Распознавание полиморфных вирусов

Борьба с вирусными угрозами для компьютеров всевозможных форматов и для мобильных устройств на сегодняшний день – одна из самых приоритетных областей IT-разработок во всем мире. Антивирусы защищают от незаконного доступа и кражи личную информацию, банковские счета, авторские материалы и другие ценности, размещенные в цифровом виде в памяти устройств и в облачных хранилищах. Попробуем на минуту представить, что этой защиты нет. В современном мире все жизненно важные области зависят от интернета и использования цифровых устройств. Это хаотичная, но тем не менее прекрасно функционирующая глобальная система, крах которой за считанные недели приведет к скатыванию человечества в пещерный век. Для конца света не нужно будет ни войн, ни эпидемий, ни экологических катастроф – всего лишь пара дней отсутствия антивирусной защиты.

В 1990 году сотрудник НЦПО «Ленинец», уроженец Санкт-Петербурга, будущий выдающийся российский программист Игорь Данилов начал заниматься вопросами вирусных угроз, чтобы обезопасить родное НИИ от кибератак. В качестве обучающей базы для своего проекта он взял уже существующий, но архаичный антивирус Aidstest. В начале 1991 года Данилов создал резидентный сторож Tadpole, который внедрялся в операционную систему компьютера и в режиме реального времени проверял все файлы на заражение вирусами. После этого он добавил к своей будущей системе второй компонент – программного доктора под названием Tornado. Он был самым быстрым антивирусом в мире на тот момент и мог справляться с новыми вирусами-невидимками типа Ghost-1963.

Год спустя, в 1992-м, Tadpole и Tornado объединились в единый системный продукт. В том же году Данилов принял участие в конкурсе для стран Восточной Европы 1&1 и получил грант на право участия во всемирной выставке программных достижений CeBIT-93, которая прошла в Германии в 1993 году. Там наши программисты представили реализованный в рамках программного пакета сканер Scorpion, способный работать в BIOS, на самых базовых уровнях, «ниже» операционной системы, выявляя стелс-вирусы на уровне аппаратной прошивки компьютера. Новинка вызвала фурор у международной IT-общественности.

По следам недавнего успеха в 1994 году в системе поиска вирусов Данилова появился компонент, который навсегда вписал Россию в историю всемирной кибербезопасности, – эвристический анализатор. Это был сенсационный прорыв. Метод эвристического анализа, реализованный в программном коде, позволял обнаружить не только вирусы, уже известные ранее и оказавшиеся в базе данных антивирусной программы, но и новые, с которыми никто и никогда не сталкивался.

В том же году Данилов выступил с докладом на международной конференции European Institute for Computer Anti-Virus Research (EICAR-95) в Цюрихе, рассказав о своем изобретении, а еще год спустя эта технология окончательно получила мировое признание.

Самое авторитетное мировое издание в сфере кибербезопасности – журнал Virus Bulletin – в 1995 году включил продукт Данилова в сравнительное тестирование лучших вирусных сканеров. Из всех участников только он сумел определить 100% новейших полиморфных вирусов. Однако на этом успешная история российской борьбы с киберугрозами не закончилась.

Вирусы развивались, и метод эвристического анализа не стоял на месте. Его эффективность оказалась вневременной, пригодной не только на момент создания, но и позволила, как на базе, выстраивать на нем все новые и новые актуальные системы защиты. В последующие годы русские антивирусы, основанные на разработках Данилова, неоднократно были предметом восторженных рецензий этого издания. В 1998 году им была создана система антивирусной защиты для только что вышедшей операционной системы Windows 98, которая на тот момент была первой и единственной в мире. Она удостоилась высшей мировой награды - VB100 от редакции Virus Bulletin за безупречное прохождение тестирования на базе новой ОС. Компания Microsoft тут же обратилась с предложением выкупить технологию, но получила решительный отказ.

В 2000 году система Данилова получила сертификат соответствия от Министерства обороны Российской Федерации. Программные решения, основанные на методе эвристического анализа, и по сей день стоят на страже кибербезопасности нашей страны.

В начале 1990-х все антивирусы определяли вредоносные программы по так называемым сигнатурам - известным признакам уже распознанных ранее вирусов. Однако проблема была в том, что на тот момент в сети бушевал новый опасный тип вирусов, названных полиморфными, и старые методы для них не годились.

Первый известный вирус из семейства полиморфных – «1260» – был написан Марком Вашбёрном в 1990 году. Их основное свойство заключалось в том, что они создавали свои копии прямо «на лету» — во время исполнения и каждый раз делали это по-новому. При этом даже процедура, формирующая код, не была постоянной, изменяясь при каждом новом заражении. Это не позволяло создать универсальную сигнатуру для опознания этих вирусов и занести ее в базу данных.

Подход, примененный Даниловым в 1993 году, коренным образом отличался от того, как тогда боролись с вирусными угрозами его коллеги по всему миру. Он научил свой антивирус «предполагать» и с большой точностью угадывать вредоносность программ и файлов еще до непосредственного взаимодействия с ними. Во многом это было похоже на задумчивую работу сапера, который осматривает неизвестную бомбу и аккуратно разбирает ее, не давая взорваться.

Эвристический анализатор распознает вирусы не по известным фрагментам кода, а по характерным общим признакам, которые, скорее всего, относят программу в категорию вредных. Если таких признаков набирается больше определенного заданного количества, «новичка» автоматически отправляют в карантин. Кроме того, анализатор Данилова использует технологию анализа структурной энтропии – Fly-Code. Она позволяет распознавать вирусы, упакованные в архив, выстраивая предположения о наличии опасных объектов «внутри упаковки» по особенностям расположения частей ее программного кода.

В рамках развития защитных решений изначальной системы 1993 года также создана уникальная технология Origins Tracing, которая может узнать неизвестный вирус по характерному поведению или методу заражения компьютера. Это значительно облегчает работу другого модуля – того самого эвристического анализатора, попросту не допуская к нему файлы с «подозрительным поведением».

Также система Данилова использует метод эмуляции исполнения, создавая для хорошо замаскированных вирусов изолированную программную среду, которая похожа на операционную систему вашего компьютера и которую они могут заразить, таким образом «вскрываясь» для опознавания.

Уникальные технологии по поиску и распознаванию полиморфных вирусов, созданные в России, позволили открыть новую страницу в глобальной кибербезопасности. Конечно же, эвристические анализаторы были переписаны и включены в работу антивирусных программ других разработчиков по всему миру, но в этом-то и заключается уникальный вклад наших разработчиков в современный миропорядок. Важно помнить, что именно с гениальной идеи русского программиста началась новая эра существования людей на просторах интернета, а многие столь привычные нам вещи - сетевой доступ к банковским счетам, приватное общение через мессенджеры и соцсети, безопасное размещение защищенных авторскими правами произведений и разработок в сети – были бы попросту невозможны, если бы антивирусное программирование осталось бы на предыдущей ступени развития.

Эвристический анализатор и его последующие модификации отбросили самых опасных злодеев современности на ту дистанцию, с которой они уже никогда не смогут нанести мировому сообществу быстрый и неожиданный вирусный удар, незаметно поразив в самое его сердце. Кто владеет информацией, тот владеет миром, и эта власть благодаря российским антивирусным технологиям больше не окажется в руках тех, кто может злоупотребить ею в критическом для мира объеме.