Exepackerek a vírusvédelemben

Kovács Attila, 2008. május 12. 10:06

A Számítógépes Vírusellenes Kutatók Szervezete (CARO: Computer Antivirus Researchers' Organization) második szakműhelyének 2008-ban a hollandiai Amszterdam adott otthont május elején. A találkozón a csomagoló- és titkosító programokról – az "exepackerekről' –, illetve a programkódot bonyolulttá, olvashatatlanná változtató eljárásokról volt szó.

A magyar VirusBuster Kft. nemzetközi szinten is elismert eredményeket ért el az exepackerek kutatásában, ezért a konferencián két előadó is képviselte a céget. Az első napon Neumann Róbert, a VirusBuster Kft. elemzője olyan kicsomagoló stratégiákat mutatott be "Eltüntetés (5x) 60 másodpercben" című előadásában, amelyekkel egyszerű, bonyolultabb és egészen komplex tömörítéssel becsomagolt programokat is ki lehet bontani. A második napon Szappanos Gábor, a VirusBuster Kft. vírus laboratóriumának vezetője tartott előadást "Exepackerek blokkolása: elmélet és tapasztalatok" címmel.

A CARO olyan szakértők nem hivatalos tömörülése, akik az 1990-es évek elejétől kormányzati és magánszervezetektől, illetve akadémiai intézményektől függetlenül közösen kutatják a számítógépes károkozókat, mint egységes témakört. A CARO nemzetközi súlya és a tevékenységének jellege miatt 2007 óta rendezik meg a CARO szakkonferenciát. A VirusBuster nemzetközi sikere, hogy megszerezte a következő CARO szakkonferencia rendezésének jogát, azaz a harmadik találkozót jövőre a Budapesten rendezik meg.

A hely- és sávszélesség-megtakarítás miatt a shareware-ek és az ingyenes programok szerzői már évek óta használnak olyan tömörítő eljárásokat, amelyek jelentősen csökkentik a futtatható állományok méretét. Ezek a "futásidejű tömörítők" vagy exepackerek úgy "zanzásítják" és csomagolják be az eredeti futtatható állományokat, hogy azok a betöltés után villámgyorsan helyreállítják magukat a PC memóriájában, majd elkezd futni a kicsomagolt program. Manapság szinte minden károkozó használ valamilyen tömörítő vagy titkosító módszert, ezért magától értetődik, hogy a becsomagolt állapotot a rosszindulat jelének kell tekinteni. Ugyanakkor arra is figyelni kell, hogy a jogszerűen működő programok szerzői is használhatnak tömörítést, ezért a feketelistára helyezés és a blokkolás során körültekintően kell eljárni, hogy a felhasználókat a lehető legkevesebb kár érje. Előfordulhat, hogy a tömörítés észlelése miatt jogszerű programok kerülnek blokkolásra, azonban ha figyelembe vesszük, hogy új vírusminták tízezreit kell naponta megvizsgálni, akkor a szórványos hamis pozitivitás nem nagy ár, és mivel a jelenség egy napon belül javítható a szignatúraállományokkal, ezért a felhasználók kára is minimális.

Az exepackerek blokkolásának előnyei jóval meghaladják az esetleges - minimális és ideiglenes - károkat, ezért a proaktív módszer nagy segítséget jelent a felhasználók ismeretlen vírusok elleni védelmében.

Kulcsszavak: VirusBuster security vírus

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Az ázsiai autóipar lehagyta digitalizációban Európát

2024. december 21. 10:22

Új platform köti össze a vállalkozókat és partnereiket

2024. december 16. 13:25

CES 2025 előzetes: Elon Musk Amerikája, avagy a világ Musk-ja

2024. december 9. 16:46

Újabb részvételi rekordot döntött az e-Hód

2024. december 9. 11:32