16.01.2007

Эшелонированная оборона: Frontier Antivirus и MDS.

image

В этой статье будет возможный подход к решению проблемы первичной пользовательской антивирусной защиты, когда руководители некоторых организаций не считают нужным выделять достаточное количество средств на оснащение всех компьютеров лицензионными антивирусными продуктами.

"Я научилась хорошо читать. Ну, а когда умеешь читать, нет ничего невозможного."

John Warley Press

Доброго времени суток!

Кажется ясным и понятным, что различные вирусы, черви, трояны и прочее malware наносят непосредственный вред и ущерб работе фирм и предприятий. Это может выражаться в порче данных, увеличению оплаты за Internet в результате повышению траффика, в конце-концов - просто в утечке конфиденциальной информации.

Но, к сожалению, руководители некоторых организаций не считают нужным выделять достаточное количество средств на оснащение всех компьютеров персональными лицензионными антивирусными продуктами.

Ниже будет рассмотрен возможный подход к решению проблемы первичной пользовательской антивирусной защиты.

Итак, кажется логичным - использовать на пользовательских машинах антивирус первого эшелона обороны; назовём его Frontier Antivirus.

Но любой антивирус без обновления своих баз данных - бесполезен против новых версий malware. Следовательно необходимо, чтобы Frontier Antivirus мог простым образом получать сведения о новых malware.

Чтож решение простое: уже есть стандартизация названия вирусов: cme.mitre.org. Давайте же пойдём дальше и используем стандарт описания вирусов.

За основу предлагаю взять широко распространённый RSS, основанный на простом xml.

По аналогии с RSS стандарт назовём MDS (Malware Description Syndication).

А вот и пример простейшего файла в формате MDS:

<?xml version="1.0" encoding="windows-1251"?>
<vir>
  <vx>
    <name av="Kaspersky">EICAR-Test-File</name>

    <name av="ClamAV">Eicar-Test-Signature</name>
    <descr>The Anti-Virus test file</descr>
    <url>www.eicar.org</url>
    <size>68</size>

    <md5>44d88612fea8a8f36de82e1278abb02f</md5>
    <sig>58354F2150254041505B345C505A58353428505E2937434329377D2445494341522D5354414E4441</sig>
  </vx>
  <vx>
    <name av="Kaspersky">Net-Worm.Win32.Mytob.dc</name>

    <name av="ClamAV">Worm.Mytob.GE</name>
    <size>48640</size>
    <mutex>H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H</mutex>
    <reg key="RAX SYSTEM" val="scrigz.exe">HKLM\Software\Microsoft\Windows\CurrentVersion\Run</reg>

    <reg key="RAX SYSTEM" val="scrigz.exe">HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices</reg>
  </vx>
</vir>

Как видно - вводятся следующие поля:
name - имя malware с указанием наименования антивирусной фирмы, которая его присвоила
descr - поле для текстового описания действий вируса
url - ссылка на описание malware
size - размер malware в байтах
md5- md5-сумма для статичных файлов malware
sig - сигнатура malware в формате текстовой строки (этот формат использует Open-Source антивирус ClamAV)
mutex - имя описателя, создаваемого malware в системе
reg - изменения, вносимые в реестр
path - путь установки malware
date - дата первого обнаружения
и так далее...

Антивирус не обязан проверять все поля - его можно настроить на выборочную проверку или выдачу предупреждений о подозрительных объектах системному администратору.

Для примера давате сравним два описания одного и того же вируса:
http://www.securitylab.ru/virus/278959.php
и это же описание, но в формате MDS:

<vx>
<name av="Kaspersky">Virus.Win32. Nemsi.b</name>

<descr>
Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).
При первом запуске вирус копирует свой исполняемый файл в системный каталог Windows.

Деструктивная активность

Вирус заражает файлы с расширением EXE, имеющие размер отличный от 36864 байт и не имеющие в конце строки «-==Nemesis==-».
Эта строка служит для определения зараженных файлов.
При каждом запуске вирус заражает один исполняемый файл.
Поиск файлов для заражения производится в рабочей папке с запущенным зараженным файлом.
Также вирус получает заголовок текущего окна под указателем мыши и если в нем
присутствует символ «:», использует предшествующий ему символ как имя диска для поиска файлов во всех подпапках для заражения.
При заражении исполняемого файла тело вируса записывается в начало исполняемого файла.
В конец заражаемого файла помещается строка «-==Nemesis==-».
При запуске зараженного файла оригинальный файл извлекается в файл с именем TMP.exe в ту же папку,
где находится зараженный файл, и запускается на исполнение.

29-го числа каждого месяца вирус удаляет следующие файлы:
C:\Autoexec.bat
C:\boot.ini
C:\CONFIG.SYS
C:\IO.SYS
C:\MSDOS.SYS
C:\NTDETECT.COM
</descr>
<url>http://www.securitylab.ru/virus/278959.php</url>
<size>36864</size>
<string>-==Nemesis==-</string>

<reg key="HKLM\Software\Microsoft\Windows\CurrentVersion\Run" val="ccExecute">%System%\%file%</reg>
<create>%System%\%file%</create>
</vx>

Они описывают один вирус, но описание в формате MDS удобно не только для человека
(к тому же простым скриптом MDS-описание будет выдаваться в той же простой форме), но и для нашего Frontier Antivirus-а.
Информации мало, но антивирус уже может произвести ряд проверок и сообщить системному администратору о своих подозрениях.

Таким образом технология MDS - это ещё один шаг на пути к открытому и безопасному цифровому миру.

Правда возникает проблема доверия описаниям - но она решается с помошью подписи.
Так блоки описаний могут сопровождаться электронной подписью доверенного сайта.

Остаётся лишь добавить, что данная открытая архитектура описания вирусов может быть испльзована администраторами так же для борьбы с нежелательным ПО на компьютерах пользователей.

Счастливо!

noonv13[at]gmail[dot]com

Компания SoftKey – это уникальный сервис для покупателей, разработчиков, дилеров и аффилиат–партнеров. Кроме того, это один из лучших Интернет-магазинов ПО в России, Украине, Казахстане, который предлагает покупателям широкий ассортимент, множество способов оплаты, оперативную (часто мгновенную) обработку заказа, отслеживание процесса выполнения заказа в персональном разделе.

или введите имя

CAPTCHA