drongo
15.09.2006, 19:36
Бесплатная утилита AVZ для борьбы с различными вредоносными программами, едва появившись в нашем каталоге, быстро завоевала признание пользователей. Мы взяли интервью у разработчика AVZ Олега Зайцева, расспросив его и о его детище и о защите от вредоносного ПО в целом.
Рынок антивирусaов насыщен разнообразными продуктами. Почему вы решили создать собственный антивирус?
Исторически идея создания собственной антивирусной утилиты возникла у меня несколько лет назад в ходе борьбы с эпидемиями почтовых и сетевых червей в ЛВС Смоленскэнерго. Кроме того, тотальная чистка компьютеров корпоративной сети от нежелательного ПО (AdWare, SpyWare, Dialer и т.п.) показала, что специализированные антишпионы уничтожают порядка 10-20% от известных ITW образцов, причем большинство из них требуют инсталляции. Кроме того, многие вредоносные программы после запуска повреждают распространенное антивирусное ПО или блокируют его запуск и установку. Следовательно, наличие собственного вирлаба и, соотвестсвенно, антивирусной утилиты существенно повысило бы оперативность и эффективность мероприятий по борьбе с вредоносными программами. Систематическое удаление AdWare и Spyware позволило бы получить существенную экономию трафика и повысило бы стабильность работы компьютеров. В ходе этих работ собственно и появился AVZ в виде консольной утилиты. Затем проект стал развиваться, причем к AVZ предъявлялся ряд требований, нетипичных для многих антивирусов и антишпионов: работа без инсталляции с возможностью запуска из сетевой папки, наличие встроенного скриптового языка программирования для автоматизации работы AVZ, наличие различных средств для анализа системы, поддержка базы безопасных объектов и т.п.
С Вашей точки зрения, как специалиста по компьютерной безопасности, какие типы вирусов и вредоносных программ наиболее опасны сегодня?
По степени опасности можно выделить несколько разновидностей вредоносных программ. Во первых это программы класса Trojan-Downloader (троянские загрузчики). Подобные программы обычно сами по себе не опасны, но их запуск приводит к скрытной загрузке других вредоносных программ, а те, в свою очередь, тоже могут обладать функциями Trojan-Downloader - в результате получается "эффект снежного кома" и через 5-10 минут на пораженном компьютере оказывается до сотни разнообразных зловредов. С другой стороны очень опасны программы класса Trojan-PSW и TRojan-SPY, поскольку они собирают и отправляют злоумышленнику пароли пользователя или конфиденциальную информацию, что в дальнейшем может нанести пользователю существенный вред. В качестве отдельного класса можно рассматривать руткит-технологии - они все чаще применяются для маскировки вредоносных программ и их защиты от удаления.
А с точки зрения разработчика защиты, каким вредоносным программам наиболее сложно противостоять, защита против каких из них требует особой изобретательности и изощренности? Может быть, приведете примеры особенно интересных случаев?
