Все новости от 2 октября 2000 г.

Новое оружие в войне с макровирусами

В пятницу антивирусная фирма Symantec продемонстрировала технологию для борьбы с вирусами, использующими для заражения компьютеров скрипты. Данная технология блокирует выполнение определенных команд, характерных для вредительских кодов. По словам специалиста антивирусного центра Symantec Марка Кеннеди (Mark Kennedy), этот метод позволяет намного эффективнее противостоять макровирусам. «Широкие исследования потенциально опасных скриптов выявили множество команд, которые пока не используются злоумышленниками, но могут применяться в будущем, — сказал он. — Это и позволило добиться столь высокого результата».

Макровирусы — серьезная проблема
Языки скриптов предназначены для автоматизации решения тех или иных задач при работе на компьютере. К сожалению, они также служат авторам вирусов для создания «червей» и «троянцев» на ряде платформ. Первый макровирус — WM/Concept.A — был обнаружен в 1995 году и через две недели вошел в список наиболее часто встречающихся вирусов, где оставался 18 месяцев. За последние два года появилось свыше 500 разных вирусов (не считая вариантов). По данным руководителя антивирусной лаборатории Мичиганского университета Брюса Барелла (Bruce Burrell), 87% этих вирусов являются макровирусами. В большинстве случаев антивирусные фирмы успевают подготовиться к защите прежде, чем цифровые антигены попадают в интернет.

Однако существующий метод обнаружения вирусов — сканирование программ и выявление в них признаков известных вирусов — несет в себе много проблем. Определения вирусов должны постоянно обновляться, поэтому антивирусные фирмы вынуждены все время догонять авторов вирусов.

Новый метод
Symantec предлагает вместо этого выявить потенциально опасные функции скриптов и запретить программам их использование без предварительного разрешения системного администратора или пользователя. Этот метод напоминает «поведенческие фильтры», которые в прошлом применялись антивирусными компаниями для блокировки несанкционированного доступа к специфическим функциям. В июле на конференции Black Hat Security ответственный за безопасность корпоративной информации Lockheed Martin Enterprises Information Systems А.Пэджетт Петерсон (A. Padgett Peterson) представил короткий список функций Windows Script, которые можно заблокировать в целях борьбы с такими вирусами, как Melissa и LoveLetter.

Недостатком этого метода служит то, что для каждого языка скриптов — JavaScript, PERL и т.п. — придется разрабатывать свое ПО. Зато поддерживать актуальность этого ПО значительно проще, чем следить за 50 тыс. вариантов вирусов, действующих сегодня.

Обсуждение и комментарии

	MitjaSh - dimaslovinsky.e-burg.ru.ru 3 Oct 2000 12:01 PM
Вылечить убив? Интересный принцип. Представляю, если я пользуюсь макросами очень часто для удобства, что меня будут переспрашивать сто раз эдак повиндовски: Вы уверены? Это ваше окончательное решение? Может, передумаете, так как это жутко опасно?.. Полная потеря смысла макросов... И вообще... что-то усталость какая-то в последнее время от пресс-релизов а-ля статьи.
	ab 3 Oct 2000 2:25 PM
Да всё нормально... Если ты часто пользуешься макросами, то, надо полагать, ты знаешь, где их берёшь? Вот на этот источник и поставишь разрешение.
	Mike - mikepalmail.ru 5 Oct 2000 4:26 PM
Довольно запутанная статья... макросы и скрипты смешаны в кучу. Если же речь все-таки идет о макровисуах, то у Касперского уже год как существует AVP Office Guard который как раз и работает по этой "новейшей" технологии.
	Mike - mikepalmail.ru 5 Oct 2000 4:26 PM
Довольно запутанная статья... макросы и скрипты смешаны в кучу. Если же речь все-таки идет о макровисуах, то у Касперского уже год как существует AVP Office Guard который как раз и работает по этой "новейшей" технологии.
	vasyak - vasyakchat.ru 10 Oct 2000 7:07 PM
Как всегда на ZDnet хорошо забывают старое, чтобы можно было выдать это за новое. Только в AVP это IMHO не год назад, а раньше появилось. И не в таком виде - запрет функций. Зачем тогда их включили в язык, чтобы потом запретить - для красоты что-ли?
	Ю. Фомин - fominantivirus.ru 28 Oct 2000 11:55 PM
В настоящее время актуальность защиты от макровирусов резко снижается. Если Вы посмотрите статистику вирусных атак, помещенную по адресу: http://www.antivirus.ru/Okno9.html то увидите, что их активность резко снизилась.