PDA

Просмотр полной версии : Интервью с разработчиком AVZ- Олегом Зайцевым ([email protected])



drongo
15.09.2006, 18:36
Бесплатная утилита AVZ для борьбы с различными вредоносными программами, едва появившись в нашем каталоге, быстро завоевала признание пользователей. Мы взяли интервью у разработчика AVZ Олега Зайцева, расспросив его и о его детище и о защите от вредоносного ПО в целом.

Рынок антивирусaов насыщен разнообразными продуктами. Почему вы решили создать собственный антивирус?

Исторически идея создания собственной антивирусной утилиты возникла у меня несколько лет назад в ходе борьбы с эпидемиями почтовых и сетевых червей в ЛВС Смоленскэнерго. Кроме того, тотальная чистка компьютеров корпоративной сети от нежелательного ПО (AdWare, SpyWare, Dialer и т.п.) показала, что специализированные антишпионы уничтожают порядка 10-20% от известных ITW образцов, причем большинство из них требуют инсталляции. Кроме того, многие вредоносные программы после запуска повреждают распространенное антивирусное ПО или блокируют его запуск и установку. Следовательно, наличие собственного вирлаба и, соотвестсвенно, антивирусной утилиты существенно повысило бы оперативность и эффективность мероприятий по борьбе с вредоносными программами. Систематическое удаление AdWare и Spyware позволило бы получить существенную экономию трафика и повысило бы стабильность работы компьютеров. В ходе этих работ собственно и появился AVZ в виде консольной утилиты. Затем проект стал развиваться, причем к AVZ предъявлялся ряд требований, нетипичных для многих антивирусов и антишпионов: работа без инсталляции с возможностью запуска из сетевой папки, наличие встроенного скриптового языка программирования для автоматизации работы AVZ, наличие различных средств для анализа системы, поддержка базы безопасных объектов и т.п.

С Вашей точки зрения, как специалиста по компьютерной безопасности, какие типы вирусов и вредоносных программ наиболее опасны сегодня?

По степени опасности можно выделить несколько разновидностей вредоносных программ. Во первых это программы класса Trojan-Downloader (троянские загрузчики). Подобные программы обычно сами по себе не опасны, но их запуск приводит к скрытной загрузке других вредоносных программ, а те, в свою очередь, тоже могут обладать функциями Trojan-Downloader - в результате получается "эффект снежного кома" и через 5-10 минут на пораженном компьютере оказывается до сотни разнообразных зловредов. С другой стороны очень опасны программы класса Trojan-PSW и TRojan-SPY, поскольку они собирают и отправляют злоумышленнику пароли пользователя или конфиденциальную информацию, что в дальнейшем может нанести пользователю существенный вред. В качестве отдельного класса можно рассматривать руткит-технологии - они все чаще применяются для маскировки вредоносных программ и их защиты от удаления.

А с точки зрения разработчика защиты, каким вредоносным программам наиболее сложно противостоять, защита против каких из них требует особой изобретательности и изощренности? Может быть, приведете примеры особенно интересных случаев?

С точки зрения противодействия достаточно сложно бороться с троянскими и backdoor программами, почтовыми и сетевыми червями. Они часто модифицируются, нередко снабжены хитроумными средствами защиты и маскировки с применением руткит-методик. Классические примеры - это Backdoor.Haxdoor (обладает руткитом KernelMode и противодействует антируткитам), червь Feebs (руткит UserMode и противодействие антируткитам). Кроме того, можно отметить появление трудноудалимых AdWare программ. Классический пример - Adware.Look2me. Он не опасен, но удалить его начинающему пользователю весьма сложно из-за активного противодействия удалению (он постоянно переименовывает свои файлы, восстанавливает ключи реестра). Можно также отметить факт существования троянских программ-вымогателей и так называемых Hoax программ. Они или блокируют нормальную работу ПК и предлагают заплатить некоторую сумму за "лечение" (знаменитый пример - троян, вымогающий 25 гривен за восстановление поврежденной системы - все повреждения носят обратимый характер и достигаются за счет манипуляций с реестром), или имитируют наличие на компьютере вируса, предлагая скачать "антивирус" для лечения. Подобные программы (а так-же многие вирусы и AdWare) достаточно основательно модифицируют системные настройки и для восстановления работоспособности компьютера недостаточно детектирования и удаления вредоносной программы - необходимо еще и достаточно сложное восстановление системы. В частности, для подобного "ремонта" в AVZ предусмотрена опция "Восстановление системы". Чтобы не быть голословным, я приведу несколько характерных примеров. Во-первых, очень показателен почтовый червь Bagle.fy - мало того, что он снабжен руткитом для маскировки, он еще уничтожает ключ реестра с настройками запуска системы в защищенном режиме. Соответственно, после удаления червя загрузка в защищенном режиме становится невозможной. Другой показательный пример - после удаления вредоносной программы пропадает рабочий стол и блокируется запуск explorer.exe. Причина состоит в том, что эта самая вредоносная программа регистрируется в качестве отладчика процесса explorer.exe для скрытного запуска - таких вредоносных программ на настоящий момент известно несколько штук.
Одна из важнейших особенностей антивируса – актуальность вирусной базы, оперативное ее обновление. Как с этим обстоят дела у AVZ? Каковы источники пополнения антивирусных баз?

