A Webroot üzembe helyezte az első automatikus kémprogram-felkutató rendszert

forrás Prim Online, 2005. március 7. 14:16
A több díjnyertes biztonságtechnikai megoldást létrehozó kaliforniai Webroot Inc. kiépítette az első automatikus kémprogram-felkutató rendszert. A Phileas program segítségével nagyságrendekkel gyorsul fel a korábban ismeretlen kémprogramok interneten történő felkutatása és beazonosítása.
A Phileas több száz alprogram, úgynevezett bot segítségével fésüli át a világhálót. A folyamat igen gyors: 10 munkanap manuális kémprogram-kutatás eredményét egyetlen bot alig egy óra alatt képes előállítani. A botok a weboldalak kódjában keresnek gyanús scripteket, amelyek a kémprogramok jellegzetességeit mutatják. Mivel a keresés a jellegzetes algoritmusok alapján történik, a Phileas képes az új kémprogramok vagy új variánsok kiszűrésére. A gyanús állományok URL-jét aztán a Webroot kutatóközpontjába küldik feldolgozásra és kiértékelésre.

A Webroot kutatócsoportja szabadalmaztatott algoritmusok segítségével hozza létre az új kémprogramokhoz vagy azok variánsaihoz kapcsolódó definíciókat. Ezek még kiterjedt minőségbiztosítási ellenőrzésen mennek keresztül a hibás vagy téves leírások kiszűrése érdekében. Csak ezután hozzák őket nyilvánosságra, azaz ekkor kerülnek be a Webroot kémprogram-eltávolító szoftvere, a Spy Sweeper adatbázisába. Az adatbázist 2002 óta folyamatosan bővítik, jelenleg a legnagyobb a világon.

Mivel a kémprogramok mindinkább elterjednek és egyre bonyolultabbakká válnak, kutatásuk is egyre komplikáltabb és erőforrás-igényesebb. Korábban a kémprogram-eltávolító szoftverek fejlesztői az ügyfelek által beküldött gyanús állományok elemzése útján bővítették definíciós adatbázisaikat. Ez a megközelítés (megvárni, amíg a felhasználó számítógépe megfertőződik) utólagos és ma már egyre kevésbé elegendő.

A Phileas, mely Verne „Nyolcvan nap alatt a Föld körül” című regénye főhőséről kapta nevét, nem függ a felhasználók beküldte állományoktól. Automatikusan felfedi a weboldalakba beágyazott kémprogramokat, így azoknak esélye sem marad a támadásra a Webroot Spy Sweepert futtató rendszerek ellen.

A Phileas segítségével 2005 február 1-ig 50 millió internetes oldalt ellenőriztek és 20.000, kémprogramot tartalmazó weboldalt találtak. A legelterjedtebb rosszindulatú kódok a CWS, az nCase, a VX2, és a c2 media Lop voltak, de számos új variánsra is ráleltek. Az egyik a Windows Security Policy módosítására is képes.

A Webroot februártól már több, mint 100 bottal vizsgálja át a világhálót. mindegyik keresőrobot másodpercenként 10 URL ellenőrzésére képes. A Phileas széles körű „bevetése” egybeesik a Spy Sweeper kémprogram-eltávolító megoldás 3.5-ös verziója bevezetésével, melynek disztribútora Magyarországon a Nollex Nemzetközi Kft.