С точки зрения противодействия достаточно сложно бороться с троянскими и backdoor программами, почтовыми и сетевыми червями. Они часто модифицируются, нередко снабжены хитроумными средствами защиты и маскировки с применением руткит-методик. Классические примеры - это Backdoor.Haxdoor (обладает руткитом KernelMode и противодействует антируткитам), червь Feebs (руткит UserMode и противодействие антируткитам). Кроме того, можно отметить появление трудноудалимых AdWare программ. Классический пример - Adware.Look2me. Он не опасен, но удалить его начинающему пользователю весьма сложно из-за активного противодействия удалению (он постоянно переименовывает свои файлы, восстанавливает ключи реестра). Можно также отметить факт существования троянских программ-вымогателей и так называемых Hoax программ. Они или блокируют нормальную работу ПК и предлагают заплатить некоторую сумму за "лечение" (знаменитый пример - троян, вымогающий 25 гривен за восстановление поврежденной системы - все повреждения носят обратимый характер и достигаются за счет манипуляций с реестром), или имитируют наличие на компьютере вируса, предлагая скачать "антивирус" для лечения. Подобные программы (а так-же многие вирусы и AdWare) достаточно основательно модифицируют системные настройки и для восстановления работоспособности компьютера недостаточно детектирования и удаления вредоносной программы - необходимо еще и достаточно сложное восстановление системы. В частности, для подобного "ремонта" в AVZ предусмотрена опция "Восстановление системы". Чтобы не быть голословным, я приведу несколько характерных примеров. Во-первых, очень показателен почтовый червь Bagle.fy - мало того, что он снабжен руткитом для маскировки, он еще уничтожает ключ реестра с настройками запуска системы в защищенном режиме. Соответственно, после удаления червя загрузка в защищенном режиме становится невозможной. Другой показательный пример - после удаления вредоносной программы пропадает рабочий стол и блокируется запуск explorer.exe. Причина состоит в том, что эта самая вредоносная программа регистрируется в качестве отладчика процесса explorer.exe для скрытного запуска - таких вредоносных программ на настоящий момент известно несколько штук.
Одна из важнейших особенностей антивируса – актуальность вирусной базы, оперативное ее обновление. Как с этим обстоят дела у AVZ? Каковы источники пополнения антивирусных баз?
AVZ в принципе не антивирус, а антишпион/антивирусная утилита, поэтому базы для него менее критичны. Тем не менее AVZ снабжен средством автоматического обновления баз через Интеренет, базы зеркалируются на двух серверах для распределения нагрузки. С 1.07.2006 обновления баз выходят ежедневно. Источников пополнения базы у меня очень много - это и результаты обследования компьютеров на VirusInfo, и присылаемые пользователями AVZ подозрительные файлы, обмен ITW-образцами с другими аналитиками и вирлабами. Много образцов присылают сисадмины, использующие AVZ у себя в сетях. Кроме того, у меня имеется автоматическая система для поиска новых модификаций вредоносных программ, которая отлавливает от 15-20 до 200-300 новых разновидностей вредоносного ПО в день.
Как вы думаете, механизмы обнаружения неизвестных вирусов действительно могут быть эффективны? Ведь часто «под нож» антивирусов попадают невинные cookies, специально упакованные файлы программ и т.п. Как подобные технологии реализованы в AVZ?
По-моему мнению, удаление cookies и "шпионов" в реестре - это маркетинговый ход, с эвристикой не связанный. А вот детектирование и удаление неизвестных вредоносных программ эвристическими методами - это очень сложный процесс, причем он обязательно связан с ложными срабатываниями. Практика показывает, что хорошие результаты дает наличие кроме сигнатурного сканера средств проактивной защиты или средств исследования системы. В AVZ есть ряд эвристических анализаторов, основанных на исследовании системы - антируткит, поиск маскирующихся процессов и служб, эвристическая проверка системы с целью поиска распространенных вредоносных программ по косвенным признакам, искатель внедренных библиотек с нейроанализатором и поведенческим анализатором. Подобные методики не претендуют на универсальность, но нередко помогают в поиске вредоносных программ. Однако самым мощным механизмом эвристического поиска в AVZ является исследование системы, связанное с базой безопасных объектов. Используя эту базу, AVZ может на порядок сократить объем протокола исследования системы за счет исключения из него безопасных файлов.На сайте AVZ написано, что простота установки AVZ служит для более удобного развертывания продукта на множестве компьютеров. В сетях какого объема может работать AVZ? Может ли системный администратор управлять копиями AVZ, установленными в сети, получать от них сообщения об обнаруженных вредоносных программах?AVZ в настоящее время применяется в ЛВС на 400-800 компьютерах, ограничений на максимальное количество ПК у него нет. Дело в том, что AVZ работает без инсталляции, что позволяет установить его в расшаренную папку на сервере и включить в Logon-скрипт или автозапуск. Далее администратору достаточно написать скрипт управления и после запуска AVZ будет выполнять этот скрипт, проводя исследование системы, поиск и удаление вредоносных программ, карантин заданных файлов. Результаты анализа и протоколы сохраняются в указанных администратором папках, кроме того, в скрипте предусмотрена возможность передачи информации в SysLog, отправка сообщения по сети или электронной почте. Для оперативного обследования компьютера в AVZ предусмотрен автокарантин для сбора всех файлов, которые загружены в памяти или значатся в автозапуске, но не опознаны как безопасные.
