Чтобы заразить компьютер вредоносной программой, киберпреступникам необходимо:
- убедить пользователя запустить зараженный файл
- или попытаться проникнуть на компьютер пользователя с помощью уязвимостей в операционной системе или приложениях, которые выполняются на компьютере.
В то же время киберпреступники пытаются сделать так, чтобы никакие антивирусные продукты, установленные на компьютере пользователя, не могли обнаружить их программы.
Технологии, используемые для борьбы с антивирусным ПО
Чтобы увеличить вероятность достижения своих целей, киберпреступники разработали целый ряд технологий противодействия антивирусному программному обеспечению, в том числе:
- Упаковка и шифрование кода
Большинство червей и троянских программ упаковываются и подвергаются шифрованию. Для упаковки и шифрования хакеры разрабатывают специальные утилиты. Каждый файл, упакованный с помощью CryptExe, Exeref, PolyCrypt и некоторых других утилит, является вредоносным.
Чтобы обнаруживать упакованные и зашифрованные черви и троянские программы, антивирусная программа должна иметь в своем арсенале либо соответствующие технологии распаковки и дешифрования, либо сигнатуры для каждого образца вредоносной программы. - Мутация кода
Вирусописатели стараются маскировать свои вредоносные программы, подвергая их код «замусориванию», чтобы код принимал другой вид, но при этом сохранялся весь исходный функционал троянца. Иногда мутация кода происходит в реальном времени во всех или почти всех случаях загрузки троянской программы с зараженного веб-сайта. В почтовом черве Warezov была использована эта технология, что стало причиной серьезных эпидемий. - Методы сокрытия присутствия вредоносных программ
Руткит-технологии, которые обычно используются в троянцах, позволяют перехватывать и подменять системные функции, чтобы сделать зараженный файл невидимым для операционной системы и антивирусных программ. Иногда вредоносной программе удается скрыть даже разделы реестра, в которых зарегистрирована троянская программа, и другие системные файлы. Троянец-бэкдор HacDef — пример вредоносного кода, использующего эти методы. - Блокирование антивирусных программ и обновления антивирусных баз
Многие троянцы и сетевые черви активно ищут антивирусные программы в списке активных приложений на компьютере жертвы. Затем вредоносные программы пытаются сделать следующее:- блокировать антивирус;
- повредить антивирусные базы;
- помешать правильной работе процесса обновления антивирусного программного обеспечения.
- Маскировка кода на веб-сайте
Антивирусные компании быстро узнают адреса веб-сайтов, содержащих файлы троянских программ. Затем вирусные аналитики изучают содержимое этих сайтов и добавляют в свои базы новые вредоносные программы. Однако чтобы веб-страница не была обнаружена антивирусом, киберпреступники могут изменить ее таким образом, что в ответ на запросы разработчиков антивирусных решений вместо троянца будет загружаться обычный файл. - Атаки количеством
При атаке количеством в интернете за короткое время распространяется большое число новых версий троянской программы. В результате разработчики антивирусов вынуждены анализировать/обрабатывать сразу огромное количество новых образцов вредоносного ПО. Киберпреступники надеются, что время, затрачиваемое в сумме на анализ всех образцов, даст их вредоносному коду шанс проникнуть на компьютеры пользователей.