البرامج الضارة تحب الشركة: كيف أحدث تطور البرامج الضارة تغييراً في اختباراتنا

بالنسبة للأجهزة الافتراضية التي تنتشر فيها البرامج الضارة والتي أستخدمها في اختبار منتجات مكافحة الفيروسات ، فإن الأمر déjà vu في كل مرة أبدأ فيها اختبارًا جديدًا. أعد الجهاز الظاهري إلى نقطة البداية نفسها لكل اختبار ، ثم قم بتثبيت (أو حاول تثبيت) مكافحة الفيروسات وتحديها للتنظيف. لكن في بعض الأحيان يحدث شيء أكثر. في بعض الأحيان ، تدعو البرامج الضارة الأصدقاء للعب.

لقد ولت أيام القراصنة الوحيدين الذين يكتبون فيروسات لمجرد التحقق منه. يوجد اليوم نظام إيكولوجي كامل للبرامج الضارة ، ويتضمن أحد المكونات المزدهرة لهذا النظام الإيكولوجي ، المواقف التي يدفع فيها أحد المحتالين عبر الإنترنت الآخر لتهديد جديد للبرامج الضارة الموجودة. الأشخاص الذين نسميهم "قطارات" ليس لديهم حتى حمولة ضارة ؛ أنها مجرد بمثابة قدم في الباب لبرامج ضارة أخرى .

ماذا يعني هذا للاختبار الخاص بي؟ كلما طال أمد تشغيل النظام المصاب قبل أن تتمكن من تثبيت برنامج مكافحة فيروسات جديد بالكامل وتشغيله ، كلما كانت هناك فرص أكبر للإصابة الحالية بدعوة الأصدقاء لحضور حفلة. يستغرق الحصول على الحماية المثبتة على هذه الأنظمة في بعض الأحيان أيام عمل من خلال الدعم الفني. أثناء بقائهم مشغولين ، كذلك البرامج الضارة ؛ ! مخيف

Gameover ZeuS

في مؤتمر Malware 2013 في الشهر الماضي ، قدم طالب بحث هولندي تحليلاً مفصلاً للغاية لـ Gameover ZeuS. مثل غيرها من مثيلات طروادة ZeuS ، فإن شبكة البرمجيات الخبيثة هذه لديها مجموعة متنوعة من الوظائف ولكنها تهدف في الغالب إلى سرقة المعلومات الحساسة مثل بيانات اعتماد الخدمات المصرفية عبر الإنترنت. الأمر المختلف في Gameover ZeuS هو أنه بدلاً من نظام مركزي للتحكم والتحكم ، فإنه يستخدم شبكة توزيع نظير إلى نظير ، مما يجعل من الصعب تعقبها واستئصالها. أخبار لي!

تخيل دهشتي ، إذن ، عندما حصلت مؤخرًا على مذكرة من موفر خدمة الإنترنت تفيد بأنهم اكتشفوا حركة مرور Gameover ZeuS قادمة من عنوان IP الخاص بي. لا ، لم أحصل على إصابة من الباحث. بدلاً من ذلك ، دعت إحدى عيناتي الحالية صديقًا جديدًا إلى الإقامة ، ربما خلال ماراثون دعم فني غير عادي دام أيامًا وأعطاه الكثير من الوقت.

منذ سنوات ، عندما بدأت لأول مرة في اختبار برامج مكافحة الفيروسات باستخدام أجهزة افتراضية موبوءة بالبرامج الضارة ، كان بإمكاني الاعتماد إلى حد كبير على مجموعات البرامج الضارة في أنظمة الاختبار الخاصة بي والتي ظلت مستقرة. طالما لم أقم بتثبيت عينات من البرامج الضارة التي تحاول نشرها على الإنترنت ، فقد أتجنب أن أكون جزءًا من المشكلة. كانت الملاحظة الواردة من مزود خدمة الإنترنت الخاص بي هي دعوة للاستيقاظ. إذا قمت بتثبيت مجموعة تمثيلية من عينات البرامج الضارة ، فليس هناك ما يضمن عدم قيام أحدهم بتغيير السلوك أو جلب رفيق خطير.

انتهت اللعبة بالفعل

من المعقول أن أتمكن من تغيير مزودي خدمة الإنترنت وتجنب الإشعار ، لكن هذا ليس حلاً. لا يمكنني في ضمير جيد الاستمرار في ممارسة قد تتسبب في ضرر خارج أجهزتي الافتراضية. لا يمكنني فقط فصل أنظمة الاختبار عن الإنترنت ، لأن العديد من أدوات مكافحة الفيروسات تتطلب اتصالاً. وليس لدي الموارد اللازمة لتكرار حركة البرمجيات الضارة في بيئة مغلقة ، كما تفعل مختبرات الاختبارات الكبيرة والمستقلة. سأقوم بإسقاط اختبار البرامج الضارة المباشر.

على الجانب الإيجابي ، تقوم مختبرات اختبار مكافحة الفيروسات المستقلة بإجراء بعض الاختبارات الجيدة هذه الأيام. سأكون أكثر استفادة من هذه النتائج ، بالتأكيد. ما زلت سأختبر تصفية البريد العشوائي ، وحماية التصيد ، وحجب عناوين URL الضارة - أي اختبار لا ينطوي على إطلاق برامج ضارة نشطة. وسوف أواصل البحث في كل ميزة من ميزات كل برنامج مكافحة فيروسات ، والعمل على تحديد أفضلها. لن أجري أي اختبارات قد تسبب مشاكل في العالم الخارجي.

اختبار يوم الصفر الجديد

بالإضافة إلى ذلك ، أقوم بإضافة اختبار جديد للتحقق من مدى تعامل كل برنامج مكافحة فيروسات مع حظر تنزيل التهديدات الجديدة للغاية. لقد منحني الأشخاص الجيدون في شركة MRG-Effitas ، وهي شركة أبحاث أمنية بريطانية ، إمكانية الوصول إلى خلاصات عناوين URL الضارة في الوقت الفعلي. باستخدام هذا الموجز ، يمكنني التحقق من كيفية معالجة برنامج مكافحة الفيروسات لمائة أو أكثر من أحدث الملفات الضارة. هل يمنع عنوان URL؟ منع التحميل؟ افتقد تماما؟ إنني أتطلع إلى إجراء هذا الاختبار الجديد بالكامل.