Методы противодействия антивирусным программам

Поскольку цель компьютерных злоумышленников — внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить зараженный файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приемы весьма разнообразны, но чаще всего встречаются следующие.

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, для этого специально создаются утилиты упаковки и шифровки. Для детектирования подобных программ-червей и троянских программ антивирусным программам приходится добавлять либо новые методы распаковки и расшифровки, либо сигнатуры на каждый образец ВП, что снижает качество детектирования, поскольку не всегда все возможные образцы модифицированного кода оказываются в руках антивирусной компании.

Мутация кода — разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется ее «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени — при каждом скачивании троянской программы с зараженного веб-сайта. То есть все или значительная часть попадающих с такого сайта на компьютеры образцы троянской программы разные.

Скрытие своего присутствия — так называемые руткит-технологии, обычно используемые в троянских программах. В этом случае осуществляется перехват и подмена системных функций, в результате чего зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда так же скрываются ветки реестра, в которых регистрируется копия троянской программы, и другие системные области компьютера.

Остановка работы антивирусной программы и системы получения обновлений антивирусных баз данных. Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ: ищут их в списке активных приложений и пытаются остановить их работу, «портят» антивирусные базы данных, блокируют получение обновлений и т. п. Антивирусным программам приходится защищать себя соответствующими способами: следить за целостностью баз данных, «прятать» от троянцев свои процессы и т. п.

Сокрытие своего кода на веб-сайтах. Адреса веб-страниц, на которых присутствуют троянские файлы, рано или поздно становятся известны антивирусным компаниям. Естественно, что подобные страницы попадают под пристальное внимание антивирусных аналитиков: содержимое страницы периодически скачивается, новые версии троянских программ заносятся в антивирусные обновления. Для противодействия этому веб-страница модифицируется специальным образом: если запрос идет с адреса антивирусной компании, то скачивается какойнибудь нетроянский файл вместо троянского.

Атака количеством — генерация и распространение в Интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что дает вредоносному коду дополнительный шанс для успешного внедрения в компьютеры.

Эти и другие методы используются хакерами для противодействия антивирусным программам. При этом их активность растет год от года, и сейчас можно говорить о настоящей «гонке технологий», которая развернулась между антивирусной и вирусной индустрией. Одновременно растет не только количество хакеров-индивидуалов и преступных групп, но и профессионализм последних. Все это значительно увеличивает сложность и объем работы, необходимой антивирусным компаниям для разработки средств защиты достаточного уровня.