O wirusach "z pierwszej ręki"

Dziś, od godziny 11:00 do 14:00 na Forum IDG.pl na pytania czytelników odpowiadał Grzegorz Michałek, główny programista firmy MKS. W dyskusję z naszym gościem zaangażowało się kilkudziesięciu użytkowników - wśród najczęściej poruszanych tematów znalazły się kwestie związane z prawidłowym zabezpieczeniem systemu, wykrywaniem wirusów i robaków, oraz kulisami pracy "antywirusowców". Ci, którzy nie zdążyli dziś zadać wszystkich pytań, będą mogli zrobić to za tydzień - wtedy odbędzie się kolejne spotkanie z Ekspertem.

Grzegorz Michałek (grzegorz_mks)z obowiązków eksperta wywiązał się wybornie - żaden pytający nie czekał na odpowiedź dłużej niż kilka minut. W postach pojawiały się często pytania o najgroźniejsze wirusy ostatnich miesięcy (jak się okazało, na to miano zasłużyły przede wszystkim MyDoom, Sasser, Beagle i im pokrewne) oraz o specyfikę pracy specjalistów 'antywirusowych'. Pojawiały się również pytania o to, jakie środki ostrożności należy stosować podczas surfowania w Internecie.

Użytkownicy pytali np. o to, czy prawdziwa jest obiegowa opinia, jakoby w Internecie dostępne były narzędzia, umożliwiające nawet laikom tworzenie groźnych wirusów? Jak się okazało, plotka miała w sobie odrobinę prawdy - "Jest cała masa aplikacji służących do prostego tworzenia robaków, trojanów i wirusów - za pomocą kilku kliknięć można stworzyć takiego sieciowego agresora... Na szczęście w większości przypadków łapiemy je już na pniu, ponieważ te generatory nadają swojemu potomstwu charakterystyczne cechy, pozwalające na ich łatwą identyfikację." - tłumaczył Grzegorz Michałek.

Wszystkich tych, którzy nie mieli dziś okazji wziąć udziału w dyskusji z ekspertem, uspokajamy - za tydzień odbędzie się kolejne spotkanie z cyklu "Ekspert MKS_Vir odpowiada...".

Poniżej prezentujemy wybór kilku ciekawszych, naszym zdaniem, pytań i odpowiedzi, które pojawiły się dziś podczas dyskusji z ekspertem:

W jaki sposób wykrywane są nowe wirusy? Po czym można poznać, że konkretny kawałek kodu jakieś aplikacji to nie jej nowatorska usługa tylko wirus?

Pełna odpowiedź na to pytanie osiągnęłaby prawdopodobnie objętość pokaźnej książki Postaram się jednak w kilku słowach wyjaśnić, jak wygląda analiza podejrzanych plików.

Załóżmy zatem, że mamy podejrzany plik (plik może być podejrzany z różnych powodów - np. przyszedł mailem w liście, którego zawartość i forma wskazuje, że może to być robak, wykazuje podejrzaną aktywność w systemie (np. bardzo spowalnia pracę), otwiera porty, rozsyła listy itp. Wykonujemy wtedy kilka operacji (szczegóły techniczne stanowią tajemnicę firmy):

- Plik jest uruchamiany w syntetycznym środowisku testowym. Specjalne aplikacje monitorujące rejestrują wszelką aktywność programu w systemie (system plików, sieć itp.). W większości przypadków już na tym etapie uzyskujemy pełną diagnozę co do szkodliwości programu (ważna uwaga - taka automatyzacja to konieczność, dzięki niej nasze działania są szybkie i skuteczne, mimo ogromnej liczby analizowanych próbek).

- Jeśli automatyczna analiza nie daje pełnej odpowiedzi na pytanie "czy plik jest szkodliwy?", to do akcji wkracza programista i przeprowadza ręczną analizę kodu programu.

Co do działań szkodliwych, to jest ich bardzo wiele. Najważniejsze to: dopisywanie własnego kodu do innych programów (głównie wirusy), otwieranie portów, masowe rozsyłanie maili, kasowanie plików itp.

Czy można dostać wirusa surfując po sieci???

Można. Cała rodzina tzw. Downloaderów w ten sposób instaluje się na naszych systemach - za pośrednictwem skryptów na stronach. Dlatego warto jest surfować przy aktywnym monitorze antywirusowym.

Czy MKS planuje wprowadzenie pakietu do kompleksowej ochrony komputera przed zagrożeniami z Internetu, czyli firewall, blokada reklam, nadzór nad ciastkami, kontrola rodzicielska, etc.?

Odpowiedź jest krótka - planujemy. Już w wersji 2005 pojawią się nowe elementy nastawione na szeroką ochronę przed zagrożeniami z Internetu. Czasy są takie, że sam antywirus, to zdecydowanie za mało.

W dyskusji znalazło się również miejsce na anegdotę - Grzegorz Michałek przytoczył historię pewnego administratora, który wykorzystywał konia trojańskiego do... zarządzania siecią. "Kiedyś zgłosił się do nas administrator z całkiem pokaźnej firmy i miał do nas pretensję (dosłownie), że nasz program wykrywa Backdoora bodajże Prosiaka (nie jestem już teraz pewien), i że to mu utrudnia pracę, ponieważ on wykorzystuje ten program do zarządzania swoją siecią - także i w pełni funkcjonalny Backdoor może być w pewnych przypadkach pożądanym narzędziem przez klienta..."

Zapis rozmów z Ekspertem.


Zobacz również