Какова, по-вашему, аудитория Вашего продукта? Подойдет ли она только специалистам, опытным пользователям, а может, и начинающим?
Основная аудитория AVZ - это, в первую очередь, опытный пользователь или системный администратор. Причина в том, что AVZ в большей степени является инструментом для полуавтоматического оперативного исследования системы, анализ его протоколов требует определенной квалификации. С другой стороны AVZ очень часто применяется именно для помощи начинающим пользователям. Например, в Интернет существует русскоязычный портал http://virusinfo.info, в котором одним из основных является специальный раздел "Помогите" - как раз для помощи пользователям в поиске и удалении вредоносных программ. AVZ применяется там как основной инструмент для изучения системы, карантина и удаления файлов. Протоколы исследуемой системы изучают опытные "хелперы", которые затем дают рекомендации по лечению и запрашивают у пользователей подозрительные файлы для исследования. Этот механихм автоматизирован и формализован правилами, что существенно упрощает взаимодействие с неподготовленным пользователем. Кроме того, в конце августа вышла моя книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита". Основной материал книги ориентирован на опытного пользователя или сисадмина, она посвящена технологиям, используемым разработчиками вредоносных программ - изучение этих технологий хотя-бы на уровне их алгоритма упрощает анализ пораженных ПК и изучение протоколов AVZ. Кроме того, в книге есть материалы, полезные даже начинающему пользователю - в частности, там описан ряд полезных бесплатных утилит, которые могут применяться для эффективного исследования компьютера и типовые сценарии обследования системы с их помощью.
Спасибо за интервью!
Оригинал на [email protected] (http://soft.mail.ru/interview_page.php?id=55)
Рынок антивирусaов насыщен разнообразными продуктами. Почему вы решили создать собственный антивирус?
Исторически идея создания собственной антивирусной утилиты возникла у меня несколько лет назад в ходе борьбы с эпидемиями почтовых и сетевых червей в ЛВС Смоленскэнерго. Кроме того, тотальная чистка компьютеров корпоративной сети от нежелательного ПО (AdWare, SpyWare, Dialer и т.п.) показала, что специализированные антишпионы уничтожают порядка 10-20% от известных ITW образцов, причем большинство из них требуют инсталляции. Кроме того, многие вредоносные программы после запуска повреждают распространенное антивирусное ПО или блокируют его запуск и установку. Следовательно, наличие собственного вирлаба и, соотвестсвенно, антивирусной утилиты существенно повысило бы оперативность и эффективность мероприятий по борьбе с вредоносными программами. Систематическое удаление AdWare и Spyware позволило бы получить существенную экономию трафика и повысило бы стабильность работы компьютеров. В ходе этих работ собственно и появился AVZ в виде консольной утилиты. Затем проект стал развиваться, причем к AVZ предъявлялся ряд требований, нетипичных для многих антивирусов и антишпионов: работа без инсталляции с возможностью запуска из сетевой папки, наличие встроенного скриптового языка программирования для автоматизации работы AVZ, наличие различных средств для анализа системы, поддержка базы безопасных объектов и т.п.
С Вашей точки зрения, как специалиста по компьютерной безопасности, какие типы вирусов и вредоносных программ наиболее опасны сегодня?
