Эшелонированная оборона: Frontier Antivirus и MDS.
"Я научилась хорошо читать. Ну, а когда умеешь читать, нет ничего невозможного."
John Warley Press
|
Доброго времени суток!
Кажется ясным и понятным, что различные вирусы, черви, трояны и прочее malware наносят непосредственный вред и ущерб работе фирм и предприятий. Это может выражаться в порче данных, увеличению оплаты за Internet в результате повышению траффика, в конце-концов - просто в утечке конфиденциальной информации.
Но, к сожалению, руководители некоторых организаций не считают нужным выделять достаточное количество средств на оснащение всех компьютеров персональными лицензионными антивирусными продуктами.
Ниже будет рассмотрен возможный подход к решению проблемы первичной пользовательской антивирусной защиты.
Итак, кажется логичным - использовать на пользовательских машинах антивирус первого эшелона обороны; назовём его Frontier Antivirus.
Но любой антивирус без обновления своих баз данных - бесполезен против новых версий malware. Следовательно необходимо, чтобы Frontier Antivirus мог простым образом получать сведения о новых malware.
Чтож решение простое: уже есть стандартизация названия вирусов: cme.mitre.org. Давайте же пойдём дальше и используем стандарт описания вирусов.
За основу предлагаю взять широко распространённый RSS , основанный на простом xml .
По аналогии с RSS стандарт назовём MDS (Malware Description Syndication) .
А вот и пример простейшего файла в формате MDS:
<?xml version="1.0" encoding="windows-1251"?>
<vir>
<vx>
<name av="Kaspersky">EICAR-Test-File</name>
<name av="ClamAV">Eicar-Test-Signature</name>
<descr>The Anti-Virus test file</descr>
<url>www.eicar.org</url>
<size>68</size>
<md5>44d88612fea8a8f36de82e1278abb02f</md5>
<sig>58354F2150254041505B345C505A58353428505E2937434329377D2445494341522D5354414E4441</sig>
</vx>
<vx>
<name av="Kaspersky">Net-Worm.Win32.Mytob.dc</name>
<name av="ClamAV">Worm.Mytob.GE</name>
<size>48640</size>
<mutex>H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H</mutex>
<reg key="RAX SYSTEM" val="scrigz.exe">HKLM\Software\Microsoft\Windows\CurrentVersion\Run</reg>
<reg key="RAX SYSTEM" val="scrigz.exe">HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices</reg>
</vx>
</vir>
Как видно - вводятся следующие поля:
name - имя malware с указанием наименования антивирусной фирмы, которая его присвоила
descr - поле для текстового описания действий вируса
url - ссылка на описание malware
size - размер malware в байтах
md5 - md5-сумма для статичных файлов malware
sig - сигнатура malware в формате текстовой строки (этот формат использует Open-Source антивирус ClamAV)
mutex - имя описателя, создаваемого malware в системе
reg - изменения, вносимые в реестр
path - путь установки malware
date - дата первого обнаружения
и так далее...
Антивирус не обязан проверять все поля - его можно настроить на выборочную проверку или выдачу предупреждений о подозрительных объектах системному администратору.
Для примера давате сравним два описания одного и того же вируса:
http://www.securitylab.ru/virus/278959.php и это же описание, но в формате MDS:
<vx>
<name av="Kaspersky">Virus.Win32. Nemsi.b</name>
<descr>
Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).
При первом запуске вирус копирует свой исполняемый файл в системный каталог Windows.
Деструктивная активность
Вирус заражает файлы с расширением EXE, имеющие размер отличный от 36864 байт и не имеющие в конце строки «-==Nemesis==-». Эта строка служит для определения зараженных файлов.
При каждом запуске вирус заражает один исполняемый файл.
Поиск файлов для заражения производится в рабочей папке с запущенным зараженным файлом.
Также вирус получает заголовок текущего окна под указателем мыши и если в нем присутствует символ «:», использует предшествующий ему символ как имя диска для поиска файлов во всех подпапках для заражения.
При заражении исполняемого файла тело вируса записывается в начало исполняемого файла. В конец заражаемого файла помещается строка «-==Nemesis==-».
При запуске зараженного файла оригинальный файл извлекается в файл с именем TMP.exe в ту же папку, где находится зараженный файл, и запускается на исполнение.
29-го числа каждого месяца вирус удаляет следующие файлы:
C:\Autoexec.bat
C:\boot.ini
C:\CONFIG.SYS
C:\IO.SYS
C:\MSDOS.SYS
C:\NTDETECT.COM
</descr>
<url>http://www.securitylab.ru/virus/278959.php</url>
<size>36864</size>
<string>-==Nemesis==-</string>
<reg key="HKLM\Software\Microsoft\Windows\CurrentVersion\Run" val="ccExecute">%System%\%file%</reg>
<create>%System%\%file%</create>
</vx>
Они описывают один вирус, но описание в формате MDS удобно не только для человека(к тому же простым скриптом MDS-описание будет выдаваться в той же простой форме), но и для нашего Frontier Antivirus-а. Информации мало, но антивирус уже может произвести ряд проверок и сообщить системному администратору о своих подозрениях.
Таким образом технология MDS - это ещё один шаг на пути к открытому и безопасному цифровому миру.
Правда возникает проблема доверия описаниям - но она решается с помошью подписи. Так блоки описаний могут сопровождаться электронной подписью доверенного сайта.
Остаётся лишь добавить, что данная открытая архитектура описания вирусов может быть испльзована администраторами так же для борьбы с нежелательным ПО на компьютерах пользователей.
Счастливо!
noonv13[at]gmail[dot]com
XIII
|