ОБ УГРОЗАХ

Почему киберпреступники пытаются бороться с антивирусными программами?

Чтобы заразить компьютер вредоносной программой, киберпреступникам необходимо:

  • убедить пользователя запустить зараженный файл
  • или попытаться проникнуть на компьютер пользователя с помощью уязвимостей в операционной системе или приложениях, которые выполняются на компьютере.

В то же время киберпреступники пытаются сделать так, чтобы никакие антивирусные продукты, установленные на компьютере пользователя, не могли обнаружить их программы.

Технологии, используемые для борьбы с антивирусным ПО

Чтобы увеличить вероятность достижения своих целей, киберпреступники разработали целый ряд технологий противодействия антивирусному программному обеспечению, в том числе:

  • Упаковка и шифрование кода
    Большинство червей и троянских программ упаковываются и подвергаются шифрованию. Для упаковки и шифрования хакеры разрабатывают специальные утилиты. Каждый файл, упакованный с помощью CryptExe, Exeref, PolyCrypt и некоторых других утилит, является вредоносным.

    Чтобы обнаруживать упакованные и зашифрованные черви и троянские программы, антивирусная программа должна иметь в своем арсенале либо соответствующие технологии распаковки и дешифрования, либо сигнатуры для каждого образца вредоносной программы.
  • Мутация кода
    Вирусописатели стараются маскировать свои вредоносные программы, подвергая их код «замусориванию», чтобы код принимал другой вид, но при этом сохранялся весь исходный функционал троянца. Иногда мутация кода происходит в реальном времени во всех или почти всех случаях загрузки троянской программы с зараженного веб-сайта. В почтовом черве Warezov была использована эта технология, что стало причиной серьезных эпидемий.
  • Методы сокрытия присутствия вредоносных программ
    Руткит-технологии, которые обычно используются в троянцах, позволяют перехватывать и подменять системные функции, чтобы сделать зараженный файл невидимым для операционной системы и антивирусных программ. Иногда вредоносной программе удается скрыть даже разделы реестра, в которых зарегистрирована троянская программа, и другие системные файлы. Троянец-бэкдор HacDef — пример вредоносного кода, использующего эти методы.
  • Блокирование антивирусных программ и обновления антивирусных баз
    Многие троянцы и сетевые черви активно ищут антивирусные программы в списке активных приложений на компьютере жертвы. Затем вредоносные программы пытаются сделать следующее:
    • блокировать антивирус;
    • повредить антивирусные базы;
    • помешать правильной работе процесса обновления антивирусного программного обеспечения.
    Чтобы победить вредоносные программы, антивирус должен защитить себя, контролируя целостность своих баз данных и скрывая свою работу от троянских программ.
  • Маскировка кода на веб-сайте
    Антивирусные компании быстро узнают адреса веб-сайтов, содержащих файлы троянских программ. Затем вирусные аналитики изучают содержимое этих сайтов и добавляют в свои базы новые вредоносные программы. Однако чтобы веб-страница не была обнаружена антивирусом, киберпреступники могут изменить ее таким образом, что в ответ на запросы разработчиков антивирусных решений вместо троянца будет загружаться обычный файл.
  • Атаки количеством
    При атаке количеством в интернете за короткое время распространяется большое число новых версий троянской программы. В результате разработчики антивирусов вынуждены анализировать/обрабатывать сразу огромное количество новых образцов вредоносного ПО. Киберпреступники надеются, что время, затрачиваемое в сумме на анализ всех образцов, даст их вредоносному коду шанс проникнуть на компьютеры пользователей.

Другие статьи и ссылки, связанные с вредоносными программами и антивирусными решениями

© AO Kaspersky Lab.

All Rights Reserved.