Как не заразиться вирусом, «привязывающимся» к компьютеру?

Как избежать заражения вредоносной программой, использующей «привязку» к определённому компьютеру для ухода от анализа и детектирования? Ответить на этот вопрос мы попросили экспертов eScan в России и странах СНГ.

26 июля 2012 г исследователи Центра информационной безопасности технологического института Джорджии под руководством Пола Рояла представили на конференции Black Hat доклад о новых методах, применяемых вирусописателями для затруднения анализа вредоносных программ.

В частности, ученые показали, что методами обфускации можно сделать возможным исполнение опасного кода лишь на атакуемом компьютере. «Привязка» достигается за счет использования уникальных свойств компьютера-мишени, в результате становится практически невозможно проанализировать подозрительный файл в антивирусной лаборатории, запустив его на другой машине.

«Действительно, подобная технология "привязки" вредоносной программы к конкретному компьютеру может усложнить работу антивирусных лабораторий, - комментирует новшество вирусописателей руководитель экспертной группы eScan Николай Ионов. - И возможность использовать для анализа "виртуальную" машину, идентичную машине пострадавшего пользователя, тоже может не сработать, так как уже несколько лет известно о существовании вредоносных программ, способных распознавать, на физической или на виртуальной машине они запущены. Уже тогда злоумышленники пытались всеми способами затруднить работу антивирусных лабораторий».

«С другой стороны, помимо классического файлового сигнатурного анализа всё большее значение приобретают проактивные методы защиты, репутационные сервисы, технологии анализа сетевого трафика, способные заблокировать вредоносную программу ещё на стадии загрузки, - добавляет Николай Ионов. - И в этом случае заражение большинства клиентских машин будет предотвращено, хотя проблема лечения уже заразившихся компьютеров останется. Совет достаточно прост. Необходимо следить за тем, чтобы компьютер всегда имел последние версии обновлений операционной системы и приложений, был защищен мощным антивирусом с последними версиями файлов вирусных описаний. И, наконец, желательно, чтобы у пользователя была возможность работать с ресурсами Интернета в защищенном режиме (с использованием технологий виртуализации или "песочницы"), что поможет защитить компьютер даже от таких изощрённых атак».