Coraz więcej wirusów
Specjaliści od zabezpieczeń z firmy AV-Test opublikowali dane o zarejestrowanych przez nich wirusach. Wyniki mogą budzić grozę: liczba wirusów rośnie w zastraszającym tempie, w ubiegłym roku odnotowano ich pięć razy więcej niż w roku 2006 - prawie 5.5 miliona przypadków.
Według Andreasa Marksa z AV-Test specjaliści zbierali i liczyli różnego rodzaju pliki, w których suma kontrolna (wyliczana funkcją skrótu MD5) różniła się od sum kontrolnych w innych plikach. Do tego doliczano również "szkodniki" spakowane za pomocą kompresorów dołączanych do plików wykonywalnych lub zakodowane w inny sposób. Od 2004 roku liczba odnotowywanych wirusów wydaje się rosnąć wręcz wykładniczo.
Liczby z załączonej tabeli pokazują, że oparta na bazach sygnatur metodologia działania współczesnych skanerów antywirusowych jest przestarzała. W ubiegłym roku Eugeniusz Kasperski, odnosząc się do podobnych wyliczeń, zapowiadał na targach CeBIT, że producenci oprogramowania antywirusowego mogą przegrać wojnę z twórcami wirusów. Producenci antywirusów usiłowali wdrożyć rozwiązania, w których wirusy w wielu wariantach mogą być rozpoznawane w sposób generyczny na podstawie jednej sygnatury.
Jednakże opracowanie przez programistów jednej takiej generycznej sygnatury zajmuje wiele czasu i nie jest wolne od błędów - ALWIL Software (producent programu avast!) i G DATA muszą dziś zmagać się z fałszywymi alarmami wywoływanymi przez taką sygnaturę w jednym z ważnych plików systemowych.
Rozwiązaniem dla tego problemu mogą być tzw. blokery behawioralne, które nadzorują działanie programów pracujących w danym systemie oraz analizują i oceniają ich zachowanie. Jeśli program często zachowuje się w sposób podejrzany, np. rejestruje nowo utworzone pliki w usłudze automatycznego uruchamiania, zapisuje dane wprowadzane za pośrednictwem klawiatury lub bada strukturę połączeń z serwerami IRC, to jego zachowania obserwowane przez bloker mogą w pewnym momencie przekroczyć pewien dopuszczalny poziom. Wtedy oprogramowanie antywirusowe wkracza do akcji: alarmuje użytkownika, blokuje potencjalnie niebezpieczny program, a następnie odwraca dokonane przez malware zmiany.