AVZ в принципе не антивирус, а антишпион/антивирусная утилита, поэтому базы для него менее критичны. Тем не менее AVZ снабжен средством автоматического обновления баз через Интеренет, базы зеркалируются на двух серверах для распределения нагрузки. С 1.07.2006 обновления баз выходят ежедневно. Источников пополнения базы у меня очень много - это и результаты обследования компьютеров на VirusInfo, и присылаемые пользователями AVZ подозрительные файлы, обмен ITW-образцами с другими аналитиками и вирлабами. Много образцов присылают сисадмины, использующие AVZ у себя в сетях. Кроме того, у меня имеется автоматическая система для поиска новых модификаций вредоносных программ, которая отлавливает от 15-20 до 200-300 новых разновидностей вредоносного ПО в день.

Как вы думаете, механизмы обнаружения неизвестных вирусов действительно могут быть эффективны? Ведь часто «под нож» антивирусов попадают невинные cookies, специально упакованные файлы программ и т.п. Как подобные технологии реализованы в AVZ?


По-моему мнению, удаление cookies и "шпионов" в реестре - это маркетинговый ход, с эвристикой не связанный. А вот детектирование и удаление неизвестных вредоносных программ эвристическими методами - это очень сложный процесс, причем он обязательно связан с ложными срабатываниями. Практика показывает, что хорошие результаты дает наличие кроме сигнатурного сканера средств проактивной защиты или средств исследования системы. В AVZ есть ряд эвристических анализаторов, основанных на исследовании системы - антируткит, поиск маскирующихся процессов и служб, эвристическая проверка системы с целью поиска распространенных вредоносных программ по косвенным признакам, искатель внедренных библиотек с нейроанализатором и поведенческим анализатором. Подобные методики не претендуют на универсальность, но нередко помогают в поиске вредоносных программ. Однако самым мощным механизмом эвристического поиска в AVZ является исследование системы, связанное с базой безопасных объектов. Используя эту базу, AVZ может на порядок сократить объем протокола исследования системы за счет исключения из него безопасных файлов.На сайте AVZ написано, что простота установки AVZ служит для более удобного развертывания продукта на множестве компьютеров. В сетях какого объема может работать AVZ? Может ли системный администратор управлять копиями AVZ, установленными в сети, получать от них сообщения об обнаруженных вредоносных программах?AVZ в настоящее время применяется в ЛВС на 400-800 компьютерах, ограничений на максимальное количество ПК у него нет. Дело в том, что AVZ работает без инсталляции, что позволяет установить его в расшаренную папку на сервере и включить в Logon-скрипт или автозапуск. Далее администратору достаточно написать скрипт управления и после запуска AVZ будет выполнять этот скрипт, проводя исследование системы, поиск и удаление вредоносных программ, карантин заданных файлов. Результаты анализа и протоколы сохраняются в указанных администратором папках, кроме того, в скрипте предусмотрена возможность передачи информации в SysLog, отправка сообщения по сети или электронной почте. Для оперативного обследования компьютера в AVZ предусмотрен автокарантин для сбора всех файлов, которые загружены в памяти или значатся в автозапуске, но не опознаны как безопасные.

Какова, по-вашему, аудитория Вашего продукта? Подойдет ли она только специалистам, опытным пользователям, а может, и начинающим?


