Лаборатория Касперского решает проблему вирусов в ADS NTFS 4 сентября 2000 г. "Лабораторией Касперского" было опубликовано предупреждение о появлении вируса W2K.Stream, первого из известных вредоносных кодов, использующего дополнительные потоки (ADS) файловой системы NTFS. К сожалению, многие...
Лаборатория Касперского решает проблему вирусов в ADS NTFS
4 сентября 2000 г. "Лабораторией Касперского" было опубликовано предупреждение о появлении вируса W2K.Stream, первого из известных вредоносных кодов, использующего дополнительные потоки (ADS) файловой системы NTFS. К сожалению, многие антивирусные компании мира с недостаточным вниманием отнеслись к данной проблеме и своими сообщениями дезориентировали пользователей, классифицировав потенциальную угрозу как незначительную.
"Лаборатория Касперского" считает необходимым подтвердить свою позицию и еще раз заявляет, что использование вирусами ADS Windows 2000 представляет серьезную потенциальную угрозу как для индивидуальных, так и для корпоративных пользователей. Дальнейшее игнорирование проблемы со стороны антивирусных компаний в скором будущем может привести к очередной вирусной эпидемии.
Основная проблема состоит в том, что ни один из известных антивирусных сканеров не имеет функции проверки ADS. Таким образом, вирус или троянская программа могут скрываться в них без риска быть замеченными. Одним из выходов является использование резидентного антивирусного монитора. Однако и в этом случае защита не может быть абсолютной: далеко не все программы этого типа поддерживают ADS. Ситуация представляется тем более тревожной, так как большое количество пользователей (преимущественно корпоративных), предпочитают регулярные проверки сканерами, нежели использование мониторов, которые требуют много системных ресурсов и снижают устойчивость систем.
Главным аргументом некоторых антивирусных экспертов против серьезности опасности является необходимость модификации основного потока NTFS, посредством внедрения в него "пускового кода", активизирующего вирус из ADS. В свою очередь, антивирусные сканеры "отловят" эту модификацию. Это нельзя считать правильным выводом по следующим причинам.
Во-первых, крайне проблематичной представляется процедура обнаружения "пускового кода", который не отличается от любой другой подпрограммы вызова ADS. Можно лишь представить количество ложных срабатываний, в случае реализации такого метода защиты.
Во-вторых, в опровержение этому аргументу специалисты "Лаборатории Касперского" провели ряд экспериментов и выявили несколько способов, обходящих эту необходимость в Windows 2000. "Мы не намерены делать из пресс-релиза наглядное руководство для вирусописателей к созданию новых вирусов, поэтому опустим подробное описание этих способов. Но все же заметим, что они настолько просты и очевидны, что тот факт, что скоро они станут доступны любому желающему, не вызывает сомнения", - сказал Евгений Касперский, руководитель антивирусных исследований компании.
Существуют и другие аргументы против серьезности угрозы. Например, что модификация ADS в защищенных директориях Windows невозможна вследствие встроенной защиты. Данное утверждение вообще не имеет ничего общего с действительностью, поскольку в Windows 2000 эта защита не работает.
"Лаборатория Касперского" еще раз подчеркивает, что вирусы в ADS - это серьезная угроза, которую трудно переоценить. "В отличие от создания противоядия для нового макро-вируса, что занимает всего лишь несколько минут, добавление поддержки ADS потребует от антивирусных компаний не менее недели. В случае появления настоящих ADS-вирусов, все это время пользователи будут без защиты", - комментирует Денис Зенкин, руководитель информационной службы компании, - "Мы считаем, что сканирование всех дополнительных потоков должно стать необходимым атрибутом каждого современного антивируса. Учитывая это, мы уже добавили поддержку дополнительных потоков NTFS в Антивирус Касперского 3.5, который будет выпущен на этой неделе".
