Megelőző védelem a fertőzések ellen

A vírusirtó programok fejlesztői az egyre élesebb verseny miatt ma már nem elégedhetnek meg a gyakori adatbázis-frissítéssel, a különböző keresési módszereket is folyamatosan fejleszteniük kell. A heurisztikus keresés pedig egyre inkább az eredményes és hatékony védelem kulcsfontosságú elemévé válik.

Húsz éve, az első vírusok és víruseltávolító programok megjelenésekor a számítógépes vírusveszély szinte kizárólag elméleti fenyegetést jelentett. Később a vírusirtók fejlesztői adatbázisba gyűjtötték a vírusmintáikat, amit hosszabb-rövidebb időközönként frissítettek. Az a vírusdefiníciós adatbázis, ami havonta frissült, kifejezetten naprakésznek számított.

Napjainkban a helyzet jelentősen változott. Egy vírus definíciójának elkészítése, vagyis a vírusminta tenyésztése, működésének és kódjának vizsgálata bizonyos esetben egy-két órát vesz igénybe, a víruslaborok kifinomult módszerekkel elemzik a fertőzések jellemzőit. Ez azonban egyre kevésbé járható út, hiszen léteznek már olyan károkozók, melyek akár percek alatt képesek számítógépek százezreit megfertőzni. Mire a vírusdefiníciós adatbázis a felhasználókhoz kerül, egy-egy kártevő jelentős, munkaórában vagy pénzben nehezen kifejezhető károkat okozhat.

A számítástechnikai kommunikáció technikai fejlődése egyben a fertőzések termékeny táptalaja. A mai körülmények között nem jelent tényleges biztonságot az utólagos védelem, ezért egy alternatív technológiát is alkalmaznak a modern vírusirtók, melyet heurisztikus keresésnek nevezünk. E módszer nem pontos kódmegegyezést keres, hanem a program jellege alapján próbálja azonosítani a kártevőket.

A heurisztikus keresés azonban korántsem olyan egzakt, mint a vírusdefiníciós adatbázis alapú módszer. Különböző víruskereső programok különféle technikákat alkalmaznak, hogy a még ismeretlen vírusok tevékenységét megakadályozzák. A legmodernebbek, köztük a NOD32 is, egy virtuális futtatási környezetet hoznak létre, melyben elindítva a futtatható fájlt, vizsgálják annak működését. Ha viselkedése olyan módosításokat eredményez, mely jellemző a kártevőkre, akkor a heurisztika jelzi, hogy valószínűleg fertőzésről van szó. Azonban ahhoz, hogy különböző hálózati protokollok és Windows-változatok védelmét megoldhassa egyetlen heurisztikus keresőmotor, rendkívül adaptív futtatási környezet szükséges, ugyanakkor a korlátozott erőforrások rendkívül hatékony megoldást követelnek.

A heurisztikus keresés elméletileg megoldást jelenthet az újonnan megjelenő kártevők futótűzszerű pusztítása ellen, de természetesen a helyzet nem ilyen egyszerű. A mai leghatékonyabb ilyen típusú megoldások a kártevők körülbelül kilencven százalékát találják meg. Ahhoz, hogy elkerüljük a vakriasztásokat, valamint a maradék tíz százalék legtöbb kártevőjét kizárjuk, a vírusdefiníciós adatbázisra mindenképp szükség van. Szintén elengedhetetlen a vírus pontos ujjlenyomatának ismerete ahhoz, hogy a fertőzött fájl teljes törlése helyett csak a fertőzést távolítsuk el belőle. Folyamatosan fejleszteni kell a heurisztikus keresőmotort is, ugyanis a kártevők készítői is újabb és újabb ötletekkel állnak elő a rendszer feltörését és a biztonsági megoldások kikerülését illetően.

Látható, hogy a védelem biztosítása rendkívül összetett folyamat. Az ujjlenyomat-egyeztetés mellett a fejlett heurisztika alkalmazása erőforrás-igényes, ennek minél hatékonyabb megvalósítása a vírusvédelmi programok fejlesztőinek óriási kihívást jelent.

A NOD32 hatékonyságát az biztosítja, hogy a víruskeresési rendszert a valós környezethez igazítja. A különböző feladatokat különálló, egyedileg konfigurálható modulok látják el. A vírusdefiníciós adatbázisa és a hagyományos heurisztikája mellett egy úgynevezett kiterjesztett heurisztikát is alkalmaz, amit kifejezetten az internetes férgek elleni védelemre fejlesztettek ki. A memóriarezidens fájlvédelmi modul (AMON, Antivirus Monitor) elérés előtt megvizsgálja az állományokat.

Az internetről érkező állományok (levelek, weboldalak) ellenőrzését végző modul (IMON, Internet Monitor) minden esetben használja a kiterjesztett heurisztikus keresést is, melynek hatékonyságát jellemzi, hogy az utóbbi idők legnagyobb járványait okozó férgek (Zafi, Netsky, Bagle, Mydoom és Sober) szinte összes variánsát felismerte.