Основная аудитория AVZ - это, в первую очередь, опытный пользователь или системный администратор. Причина в том, что AVZ в большей степени является инструментом для полуавтоматического оперативного исследования системы, анализ его протоколов требует определенной квалификации. С другой стороны AVZ очень часто применяется именно для помощи начинающим пользователям. Например, в Интернет существует русскоязычный портал http://virusinfo.info, в котором одним из основных является специальный раздел "Помогите" - как раз для помощи пользователям в поиске и удалении вредоносных программ. AVZ применяется там как основной инструмент для изучения системы, карантина и удаления файлов. Протоколы исследуемой системы изучают опытные "хелперы", которые затем дают рекомендации по лечению и запрашивают у пользователей подозрительные файлы для исследования. Этот механихм автоматизирован и формализован правилами, что существенно упрощает взаимодействие с неподготовленным пользователем. Кроме того, в конце августа вышла моя книга "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита". Основной материал книги ориентирован на опытного пользователя или сисадмина, она посвящена технологиям, используемым разработчиками вредоносных программ - изучение этих технологий хотя-бы на уровне их алгоритма упрощает анализ пораженных ПК и изучение протоколов AVZ. Кроме того, в книге есть материалы, полезные даже начинающему пользователю - в частности, там описан ряд полезных бесплатных утилит, которые могут применяться для эффективного исследования компьютера и типовые сценарии обследования системы с их помощью.

Спасибо за интервью!

Оригинал на [email protected] (http://soft.mail.ru/interview_page.php?id=55)

drongo
15.09.2006, 18:53
Олег , отличное интервью , и за рекламу VirusInfo на mail.ru - спасибо :)
Это правда ты на фотке или кореспондент ?

Зайцев Олег
15.09.2006, 19:56
Олег , отличное интервью , и за рекламу VirusInfo на mail.ru - спасибо :)
Это правда ты на фотке или кореспондент ?
Я VirusInfo всюду стараюсь упомянуть - имхо это очень достойный портал. На фото в статье - я, на фото в описании AVZ - кореспондент, которрый давал описание программы.

MOCT
15.09.2006, 21:02
только у них на mail.ru все еще версия 4.19 лежит

AndreyKa
15.09.2006, 21:40
только у них на mail.ru все еще версия 4.19 лежит
Да, описание 4.19, но линк ведет на сайт http://z-oleg.com/ так что качается 4.20

Кстати, после публикации этого интервью, AVZ в недельном рейтинге закачек с сайта soft.mail.ru вышел на первое место!

Зайцев Олег
16.09.2006, 10:44
только у них на mail.ru все еще версия 4.19 лежит
Это нормально - у них обновление информации опрограмме проходит модерацию, я то данные обновил, а модератор это проверит/обновить в течении 1-3 дней

Jolly Rojer
19.09.2006, 08:17
Хорошая статья, сейчас продукт пошел в массы большим тиражем. У Олега работы прибавится! В связи с широким применением AVZ начнут писать зловредов с учетом использованием рядовым юзверем данной утилиты! Соответсвенно это модификация самого AVZ его баз возможности противодействовать ему, а так же блокировка серверов обновления AVZ в плоть до поиска и удаления AVZ на компьютере жертвы!
Для нас админов это не оч приятный вариант развития событий! Иногда мало распространенный продукт имеет приемущества... перед широкоизвестными продуктами! В любом случае Олегу огромный респект и дальнейших успехов в разработке AVZ !

Зайцев Олег
19.09.2006, 09:51
Хорошая статья, сейчас продукт пошел в массы большим тиражем. У Олега работы прибавится! В связи с широким применением AVZ начнут писать зловредов с учетом использованием рядовым юзверем данной утилиты! Соответсвенно это модификация самого AVZ его баз возможности противодействовать ему, а так же блокировка серверов обновления AVZ в плоть до поиска и удаления AVZ на компьютере жертвы!
Для нас админов это не оч приятный вариант развития событий! Иногда мало распространенный продукт имеет приемущества... перед широкоизвестными продуктами! В любом случае Олегу огромный респект и дальнейших успехов в разработке AVZ !
На самом деле ничего страшного не случилось - с AVZ уже давно умеют бороться многие распространенные звери ... Feebs, Haxdoor - они учатся бороться с AVZ, AVZ - с ними. Это бесконечное противостояния добра и зла :)

Jolly Rojer
19.09.2006, 11:21
На самом деле ничего страшного не случилось - с AVZ уже давно умеют бороться многие распространенные звери ... Feebs, Haxdoor - они учатся бороться с AVZ, AVZ - с ними. Это бесконечное противостояния добра и зла :)
Олег оно конечно все понятно:) просто в нашем деле очень дорого стоит время...... сам это прекрасно знаешь! Иногда минуты решают многое .... Но все равно победа будет за нами!!! :)

MOCT
19.09.2006, 12:12
с AVZ уже давно умеют бороться многие распространенные звери ... Feebs, Haxdoor - они учатся бороться с AVZ
после слова "звери" пропущены слова "отечественного производства" ;)

VIKT0R
11.02.2007, 17:07
Смоленскэнерго.
Привет с Сарэнерго :)

Зайцев Олег
12.02.2007, 12:12
Привет с Сарэнерго :)
Большое спасибо ! Коллегам-энергетикам из Сарэнерго также привет !