Wirusy: ochrona typu "zero day" najważniejsza

Atakujący Stany Zjednoczone robak Zotob ani przez chwilę nie był groźny dla użytkowników programu antywirusowego NOD32. Moduł zaawansowanej analizy heurystycznej wykrywał robaka Zotob od momentu jego pojawienia się sprawiając, iż chronieni przez NOD32 użytkownicy nie musieli czekać na przygotowanie szczepionki.

Różne mutacje wirusa Zotob (nazywanego również Bozori) od samego początku wykrywane były przez moduł zaawansowanej heurystyki programu NOD32 i były efektywnie blokowane, zapewniając użytkownikowi pełne bezpieczeństwo.

Robak Zotob, w zależności od odmiany wykrywany był przez program NOD32 jako NewHeur_PE (nowy niesklasyfikowany wirus), wariant wirusa Win32/Mytob lub odmiana Win32/IRCBot.OO.

Niezależnie od przyporządkowanej nazwy, użytkownik miał zapewnioną pełną ochronę, jeszcze przed aktualizacją bazy sygnatur. Moduł heurystyczny wykrył i zablokował nowe zagrożenie, natomiast dokonana przez producenta aktualizacja bazy sygnatur miała za zadanie ujednolicenie nazewnictwa i dostarczenie szczegółowej identyfikacji nowego robaka.

Ochrona "zero day" oznacza zapewnienie bezpieczeństwa przed znanymi i nowopowstającymi zagrożeniami od momentu ich powstania. Tego typu ochrony nie mogą zapewnić programy oparte jedynie na analizie sygnatur wirusów.

Producent opartego na sygnaturach antywirusa musi najpierw uzyskać próbkę nowego zagrożenia, by przygotować efektywną szczepionkę, która następnie rozsyłana jest użytkownikom w postaci aktualizacji. W czasie przed przygotowaniem szczepionki programy antywirusowe oparte na sygnaturach są bezsilne wobec nowego ataku.

Błyskawiczny atak wirusa Zotob na sieci komputerowe w USA udowadnia, że tego typu ochrona antywirusowa staje się nieskuteczna, gdyż w czasie potrzebnym na dostarczenie szczepionki wirus infekuje tysiące komputerów – zarażone komputery CNN zostały sparaliżowane.

Z drugiej strony, rozwiązania oparte na heurystyce zapewniają ochronę proaktywną, chroniąc system zanim producent oprogramowania zidentyfikuje konkretne zagrożenie i stworzy jego sygnaturę.

Rozwiązania heurystyczne rozpoznają zagrożenia wykorzystując wnioskowanie z poprzednich przypadków, analizę teoretyczną oraz analizę zachowań badanego obiektu.


Źródło: Informacja prasowa