26.04.2011, 19:08
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Comodo Valkyrie (nieformalnie: VK) - usługa online pozwalająca określić czy dany plik wykonywalny jest złośliwy czy bezpieczny. Funkcja opiera się na 17 wyspecjalizowanych detektorach heurystycznychposzukujących w kodzie i budowie pliku cech, które mogłyby świadczyć o jego szkodliwości. Ponadto wyposażona jest w zaawansowaną heurystykę , gdzie 3 powiązane ze sobą silniki starają się wykryć malwareopierając się na zestawie reguł.
Jako ostatni element analizy traktowany jest skaner behawioralny- plik uruchamiany jest w wirtualyym środowisku i obserwowany, a wszelkie podejrzane akcje są raportowane.
1.Artificial Intelligence - sztuczna inteligencja.
[Aby zobaczyć linki, zarejestruj się tutaj]
Tak właśnie nazwano 17 detektorów umożliwiających wykryć szkodliwy czy bezpieczny kod w plikach.Informacje o ich sposobie działania są powierzchowne, producent woli zachować je dla siebie - są tylko ogólnikowo omówione.
Porównano je do "mózgów analityków złośliwego oprogramowania".
Podczas analizy nie wszystkie wydają werdykt - zazwyczaj tylko kilka z nich może "wypowiedzieć się" na temat stanu pliku. Werdykty są sumowane i drogą głosowania otrzymujemy werdykt ostateczny.
2. Analiza Dynamiczna - obserwowanie zachowania aplikacji.
[Aby zobaczyć linki, zarejestruj się tutaj]
Plik zostaje uruchomiony, a jego akcje notowane. Zestaw podejrzanych zachowań zawiera zasady, które determinują werdykt o szkodliwości. Typowe akcje wirusa są wykrywane. Są to np. kopiowanie i umieszczanie się w różnych lokacjach, usuwanie samego siebie, wstrzykiwanie kodu, tworzenie sterowników, wyłączanie systemowego firewalla i wiele, wiele więcej.Usługa ta dostępna jest też osobno pod adresem
[Aby zobaczyć linki, zarejestruj się tutaj]
.3. Zaawansowana heurystyka (Advenced Heuristics) .
[Aby zobaczyć linki, zarejestruj się tutaj]
Ta metoda owiana jest jeszcze większą tajemnicą. Możemy podejrzewać, że to podobne, chociaż bardziej zaawansowane metody od detektorów AI. Zaawansowana heurystyka cechuje się bardzo dobrą wykrywalnością i dokładnością w określaniu złośliwych plików. Zaraz po analizie eksperta (patrz dalej) ma największe znaczenie w ostatecznym werdykcie.4. Analiza ekspertów.
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodatkowo, aby być w 100% pewnym plik można przekazać do ręcznej analizy przez jednego z siedmiu ekspertów w tej dziedzinie. W ciągu 24 godzin (nie licząc weekendów) powinniśmy otrzymać werdykt ostateczny z komentarzem do pliku. Werdykt wydany podczas tej analizy jest przechowywany i każdorazowo wyświetlany po przesłaniu pliku dla każdego użytkownika.5. Opinie użytkowników o pliku.
[Aby zobaczyć linki, zarejestruj się tutaj]
Ostatnią funkcją jaką oferuje serwis to pozostawianie opinii i komentarzy na temat pliku. Każdy może wskazać status pliku (Normal, Malware, Unwanted, Unknown) oraz napisać na jego temat krótki komentarz.Podsumowanie.
5 metod do określania pliku - to sporo. Daje nam to całkiem sporą skuteczność przy niskich fałszywych alarmach (stwierdzeniach bezpiecznego pliku jako niebezpiecznego).
Z mojego testu, przeprowadzonego łącznie na 400 plikach wynika, iż skuteczność w wykrywaniu złośliwego kodu to 85-90%, a ilość fałszywych alarmów jest bardzo mała (pośród kolekcji 150 zdrowych plików 2 zostały oznaczone błędnie).
Po co to wszystko?
Przecież mamy serwisy typu
[Aby zobaczyć linki, zarejestruj się tutaj]
, wydają się one bardziej wiarygodne.Tak, ale opierają się na detekcji znanych zagrożeń - to znaczy takich, które przeszły analizę w laboratoriach i zostały oznaczone jako wirusy. Do tego dochodzi czas aktualizacji...
Najnowsze zagrożenia, które mogą nie być wykrywane przez żaden z popularnych skanerów, lub co najwyżej kilka stwarzają ryzyko infekcji, ponieważ bardzo trudno rozpoznać takiego szkodnika (tzw. 0 day).
Werdykt otrzymany z niezależnej usługi jaką jest Valkyrie zawsze będzie taki sam - i dlatego jest bardzo skutecznym narzędziem w rozpoznawaniu nowych (jaki i starszych) zagrożeń.
Teraz możemy pohulać - codziennie powstaje 50 tys. nowych wirusów. 95% z nich jest niewykrywanych przez więcej niż jeden program antywirusowy - dając tutaj 80-90% wykrywalność Valkyrii, która jest stała... niezależna od weekendów czy dni wolnych dla analityków w firmach AV otrzymujemy całkiem przyjemny obraz...