» continua
» continua
» continua
» continua
» continua
Il numero di minacce portate dal malware (virus, worm e Trojan Horse) sta crescendo in modo esponenziale. Anche la perdita economica derivante da questi exploit sta aumentando in modo significativo, soprattutto perché gli autori del malware si stanno sempre più focalizzando su obiettivi specifici.
Chi scrive codice maligno ha trovato un'occupazione redditizia nel produrre programmini che rimangono in circolazione per lungo tempo, sono più difficile da cancellare e utilizzano i recenti motori di “X-morphic” che rendono questi exploit veramente polimorfici.
Dato che molte nuove varianti di virus polimorfici e altro malware hanno la capacità di cambiare ogni volta che si replicano, sono difficili da rilevare con i software antivirus destinati a riconoscere i virus basandosi solo sulle loro firme caratteristiche.
I codici mutanti, l'esempio di
Swizzor
Alla stessa stregua di un virus polimorfico, il malware
mutante può cambiare aspetto nei programmi che lo ospitano codificando il suo
corpo con una chiave differente ogni volta, altri progettisti di malware usano i
“packers” per cifrare il codice ed eludere i sistemi di rilevazione. Swizzor è un esempio di un Trojan Horse che fa il repacking una volta al minuto per superare i tool basati sulle signature e inoltre si ricompila una volta all'ora.
Swizzor è un programma adware maligno estremamente difficile da rimuovere. Per impedire la rilevazione e la rimozione, il malware di Swizzor usa nomi di file e di chiavi di registro casuali. Quando gira su un computer, questo malware tenta di collegarsi a lop.com, maximumexperience.com, trinityacquisitions.com e ad altri siti discutibili. Inoltre genera tantissimi popup.
Di conseguenza, nel tentativo di individuare sempre più tempestivamente le minacce e identificare un maggior numero di malware, i fornitori stanno sviluppando prodotti che vanno oltre l'originale modello di scanning basato sulla signature e includono la rilevazione di anomalie, lo scanning euristico, il blocco delle attività e tecniche di rilevamento in-line. Questa modalità risulta efficace, ma mette sotto pressione i clienti che devono implementare tecniche di rilevamento multistrato e operare frequenti e importanti investimenti nei prodotti antivirus.
Gli scanner in-line, vantaggi e
svantaggi
Uno scanner in-line è un tipo abbastanza nuovo di sistema per l'individuazione del malware che controlla il traffico del protocollo dell'email in entrata e in uscita - come per esempio SMTP, POP3 e IMAP - e può anche esaminare il traffico FTP e HTTP che passa sulla rete del cliente. Solitamente è costruito all'interno del firewall ma può essere anche una valida aggiunta alle implementazioni anti-malware che risiedono sia sui server sia sui desktop.
Lo scanning in-line presenta però diversi problemi. Spesso la scansione è limitata a porte conosciute, come la porta 80 su HTTP o TCP, e quindi può trascurare il malware che sfrutta porte con numeri differenti. D'altra parte, se il dispositivo di scanning in-line fosse configurato per scansire tutte le porte possibili, probabilmente rallenterebbe considerevolmente la rete e renderebbe il processo poco pratico per molti ambienti.
Un altro svantaggio dello scanning in-line è che controlla soltanto i dati trasmessi sul cavo di rame e non quelli memorizzati nei desktop e quindi può non identificare i pacchetti cifrati con SSL e altri formati degli allegati delle email.
Siccome questi problemi, ma anche alcuni altri, devono ancora essere risolti dai fornitori di antimalware, la soluzione migliore è solitamente una combinazione di tecniche e prodotti, che vede l'impiego sia di tool per lo scanning in-line sia per il riconoscimento della segnature assieme a una policy che prevede veloci risposte.
