InfoWorld, США
Технология Robot Genius предусматривает тотальное сканирование размещенных в Сети исполняемых файлов с целью выявления вредоносного кода
Если компания выпускает продукт под названием Robot Genius, вряд ли можно ожидать от ее лидеров скромности, но чем дольше слушаешь, как Стивен Хсу рассказывает о новом подходе к организации борьбы с вредоносными программами, тем сильнее убеждаешься в том, что название соответствует содержанию.
В апреле компания, основанная Хсу и Джеймсом Хормуздиаром (этот тандем в свое время получил известность благодаря созданию компании SafeWeb, разработавшей средства организации виртуальных частных сетей на основе SSL и проданной в 2003 году Symantec за 26 млн. долл.), представила серию продуктов, действующих на основе анализа поведения вредоносных программ.
Благодаря принципиально иному подходу к поиску в Web деструктивного кода и массовому использованию незадействованных компьютерных мощностей для выявления узлов Сети, обслуживающих вирусы, технологии Robot Genius имеют все шансы, для того чтобы изменить сложившееся представление об антивирусах.
«Мы вступаем в эпоху, когда параметры масштабируемости и пропускной способности компьютерных систем позволяют осуществлять тотальный контроль за деструктивными программами, непрерывно сканируя пространство Сети и исследуя каждый доступный компонент загружаемого программного кода, — пояснил Хсу. — Нынешнее же поколение антивирусных сканеров уже исчерпало свои ресурсы применительно к обнаружению наиболее сложных атак. Оно не способно адекватно противодействовать выявленным угрозам».
Сервисов, обеспечивающих оперативное обнаружение появляющихся деструктивных элементов, на деле очень мало. Между тем большая часть атак сегодня по-прежнему инициируется после запуска пользователем загруженных из Internet программ. Блокировав источники распространения вредоносных программ, мы можем воспрепятствовать проникновению подавляющего большинства вирусов. Понимая это, в Robot Genius вооружают соответствующими инструментальными средствами не конечных пользователей, а производителей сетевых экранов и поставщиков услуг Internet, рассчитывая остановить атаки задолго до того, как они обрушатся на настольные компьютеры, и заработать при этом на продаже лицензируемых технологий.
Ядро пакета Robot Genius образует технология сканирования Web, получившая название RGCrawler. Она представляет собой автоматизированную систему идентификации распространяемых по Сети исполняемых файлов и их проверки на наличие деструктивных функций. Система способна без вмешательства человека находить, загружать и тестировать каждый .exe-файл, распространяемый по электронным каналам, формируя черный список подозрительных программ.
Система, которая позволяет анализировать миллионы исполняемых файлов, уже имеющихся в Сети, и сканировать новые программы сразу же после их появления, по своим возможностям намного превосходит другие продукты такого рода, особенно в части оперативного выявления возникающих угроз. Исследования компании показали, что к числу нежелательных относится не более 5% общего объема загружаемых из Web программ.
Что касается поиска истинных источников угроз, а не тех Web-сайтов, которые просто используются для распространения деструктивного кода, то авторы новой технологии утверждают, что их система значительно превосходит популярные средства фильтрации адресов на основе анализа их репутации (например, McAfee SiteAdvisor). RGcrawler может применяться также для анализа индивидуальных характеристик исполняемых файлов (в частности, функций автоматического удаления программой своих компонентов) с целью определения того, таят ли они в себе опасность.
Результаты сканирования исполняемых файлов, выполненного группой серверов с установленным на них программным обеспечением Robot Genius, сохраняются в XML-базе данных, которая содержит сведения о местонахождении этих программ, а также информацию, характеризующую способы заражения компьютеров (например, внесение в реестр определенных изменений) и свидетельствующую о возникновении той или иной угрозы.
«Злоумышленникам не составляет труда видоизменять — пусть даже и незначительно — свои атаки для того, чтобы оставаться незамеченными, и большинство антивирусных систем не в состоянии выявлять эти модификации, — заметил Хсу. — Обнаружить деструктивную программу труднее, чем выявить адрес, с которого осуществляется управление кодом. Авторы таких программ постоянно модифицируют код, но им очень трудно сменить свое местоположение, особенно если они пытаются заработать высокий рейтинг у поисковых систем».
Одной из новаторских черт новой технологии является ее способность воспроизводить поведение человека.
Внутреннее тестирование и сопоставление с антивирусными средствами ведущих производителей показало, что Robot Genius выявляет на треть больше деструктивных программ по сравнению с конкурентами.
Хсу убежден, что эффективная технология сканирования помогла ему сформировать самую крупную коллекцию деструктивного кода, использующего Web-технологии.
В состав пакета Robot Genius входит также модуль расширения браузера RGguard, который следит за поведением Web-сайтов в те моменты, когда туда заходят конечные пользователи, и выдает предупреждения о потенциально опасных ресурсах Сети. Для того чтобы обезопасить себя от вполне легитимных программ, взломанных хакерами, система сверяет источники их распространения с ранее сформированным черным списком адресов Internet.
Версия программного обеспечения RGguard Enterprise Edition, адресуемая Robot Genius корпоративным ИТ-службам, должна обезопасить конечных пользователей от загрузки известных вредоносных программ и посещения известных деструктивных сайтов.
Третий продукт компании, Spyberus, представляет собой клиентскую программу, анализирующую все файлы, установленные на компьютере, и выявляющую те из них, которые совершают деструктивные действия. Программа способна не только вести тщательный мониторинг файлов и ядра операционной системы, а также всех компонентов, записанных на жестком диске компьютера, — она в состоянии нейтрализовать практически любой зараженный файл.
Наряду с функциями управления, позволяющими немедленно остановить любой вредоносный процесс на персональном компьютере, Spyberus поддерживает архив данных о поведении программ, который нужен для полного удаления с устройства всех файлов и записей реестра, связанных с конкретными угрозами.