Video: Malware: Difference Between Computer Viruses, Worms and Trojans (Marraskuu 2024)
Haittaohjelmien saastuttamille virtuaalikoneille, joita käytän virustorjuntatuotteiden testaamisessa, on déjà vu joka kerta, kun aloitan uuden testin. Kierrän virtuaalikoneen täsmälleen samaan lähtökohtaan jokaiselle testille, asennan sitten virustorjuntaohjelman (tai yritän asentaa sen) ja haastan sen puhdistamaan. Mutta joskus tapahtuu jotain enemmän; Joskus haittaohjelma kutsuu ystäviä pelaamaan.
Päivät, jolloin yksinäinen hakkeri kirjoittaa viruksia vain sen vuoksi, on ohitettu. Nykyään siellä on koko haittaohjelmien ekosysteemi, ja yksi ekosysteemin menestyvä osa sisältää ajomatkoja, tilanteita, joissa yksi verkkokrokki maksaa toiselle uhan uhkana olemassa oleville haittaohjelmille. Niillä, joita kutsumme "pudottajiksi", ei ole edes haitallista hyötykuormaa; ne vain toimivat jaloina muille haittaohjelmille.
Mitä se tarkoittaa testaukselleni? Mitä kauemmin tartunnan saanut järjestelmä toimii, ennen kuin uusi virustentorjunta voi asentua kokonaan ja suorittaa tarkistuksen, sitä enemmän on olemassa olevia mahdollisuuksia kutsua ystäviä juhliin. Suojauksen asentaminen näihin järjestelmiin kestää joskus teknisen tuen työpäiviä. Samalla kun haittaohjelmat ovat kiireisiä, pelottava!
Gameover ZeuS
Viime kuussa pidetyssä Malware 2013 -konferenssissa hollantilainen tutkimusopiskelija esitti Gameover ZeuS: n erittäin yksityiskohtaisen analyysin. Kuten muutkin ZeuS Trojan -tapahtumat, tällä haittaohjelmaverkolla on monenlaisia toimintoja, mutta pääasiassa sen tarkoituksena on varasta arkaluontoisia tietoja, kuten verkkopankkitiedot. Gameover ZeuSissa on eroa siinä, että keskitetyn hallinta- ja hallintajärjestelmän sijasta se käyttää hajautettua vertaisverkkoa, mikä tekee siitä huomattavasti vaikeamman seurata ja hävittää. Uutisia minulle!
Kuvittele yllätyksekseni, kun sain äskettäin Internet-palveluntarjoajalta huomautuksen, jossa sanottiin, että he olivat havainneet IP-osoitteeltani tulevan Gameover ZeuS-liikenteen. Ei, en poinut tartuntaa tutkijalta. Pikemminkin yksi nykyisistä näytteistäni kutsui upouuden ystävän asumaan, mahdollisesti epätavallisen päivän kestävän teknisen tuen maratonin aikana, joka antoi sille paljon aikaa.
Vuosia sitten, kun aloin virustentorjuntatestauksen elävien haittaohjelmien saastuttamien virtuaalikoneiden avulla, voin melko luottaa siihen, että testijärjestelmieni haittaohjelmat pysyvät vakaina. Niin kauan kuin en asentanut haittaohjelmanäytteitä, jotka yrittävät levitä aktiivisesti Internetiin, voin välttää liittymästä ongelmaan. Internet-palveluntarjoajan viesti oli herätys. Jos asennan edustavan malware-mallistokokoelman, ei ole mitään takeita siitä, että yksi niistä ei muuta käyttäytymistä tai tuo mukanaan vaarallista seuralaista.
Peli yli todellakin
Voin ajatella, että voisin muuttaa Internet-palveluntarjoajia ja välttää ilmoituksia, mutta se ei ole ratkaisu. En voi hyvässä omatunnossa jatkaa käytäntöä, joka voi aiheuttaa vahinkoa virtuaalikoneideni ulkopuolella. En voi vain katkaista testijärjestelmiä Internetistä, koska monet virustorjuntatyökalut vaativat yhteyden. Minulla ei ole resursseja toistaa haittaohjelmaliikennettä suljetussa ympäristössä, kuten suuret, riippumattomat testauslaboratoriot tekevät. Minun on hylättävä käytännön live-haittaohjelmien testaus.
Plussapuolena on, että riippumattomat virustorjuntatestauslaboratoriot tuottavat todella hyviä testejä nykyään. Aion käyttää näitä tuloksia entistä enemmän. Testaa silti roskapostisuodatuksen, tietojenkalastelusuojauksen ja haitallisten URL-osoitteiden estämisen - kaikki testit, joihin ei liity potentiaalisen aktiivisen haittaohjelman vapauttamista. Ja tutkin silti jokaisen virustentorjunnan kaikkia ominaisuuksia pyrkiessään tunnistamaan parhaat. En vain suorita mitään testejä, jotka saattavat aiheuttaa ongelmia ulkomaailmassa.
Uusi nolla-päivän testi
Lisään lisäksi uuden testin tarkistaakseen, kuinka hyvin kukin virustentorjunta käsittelee erittäin uusien uhkien lataamisen estämistä. Ison-Britannian turvallisuustutkimusyrityksen MRG-Effitasin hyvät ihmiset ovat antaneet minulle pääsyn heidän valtavaan reaaliaikaiseen syöteensä haitallisia URL-osoitteita. Tämän syötteen avulla voin tarkistaa, kuinka virustentorjunta käsittelee noin sata uusinta haitallista tiedostoa. Estääkö se URL: n? Estävätkö latauksen? Kaipaatko sitä kokonaan? Odotan innolla saavani uuden testin kokonaan alulle.