По степени опасности можно выделить несколько разновидностей вредоносных программ. Во первых это программы класса Trojan-Downloader (троянские загрузчики). Подобные программы обычно сами по себе не опасны, но их запуск приводит к скрытной загрузке других вредоносных программ, а те, в свою очередь, тоже могут обладать функциями Trojan-Downloader - в результате получается "эффект снежного кома" и через 5-10 минут на пораженном компьютере оказывается до сотни разнообразных зловредов. С другой стороны очень опасны программы класса Trojan-PSW и TRojan-SPY, поскольку они собирают и отправляют злоумышленнику пароли пользователя или конфиденциальную информацию, что в дальнейшем может нанести пользователю существенный вред. В качестве отдельного класса можно рассматривать руткит-технологии - они все чаще применяются для маскировки вредоносных программ и их защиты от удаления.
А с точки зрения разработчика защиты, каким вредоносным программам наиболее сложно противостоять, защита против каких из них требует особой изобретательности и изощренности? Может быть, приведете примеры особенно интересных случаев?
С точки зрения противодействия достаточно сложно бороться с троянскими и backdoor программами, почтовыми и сетевыми червями. Они часто модифицируются, нередко снабжены хитроумными средствами защиты и маскировки с применением руткит-методик. Классические примеры - это Backdoor.Haxdoor (обладает руткитом KernelMode и противодействует антируткитам), червь Feebs (руткит UserMode и противодействие антируткитам). Кроме того, можно отметить появление трудноудалимых AdWare программ. Классический пример - Adware.Look2me. Он не опасен, но удалить его начинающему пользователю весьма сложно из-за активного противодействия удалению (он постоянно переименовывает свои файлы, восстанавливает ключи реестра). Можно также отметить факт существования троянских программ-вымогателей и так называемых Hoax программ. Они или блокируют нормальную работу ПК и предлагают заплатить некоторую сумму за "лечение" (знаменитый пример - троян, вымогающий 25 гривен за восстановление поврежденной системы - все повреждения носят обратимый характер и достигаются за счет манипуляций с реестром), или имитируют наличие на компьютере вируса, предлагая скачать "антивирус" для лечения. Подобные программы (а так-же многие вирусы и AdWare) достаточно основательно модифицируют системные настройки и для восстановления работоспособности компьютера недостаточно детектирования и удаления вредоносной программы - необходимо еще и достаточно сложное восстановление системы. В частности, для подобного "ремонта" в AVZ предусмотрена опция "Восстановление системы". Чтобы не быть голословным, я приведу несколько характерных примеров. Во-первых, очень показателен почтовый червь Bagle.fy - мало того, что он снабжен руткитом для маскировки, он еще уничтожает ключ реестра с настройками запуска системы в защищенном режиме. Соответственно, после удаления червя загрузка в защищенном режиме становится невозможной. Другой показательный пример - после удаления вредоносной программы пропадает рабочий стол и блокируется запуск explorer.exe. Причина состоит в том, что эта самая вредоносная программа регистрируется в качестве отладчика процесса explorer.exe для скрытного запуска - таких вредоносных программ на настоящий момент известно несколько штук.
Одна из важнейших особенностей антивируса – актуальность вирусной базы, оперативное ее обновление. Как с этим обстоят дела у AVZ? Каковы источники пополнения антивирусных баз?
AVZ в принципе не антивирус, а антишпион/антивирусная утилита, поэтому базы для него менее критичны. Тем не менее AVZ снабжен средством автоматического обновления баз через Интеренет, базы зеркалируются на двух серверах для распределения нагрузки. С 1.07.2006 обновления баз выходят ежедневно. Источников пополнения базы у меня очень много - это и результаты обследования компьютеров на VirusInfo, и присылаемые пользователями AVZ подозрительные файлы, обмен ITW-образцами с другими аналитиками и вирлабами. Много образцов присылают сисадмины, использующие AVZ у себя в сетях. Кроме того, у меня имеется автоматическая система для поиска новых модификаций вредоносных программ, которая отлавливает от 15-20 до 200-300 новых разновидностей вредоносного ПО в день.
