Egyre inkább az idővel való versenyfutás ma már a vírusok elleni küzdelem. Míg az „őskorban” akár egy évbe is beletelt, mire a boot-vírusok bejárták a Földet, addig a ma legveszélyesebb férgek számára egy óra is elegendő lehet erre. Nem csoda, hogy a vezető vírusirtó cégek 24 órán át „lesben álló” szakembereket állítanak csatasorba. Ők egy esetleges támadás esetén – akár az éjszaka közepén is – teljes erődobással kezdik el boncolgatni a világhálón megjelent vírust. Az állandó készültségre azért is szükség van, mert már a vírusok „szabadon eresztésének” időpontja is jól megtervezett: a Winevar vírust például tudatosan egy Koreában szervezett IT biztonsági konferencia időpontjában kezdték el terjeszteni.
„Egy új vírus megjelenéséről több forrásból értesülünk” – mondta el lapunknak a Finnországban dolgozó Erdélyi Gergely, az F-Secure helsinki víruslaborjának vezető kutatója. Az üzleti partnerek jelzésein kívül fontos információt szolgáltatnak a csapdaként felállított számítógépek, az úgynevezett honeypotok, valamint az e-mail forgalom mértékét monitorozó cégek, illetve az internetszolgáltatók jelentései is. Az egymással egyébként versenyző antivírus cégek között létezik egyfajta együttműködés is a közös ellenség ellen: rendszeresen kicserélik egymással az elfogott vírusok mintáit. Az antívírus programok némelyikénél pedig egy gombnyomással elküldhetjük gyanús fájljainkat a biztonsági cégnek.
A Microsoft is beszáll?
Miután a Microsoft 2003-ban felvásárolta a GeC AD szoftver antivírus-motorját, tavaly nyáron pedig bekebelez-te a vállalati biztonsági termékeket nyújtó Sybari Software-t, az elemezők szerint csupán idő kérdése volt, hogy a szoftveró-riás megjelenjen az antivírus-piacon. A cég novemberben indította el – egyelőre csak az amerikai felhasz-nálók számára – a OneCare Live nevű szoftverének tesztelését. Ez az interneten keresztül működő szolgáltatás a vírusvédelem mellett adatmen-tési lehetőséget és tűzfalat is biztosít. A végle-ges verzió megje-lenése után a hírek szerint a OneCare Live elő-fizetéses alapon működik majd.
Ezután a vírus további „boncolgatása” következik: mi a hatásmechanizmusa, milyen módokon fertőz, tartalmaz-e esetleg olyan üzenetet, ami segíthet programozója kézre kerítésében. „A legtöbb fejtörést a Nimda okozta, ennek visszafejtése több napot vett igénybe” – meséli el Erdélyi Gergely. A kártékony program elemzése során kiderült, hogy az feltehetően legalább négy különböző programozó munkája, ráadásul alapos tesztelésen esett át. A vírus három különböző módszerrel is képes volt fertőzni, így nem csoda, hogy alapos gondolkodásra késztette a kórokozó elemzőit. A vizsgálat során egy kisebb ruhásszekrényi szerverpark szolgál arra, hogy azon egy vállalati rendszert szimuláljanak, s így figyeljék meg a vírus hatásmechanizmusát.
További nehézség a vírusok megfejtésénél, hogy míg azokat manapság már kivétel nélkül valamilyen magasabb szintű programnyelven írják, addig a kutatók csupán az úgynevezett gépi kódra lefordított formáját látják a szoftvernek: ez lényegesen hosszabb és alaposabb elemzést igényel. Az F-Secure laborjában ezért részben automatizálták a vírusok azonosítását. A kártevőket a számítógép molekulaként ábrázolja. Külön szín jelzi a vírusíró által létrehozott részeket és másfajta, az operációs rendszer felhasznált szoftverrészleteit.
Kisszótár
BOOT-VÍRUSOK. Régebbi operációs rendszereknél a lemez indító szektorait fertőző – ezzel a gépet használhatatlanná tevő – vírusok.
FÉRGEK. Önállóan, más program segítsége nélkül terjedni képes rosszindulatú programok.
HONEYPOT. Csapdaként felállított számítógép, amelyet a víruslaborok azért tartanak, hogy megfertőződjön a vírusokkal, és így azonosítsák azokat. Olyan csali gépek is léteznek, amelyeket kifejezetten arra tartanak, hogy az „okostojások” ezeket próbálják meg feltörni.
VÍRUSMINTÁK. Vírust tartalmazó kódrészlet, a számítógépes program egy darabja.
VÍRUS SZIGNATÚRA. A vírust azonosító lenyomat (kódrészlet).
GÉPI KÓD. A számítógép által közvetlenül, fordítás nélkül értelmezhető kód.
MAGASABB SZINTŰ PROGRAMNYELVEK. Az összes olyan programnyelv, amely nem gépi kód.
SZERVERPARK. Ez esetben több összekapcsolt szervert jelent.
RENDSZER RUTIN. Önállóan is egységet alkotó programrész.
