Умри, но сейчас

КРИС КАСПЕРСКИ АКА МЫЩЪХ

Спецвыпуск: Хакер, номер #070, стр. 070-076-2

Технология отлова полиморфиков уже давно отработана. Продвинутые антивирусы (AVP, Dr.WEB) пропускают проверяемый код через эмулятор и гонят его на графы, приводя к тому или иному метаязыку, отражающему суть программы, но не способ ее достижения. Поэтому даже самые крутые полиморфики гаснут как бычки в писсуаре, ведь изменить заложенный в них алгоритм они не в силах.

Интеллектуально не отягощенные игроки антивирусного рынка просто размножают полиморфик в огромном количестве экземпляров (от 10 тысяч и более), удаляют все повторы, а оставшиеся заносят в базу (вот почему для ловли многих вирусов Norton'у подчас требуется сотни записей). Уже никто не анализирует малварь и не потрошит ее дизассемблером, ну, разве что самые популярные экземпляры. А для подавляющего большинства остальных антивирусные энциклопедии дают крайне невнятные описания. Загляни для сравнения в энциклопедии десяти-пятнадцатилетней давности. Какие там были описания! По несколько страниц, с фрагментами дизассемблерных листингов — красота!

Но стоит ли уподобляться Microsoft, стремиться к крутости ради крутизны и усложнять малварь без нужны? Зачем разрабатывать навороченные механизмы, когда и простые неплохо работают. Правило самолета (airplane rule) гласит, что «сложность увеличивает вероятность поломки: двухмоторный самолет по сравнению с одномоторным имеет, по крайней мере, вдвое больше проблем с двигателями».

Простой пример. Сравнение API операционных систем Windows и UNIX. Сложную систему может придумать каждый дурак, но только гений сумеет уложить весь необходимый функционал в минимум строк кода, реализовать и отладить которые уже не составит большого труда.

[3 хвост и усы — вот мои документы.]

По непонятной, можно даже сказать, мистической причине подавляющее большинство малваре-писателей не заполняют секцию ресурсов, описывающую свойства файла, что отображается «проводником» в одноименной вкладке. Нормальные коммерческие программы так себя не ведут (для них это большая редкость), поэтому малварь тут же палит себя. Вряд ли продвинутый пользователь согласится запускать файл «без документов». Если же малварь внедряется обходным путем, например, через дыру в Windows или подпущенную к компьютеру женщину (а женщины имеют тенденцию запускать все без разбора), то утилиты типа Anti-Spy.Info тут же внесут такие файлы в список подозреваемых.

Заполнять «бланк» свойств лучше не абы как, а по образу и подобию Microsoft. Ее же и ставить в качестве компании-разработчика :). Использовать вымышленные компании крайне нежелательно, поскольку беглый поиск googl'ом тут же разоблачает обман. Прикрываться брендами типа ATI тоже рискованно. Вдруг человек предпочитает Matrox - вот он будет недоумевать, откуда у него взялась эта гадость на его компьютере :). А файлы от Microsoft есть у всех, и никто не может сказать, сколько их, и зачем они нужны.