лидеры тысячелетия

АНДРЕЙ КАРОЛИК

Спецвыпуск: Хакер, номер #066, стр. 066-096-2

СПЕЦ: Очевидно, что антивирус важен меньше, чем антивирусная база, которую он использует. Какими способами пополняется антивирусная база? Кроме банального «сообщили, проверили, добавили».

Александр Гостев: Если бы мы сидели и ждали, пока нам сообщат о появлении нового вируса, мы бы уже давно утратили свои позиции мирового лидера по скорости реагирования и детектирования. Да и не заняли бы эту позицию, вероятно, вообще никогда. Антивирусные компании и так постоянно находятся в роли догоняющих в системе «снаряд-броня», так что вопрос о том, как максимально сократить время реакции, встал перед нами давно. И, судя по тому, что мы лидеры по этому показателю в антивирусной индустрии, нам действительно удалось решить этот вопрос.

Тут нет ничего оригинального. «Если гора не идет к Магомету — Магомет идет к горе». Мы используем разнообразные автоматические способы активного поиска новых вредоносных программ в Сети: и системы мониторинга сайтов, и системы раннего обнаружения вирусов в почтовом трафике, и сети honeypot'ов. Очень помогает постоянный и тесный контакт с дружественными антивирусными компаниями как в деле обмена сэмплами, так и в совместном анализе или локализации инцидентов. В этой области у нас нет конкурентной борьбы, за деньги клиентов мы боремся другими, маркетинговыми способами. Есть у нас и так называемые «агенты», они же — добровольные помощники.

Предвосхищая возможный вопрос, скажу: нет, мы не покупаем вирусы у их авторов, хотя изредка такие предложения поступают.

СПЕЦ: Принципиально ли то, на чем написаны вирусы и трояны?

Александр Гостев: Да нет, никакой особой разницы нет. Некоторые вещи бывает довольно трудно анализировать проводя реверс-инженеринг кода, но в 99% случаев для вынесения вердикта «вирус/не вирус» подробный анализ и не требуется. А если требуется, то мы в состоянии потратить на это чуть больше времени, чем обычно. Дело обстоит гораздо интереснее, когда нам попадаются вирусы для новых платформ или сред, например для Symbian или Windows Mobile. Там другой процессор, другие ассемблерные команды, другие форматы файлов. Любому вирусному аналитику становится интересно, потому что это нечто новое. Приходится очень быстро и достаточно глубоко внедряться в тему. Вот буквально сегодня разбирал троянец для J2ME (Java для мобильных телефонов), узнал много интересного :).

СПЕЦ: Визуальные средства разработки становятся доступнее, уже не требуется писать многое с нуля. Дошло до того, что существуют «полуфабрикаты» вирусов и троянов, которыми может воспользоваться любой начинающий программист. Не опасна ли подобная тенденция?

Александр Гостев: Для нас — нет. Даже наоборот. Когда есть какой-то конструктор/генератор вирусов-троянцев, то число всех комбинаций возможных творений весьма ограничено. В основе все равно будут лежать одни и те же блоки кода (модуль размножения, модуль кражи данных, модуль отсылки данных). Это кирпичики, из которых кто угодно пытается собрать что-то эксклюзивное, а на деле получается, что все подобные поделки имеют только внешние или незначительные отличия вроде имени файлов, адресов электронной почты и текстов MessageBox. Как следствие, нам для подобных вещей крайне просто создать эвристические анализаторы, которые помогут детектировать все варианты сразу. Поэтому довольно смешно выглядят люди, которые покупают генератор Pinch'ей (популярный троянец-шпион) и надеются, что смогут с его помощью создать уникальный недетектируемый троян.