Чтобы увеличить вероятность достижения своих целей, киберпреступники разработали целый ряд технологий противодействия
антивирусному программному обеспечению, в том числе:
- Упаковка и шифрование кода
Большинство червей и троянских программ упаковываются и подвергаются шифрованию. Для упаковки и шифрования хакеры разрабатывают специальные утилиты. Каждый файл, упакованный с помощью CryptExe, Exeref, PolyCrypt и некоторых других утилит, является вредоносным.
Чтобы обнаруживать упакованные и зашифрованные черви и троянские программы, антивирусная программа должна иметь в своем арсенале либо соответствующие технологии распаковки и дешифрования, либо сигнатуры для каждого образца вредоносной программы. - Мутация кода
Вирусописатели стараются маскировать свои вредоносные программы, подвергая их код «замусориванию», чтобы код принимал другой вид, но при этом сохранялся весь исходный функционал троянца. Иногда мутация кода происходит в реальном времени во всех или почти всех случаях загрузки троянской программы с зараженного веб-сайта. В почтовом черве Warezov была использована эта технология, что стало причиной серьезных эпидемий. - Методы сокрытия присутствия вредоносных программ
Руткит-технологии, которые обычно используются в троянцах, позволяют перехватывать и подменять системные функции, чтобы сделать зараженный файл невидимым для операционной системы и антивирусных программ. Иногда вредоносной программе удается скрыть даже разделы реестра, в которых зарегистрирована троянская программа, и другие системные файлы. Троянец-бэкдор HacDef — пример вредоносного кода, использующего эти методы. - Блокирование антивирусных программ и обновления антивирусных баз
Многие троянцы и сетевые черви активно ищут антивирусные программы в списке активных приложений на компьютере жертвы. Затем вредоносные программы пытаются сделать следующее:
блокировать антивирус; - повредить антивирусные базы;
- помешать правильной работе процесса обновления антивирусного программного обеспечения.
Чтобы победить вредоносные программы, антивирус должен защитить себя, контролируя целостность своих баз данных и скрывая свою работу от
троянских программ.
[*]Маскировка кода на веб-сайте
Антивирусные компании быстро узнают адреса веб-сайтов, содержащих файлы
троянских программ. Затем вирусные аналитики изучают содержимое этих сайтов и добавляют в свои базы новые вредоносные программы. Однако чтобы веб-страница не была обнаружена
антивирусом, киберпреступники могут изменить ее таким образом, что в ответ на запросы разработчиков антивирусных решений вместо троянца будет загружаться обычный файл.
[*]Атаки количеством
При атаке количеством в интернете за короткое время распространяется большое число новых версий троянской программы. В результате разработчики антивирусов вынуждены анализировать/обрабатывать сразу огромное количество новых образцов вредоносного ПО. Киберпреступники надеются, что время, затрачиваемое в сумме на анализ всех образцов, даст их вредоносному коду шанс проникнуть на компьютеры пользователей.
