlja virtuelnu mrežu računara zaštićenih ESETovim proizvodima koji širom sveta aktivno učestvuju u prikupljanju uzoraka potencijalnih pretnji. Svakom korisniku NOD-a je prilikom instalacije ponuđeno da participira i pruži svoj doprinos tako što će dozvoliti upload sumnjivih uzoraka. Na osnovu informacija sakupljenih kroz TreathSense.NET, inženjeri kompanije ESET mogu da uoče eskalaciju našeg virusa, prouče njegovu prirodu i definišu antivirusni potpis.

Nakon definisanja nove varijacije sledi distribucija potpisa NOD klijentima. Korisniku ostaje da sa novim definicijama skenira računar i ukloni virus. U većini slučajeva problem se tu završava, ali i tu postoji poneko ’ali’ i primeri iz prakse koji zahtevaju dalju pomoć tehničke podrške. Ali o tome više u nekom od narednih postova.