Avast объясняет объясняет принципы присвоения имен вредоносному ПО и различным уязвимостям.
Возможно, вы что-то слышали о Cryptolocker или Heartbleed. Задумывались ли вы, все ли вирусы и обнаруженные уязвимости имеют свои имена? Почему их назвали именно так, и кто это придумывает?
В большинстве своем, малоизвестное и нераспространенное вредоносное ПО не получает своего собственного названия. Подобно космическим звездам (лишь с тем отличием, что мы не предлагаем людям заплатить на присвоение вирусу имени), которых огромное количество, не имеет смысла давать каждой свое название. Большая часть вредоносного ПО именуется на основе своего функционала, например, Banker (банковские вредоносы) или Downloader (загрузочные вирусы). либо получает обобщающее название, такое как Agent или Malware.
Существуют большие группы вредоносных программ, присвоение названий которым имеет смысл с точки зрения PR (для освещения их в СМИ), а также анализа и классифицирования данных угроз. Это можно сравнить с присвоением семействам вирусов собственной «фамилии» — уникального названия для единого типа вирусов, которые продолжают развиваться и видоизменяться, для упрощения дальнейшего их отслеживания и исследования. Данные названия, как правило, несут в себе уже известную информации о данном ПО, к примеру, имя автора или главную функцию данного типа программ.
Исследователи также дают специальные имена семействам вирусов, если они имеют потенциал широкого распространения и привлечения внимания СМИ. А в некоторых случаях и сами вирусописатели дают имена своим программам. Petya и Mischa, принцип действия и маркетингового продвижения которых мы анализировали ранее, массировано продвигаются в даркнете их авторами из группы Janus, которые даже создали им логотип.
Занимательна также история уязвимости, получившей название Heartblead (в переводе с английского — «кровоточащее сердце»). Эта опасная обширная уязвимость, которая позволяла хакерам читать память на сервере, в том числе для извлечения его закрытого ключа. Ошибка находилась в расширении TLS под названием TLS Heartbeat (англ. сердцебиение). Данный протокол представления данных поверх TCP или UDP, рассчитанный только на их непрерывный поток. Чтобы поддерживать связь в активном состоянии, компьютеры «обмениваются сердцебиениями», пересылая друг другу пакеты данных случайной длины. Однако, если пакет состоит не только из контрольной строки, но и лишнего «хвоста», компьютер в ответ должен вернуть сообщение, состоящее из такой же строки и своей порции «шума». Если длина оказывается больше контрольной строки, расширение читает память за пределами отведённого буфера, где могут встречаться различные ценные данные, в том числе закрытые ключи шифрования сервера, данные других соединений, содержащие идентификационные cookie и прочая информация.
Уязвимость заключалась в отправке некорректно сформированного Heartbeat-запроса, в котором реальный размер строки очень мал, а число, обозначающее длину передаваемой строки, очень велико. Стандартный запрос может выглядит как «Верни мне слово тест, которое состоит из 4 букв», получая в ответ «тест». Heartbleed-запрос же, к примеру, может отправлять «Верни мне слово „тест“, которое состоит из 500 букв», получая ответ, состоящий из слова «тест» и поток информации в 496 символов, лежащих у пользователя в активной памяти. Это и сравнили с кровотечением, которое появилось вместо стандартного сердцебиения. Данная аналогия понравилась не только мне, но и журналистам, которым она помогала описать уязвимость простыми словами.
Достаточно часто различные антивирусные лаборатории используют разные названия вирусных видов и типов вредоносного ПО. Однако, в большинстве случаев, мы стараемся держаться общепризнанных обозначений во избежание недоразумений.
Вообще, говоря о сфере антивирусных продуктов и о моих коллегах в Avast, хочется отметить, что существуют две группы людей. Одна из них стремится дать название каждому отдельному обнаруженному вирусу, в то время как другая хотела бы иметь только одно обобщающее название. Сейчас мы находимся где-то посередине и, вероятно, данный расклад никогда не изменится.
Следите за нашими новостями в социальных сетях:
ВКонтакте
Facebook
Twitter
Одноклассники