Как вы думаете, механизмы обнаружения неизвестных вирусов действительно могут быть эффективны? Ведь часто «под нож» антивирусов попадают невинные cookies, специально упакованные файлы программ и т.п. Как подобные технологии реализованы в AVZ?
По-моему мнению, удаление cookies и "шпионов" в реестре - это маркетинговый ход, с эвристикой не связанный. А вот детектирование и удаление неизвестных вредоносных программ эвристическими методами - это очень сложный процесс, причем он обязательно связан с ложными срабатываниями. Практика показывает, что хорошие результаты дает наличие кроме сигнатурного сканера средств проактивной защиты или средств исследования системы. В AVZ есть ряд эвристических анализаторов, основанных на исследовании системы - антируткит, поиск маскирующихся процессов и служб, эвристическая проверка системы с целью поиска распространенных вредоносных программ по косвенным признакам, искатель внедренных библиотек с нейроанализатором и поведенческим анализатором. Подобные методики не претендуют на универсальность, но нередко помогают в поиске вредоносных программ. Однако самым мощным механизмом эвристического поиска в AVZ является исследование системы, связанное с базой безопасных объектов. Используя эту базу, AVZ может на порядок сократить объем протокола исследования системы за счет исключения из него безопасных файлов.На сайте AVZ написано, что простота установки AVZ служит для более удобного развертывания продукта на множестве компьютеров. В сетях какого объема может работать AVZ? Может ли системный администратор управлять копиями AVZ, установленными в сети, получать от них сообщения об обнаруженных вредоносных программах?AVZ в настоящее время применяется в ЛВС на 400-800 компьютерах, ограничений на максимальное количество ПК у него нет. Дело в том, что AVZ работает без инсталляции, что позволяет установить его в расшаренную папку на сервере и включить в Logon-скрипт или автозапуск. Далее администратору достаточно написать скрипт управления и после запуска AVZ будет выполнять этот скрипт, проводя исследование системы, поиск и удаление вредоносных программ, карантин заданных файлов. Результаты анализа и протоколы сохраняются в указанных администратором папках, кроме того, в скрипте предусмотрена возможность передачи информации в SysLog, отправка сообщения по сети или электронной почте. Для оперативного обследования компьютера в AVZ предусмотрен автокарантин для сбора всех файлов, которые загружены в памяти или значатся в автозапуске, но не опознаны как безопасные.
Какова, по-вашему, аудитория Вашего продукта? Подойдет ли она только специалистам, опытным пользователям, а может, и начинающим?
Основная аудитория AVZ - это, в первую очередь, опытный пользователь или системный администратор. Причина в том, что AVZ в большей степени является инструментом для полуавтоматического оперативного исследования системы, анализ его протоколов требует определенной квалификации. С другой стороны AVZ очень часто применяется именно для помощи начинающим пользователям. Например, в Интернет существует русскоязычный портал http://virusinfo.info, в котором одним из основных является специальный раздел "Помогите" - как раз для помощи пользователям в поиске и удалении вредоносных программ. AVZ применяется там как основной инструмент для изучения системы, карантина и удаления файлов. Протоколы исследуемой системы изучают опытные "хелперы", которые затем дают рекомендации по лечению и запрашивают у пользователей подозрительные файлы для исследования. Этот механихм автоматизирован и формализован правилами, что существенно упрощает взаимодействие с неподготовленным пользователем. Кроме того, в конце августа вышла моя книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита". Основной материал книги ориентирован на опытного пользователя или сисадмина, она посвящена технологиям, используемым разработчиками вредоносных программ - изучение этих технологий хотя-бы на уровне их алгоритма упрощает анализ пораженных ПК и изучение протоколов AVZ. Кроме того, в книге есть материалы, полезные даже начинающему пользователю - в частности, там описан ряд полезных бесплатных утилит, которые могут применяться для эффективного исследования компьютера и типовые сценарии обследования системы с их помощью.
Спасибо за интервью!
Оригинал на [email protected] (http://soft.mail.ru/interview_page.php?id=55)