Za pomocą automatycznie dystrybuowanej aktualizacji Kaspersky usunął problemy z rozpoznawaniem "szkodników", do jakich dochodziło w produktach z serii 2010. Ich przyczyna leżała głębiej, niż to się pierwotnie wydawał
Za pomocą automatycznie dystrybuowanej aktualizacji Kaspersky usunął problemy z rozpoznawaniem "szkodników", do jakich dochodziło w produktach z serii 2010. Ich przyczyna leżała głębiej, niż to się pierwotnie wydawało.
W krótkim teście nowe programy Kaspersky Antivirus i Internet Security 201. nie rozpoznały czterech wirusów z popularnej listy referencyjnej. Te problemy Kaspersky rozwiązał błyskawicznie, poszerzając listę sygnatur w programach. W kolejnych testach okazało się jednak, że programy Kaspersky'ego nie zauważają także wielu innych "szkodników", mimo tego, że w poprzednich wersjach były one identyfikowane prawidłowo.
W wyniku analizy działania skanera ustalono, że wszystkie te "szkodniki" były skompresowane tym samym narzędziem uruchamiającym. Wygląda więc na to, że metoda rozpakowywania w silniku programów z serii 201. działała nieprawidłowo, w wyniku czego oprogramowanie nie potrafiło wykryć sygnatury wirusa w zarażonych plikach.
Wyjaśnienie
Autorzy wirusów często kompresują swoje "niespodzianki" za pomocą tak zwanych pakerów uruchomieniowych, takich jak UPX, FSG i ASPack, aby oszukać mechanizmy rozpoznawania skanerów antywirusowych polegające na wzorcach. Te pakery kompresują kod programu i wbudowują przed nim funkcję, która w momencie uruchomienia ponownie rozpakowuje kod. W następstwie tego wiele skanerów nie jest w stanie dopasować sygnatury do "szkodnika" i w związku z tym nie zauważa zagrożenia. Jako że z takich narzędzi kompresujących korzystają także normalne programy, skanery antywirusowe nie mogą tak po prostu podnosić alarmu z powodu każdego opakowanego pliku, nie podnosząc przy tym wskaźnika fałszywych alarmów. Dobre skanery potrafią rozpoznać metodę kompresji, rozpakować program, a następnie zastosować skan antywirusowy wobec oryginalnego rozpakowanego programu. Kaspersky np. w ostatnich testach rozpoznawał 90. wszystkich skompresowanych "szkodników".
Magnus Kalkuhl, zajmujący w firmie Kaspersky stanowisko Senior Virus Analyst, potwierdził w odpowiedzi na pytanie heise Security, że Kaspersky zmodyfikował moduł dekompresujący silnika programu w wersji 2010 i dystrybuuje tę nową wersję w ramach normalnego procesu aktualizacji.
wydanie internetowe www.heise-online.pl
