Exepackerek a vírusvédelemben
A Számítógépes Vírusellenes Kutatók Szervezete (CARO: Computer Antivirus Researchers' Organization) második szakműhelyének 2008-ban a hollandiai Amszterdam adott otthont május elején. A találkozón a csomagoló- és titkosító programokról – az "exepackerekről' –, illetve a programkódot bonyolulttá, olvashatatlanná változtató eljárásokról volt szó.
A magyar VirusBuster Kft. nemzetközi szinten is elismert eredményeket ért el az exepackerek kutatásában, ezért a konferencián két előadó is képviselte a céget. Az első napon Neumann Róbert, a VirusBuster Kft. elemzője olyan kicsomagoló stratégiákat mutatott be "Eltüntetés (5x) 60 másodpercben" című előadásában, amelyekkel egyszerű, bonyolultabb és egészen komplex tömörítéssel becsomagolt programokat is ki lehet bontani. A második napon Szappanos Gábor, a VirusBuster Kft. vírus laboratóriumának vezetője tartott előadást "Exepackerek blokkolása: elmélet és tapasztalatok" címmel.
A CARO olyan szakértők nem hivatalos tömörülése, akik az 1990-es évek elejétől kormányzati és magánszervezetektől, illetve akadémiai intézményektől függetlenül közösen kutatják a számítógépes károkozókat, mint egységes témakört. A CARO nemzetközi súlya és a tevékenységének jellege miatt 2007 óta rendezik meg a CARO szakkonferenciát. A VirusBuster nemzetközi sikere, hogy megszerezte a következő CARO szakkonferencia rendezésének jogát, azaz a harmadik találkozót jövőre a Budapesten rendezik meg.
A hely- és sávszélesség-megtakarítás miatt a shareware-ek és az ingyenes programok szerzői már évek óta használnak olyan tömörítő eljárásokat, amelyek jelentősen csökkentik a futtatható állományok méretét. Ezek a "futásidejű tömörítők" vagy exepackerek úgy "zanzásítják" és csomagolják be az eredeti futtatható állományokat, hogy azok a betöltés után villámgyorsan helyreállítják magukat a PC memóriájában, majd elkezd futni a kicsomagolt program. Manapság szinte minden károkozó használ valamilyen tömörítő vagy titkosító módszert, ezért magától értetődik, hogy a becsomagolt állapotot a rosszindulat jelének kell tekinteni. Ugyanakkor arra is figyelni kell, hogy a jogszerűen működő programok szerzői is használhatnak tömörítést, ezért a feketelistára helyezés és a blokkolás során körültekintően kell eljárni, hogy a felhasználókat a lehető legkevesebb kár érje. Előfordulhat, hogy a tömörítés észlelése miatt jogszerű programok kerülnek blokkolásra, azonban ha figyelembe vesszük, hogy új vírusminták tízezreit kell naponta megvizsgálni, akkor a szórványos hamis pozitivitás nem nagy ár, és mivel a jelenség egy napon belül javítható a szignatúraállományokkal, ezért a felhasználók kára is minimális.
Az exepackerek blokkolásának előnyei jóval meghaladják az esetleges - minimális és ideiglenes - károkat, ezért a proaktív módszer nagy segítséget jelent a felhasználók ismeretlen vírusok elleni védelmében.
Kapcsolódó cikkek
- A vírusokat nem érdekelte az áprilisi választás
- Maces kártevő szedi áldozatait
- A Zeusz már a firefoxosokat is fenyegeti
- Conficker a csúcson, újoncok a páston
- Fertőzött XP-s gépeken nem telepíthető a Windows frissítés
- Teljesen új moduláris védelmi rendszer: VIPRE 4.0
- Elmaradottak vagyunk még a kórokozóinkban is?
- A Windows automatikus futtatás funkcióját használják ki a kártevők
- Hamis Microsoft vírusirtó terjed
- Trojan.FraudLoad - látszólag a saját internet-szolgáltatónktól érkezik