Raksta foto

Daudzi teiks, ka tas taču ir vienkārši — datorvīrusus raksta vīrusu rakstītāji. Jā, ja vien nebūtu vēl vienkāršāk — liela daļa mūsdienu datorvīrusu tiek multiplicēti, nemaz nepapūloties uzrakstīt ne rindiņu kaitīgā koda. Un, iespējams, daļu atbildības te jāuzņemas arī daudziem antivīrusu ražotājiem.

Paskatoties uz vīrusu paziņojumu plūsmu gandrīz jebkurā antivīrusu ražotāja mājas lapā, galva iet riņķī no neskaitāmajām vīrusu versijām. Jūs tur ieraudzīsiet, piemēram, gan «Mydoom.bb», gan «Mydoom.ax», gan «Mydoom.ao» utt. Vai tiešām vīrusu rakstītājiem rokas nenogurst, nemaz nerunājot par galvām, ka viņu darinājumu versijas jāapzīmē ar divu burtu indeksu? Un bieži vairākas vīrusa versijas tiek izlaistas pat vienas dienas laikā!

Starp citu, «Mydoom» kā piemērs ir izvēlēts tīšām, jo pasaulē tikko tika ziņots par tā jaunas versijas epidēmiju. Vai jūs zināt, ka pirmkārt visi augstāk minētie nosaukumi apzīmē šo jauno versiju, tikai dažādu antivīrusu ražotāju dotie vārdi atšķiras, bet otrkārt, un tas ir pats interesantākais, vīruss nemaz nav jauns. Pusgadu atpakaļ jau bija šī paša vīrusa epidēmija, tikai tad to sauca «Mydoom.m», «Mydoom.n» utt. Kā tad tā? Izrādās vīrusu rakstītāji jau sen nepiepūlē sevi ar nepārtrauktu jaunradi, bet daudzkārtīgi izmanto kādreiz sūrā darbā radīto.

Kā tas notiek, paskatīsimies uz citas programmas piemēra. «Rbot» ir kibernoziedznieku instruments datoru zomēšanai, kas Latvijā satopams itin bieži. Pēc «Kaspersky Lab» analītiķu informācijas «Rbot» pagājušā gada laikā parādījās savvaļā apstrādāts ar visdažādākajiem pakotājiem, piemēram, «Ezip», «Exe32Pack», «ExeStealth», «PecBundle», «PECompact», «FSG», «UPX», «Morphine», «ASPack», «Petite», «PE-Pack», «PE-Diminisher», «PELock», «PESpin», «TeLock», «Molebox», «Yoda», «Krypton» un citiem, turklāt tika pielietoti arī vairāki pakotāji vienlaicīgi.

Klasiskie antivīrusi atpazīst kaitīgās programmas pēc īpaši sagatavotiem šo programmu datu paraugiem — signatūrām un, ja antivīruss nemāk atpakot kaut kāda pakotāja failus, tad sapakotais vīruss šādam antivīrusam ir jauns un tam jārada jauns pretlīdzeklis — signatūra, kura pēc tam vēl jāizplata lietotājiem. Jūtat, kādas neaptveramas iespējas paveras vīrusu rakstītājiem pie noteikuma, ka antivīrusi nemāk apieties ar vieniem vai otriem pakotāju formātiem? Pat ja «Rbot» kodam būtu tikai viena versija, ar pakotāju palīdzību, īpaši vēl tos kombinējot, iespējams ļoti ātri uzradīt virkni pseidojaunu vīrusu. Piebilde - antivīrusiem, kas neatbalsta attiecīgus pakotāju formātus. Turklāt ir vēl blakusefekts: jo vairāk signatūru, jo antivīruss smagāks.

Tagad atgriežamies pie vecā, jaunā «Mydoom». Arī tā saucamais [s:5557] ar augstāk aprakstītās metodikas palīdzību. Tā izejas variants, kas izraisīja epidēmiju pagājušajā vasarā, bija sapakots ar utilītu «UPX», bet tagad ar «MEW». Tā ir vienīgā atšķirība un iemesls jaunai epidēmijai, kura liecina tikai par vienu — antivīrusu pasaules tirgus līderi nebūt nav uzdevumu augstumos. Pretējā gadījumā nenāktos arī uzskaitīt pakotāju nosaukumu virkni piemērā ar «Rbot».

Nesen aizokeāna IT mēdijos parādījās ziņa «[s:5558]» par jaunu vīrusu rakstītāju tehniku, kas ļauj apiet antivīrusu aizsardzību. Šī tehnika nav nekas cits, kā mums labi pazīstamie «RAR» arhīvi. Līdz kādam absurdam var nonākt, ja plaši izplatītu arhīvu formātu pielietošanu klasificēt kā jaunu uzbrukuma paveidu?

Tomēr ar to viss vēl nav galā. Kā jau pienākas, pēc jaunā «Mydoom» parādīšanās antivīrusu kompānijas (ne visas!) aizgūtnēm stāsta par jaunu vīrusu. Un tas viss notiek uz pusgadu vecas vīrusa epidēmijas fona! Nu protams, labākā aizsardzība ir uzbrukums. Kāpēc gan savu neizdarību, nolaidību vai netālredzību nenomaskēt aiz ierastās vīrusu paziņojumu plūsmas — lietotāji ir sabaidīti un jūtas aprūpēti. Priekš kam satraukties par kaut kādu tur neskaitāmu formātu atbalstu? Bizness taču rullē un neliela epidēmija profilaksei arī nenāk tam par ļaunu. Vai tiešām lietotāji tiek uzskatīti par pilnīgiem muļķiem?!

Komentāri