Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
21.10.2003 - Martin LEPIŠ - Encyklopédie
VGrep – a v názvoch škodlivých kódov budete mať jasno...

Na začiatok si pozorne pozrite nasledujúce názvy: Win32/Lirva, I-Worm.Avril, I-Worm.Naith a skúste pouvažovať nad tým, čo majú spoločné. Ak Vás nič nenapadá, tak potom vedzte, že všetky uvedené označenia reprezentujú jeden a ten istý škodlivý kód, ktorý dnes dokáže identifikovať azda každý priemerne kvalitný AV-systém. Toto je samozrejme len jeden z množstva existujúcich príkladov, kedy jednotlivé AV-systémy používajú na označenie toho istého škodlivého kódu čiastočne alebo úplne odlišné názvy. Pre menej skúsených používateľov počítačov práve touto nejednotnosťou vzniká značný problém v okamihu, keď sa pokúšajú o danom škodlivom kóde nájsť nové a neraz i dôležité informácie priamo na Internete (... v rámci encyklopédií škodlivých kódov, na stránkach informačných web serverov a pod.). Riešením by pre väčšinu z nich mohol byť voľne dostupný a cez web rozhranie použiteľný systém skrývajúci sa pod označením VGrep.

To, čo sme uviedli vyššie bol len jednoduchý – elementárny príklad nejednotnosti názvov, ktorá dnes vládne na poli škodlivých kódov vo vzťahu k jednotlivým AV-systémom a teda aj AV-spoločnostiam. Skúsme si teraz túto nejednotnosť označovania škodlivých kódov dokumentovať na úrovni reálneho problému, s ktorým sa stretávajú používatelia počítačov veľmi často. Predstavme si za týmto účelom nasledujúcu situáciu... .
Používateľa pri práci s počítačom upozorní AV-systém na to, že v systéme identifikoval nejaký ten škodlivý kód. Keďže sa ale jedná o menej známy vírus, prípadne červ alebo trójsky kôň neponúkne AV-systém možnosť jeho automatickej eliminácie, ale len premiestnenie infikovaného súboru do karantény. Používateľovi to nestačí a tak si okamžite zapíše názov identifikovaného škodlivého kódu a na Internete začne o ňom hľadať všeobecné informácie. Najčastejšie pri svojich potulkách po Internete zavíta na stránky AV-spoločností alebo informačných web serverov, kde sa snaží práve pre ten "svoj" škodlivý kód nájsť jednoúčelový AV-program, prípadne v rámci dostupných diskusií aj návod ako sa ho čo najrýchlejšie a najjednoduchšie zbaviť. Ak sú však tieto pokusy neúspešné, nezostáva mu nič iné než skúsiť šťastie prostredníctvom vyhľadávačov ako sú: Google.com či Yahoo.com. Z výsledkov vyhľadávania je však používateľ v mnohých prípadoch dosť sklamaný, nakoľko o danom (... takpovediac atypicky pomenovanom) škodlivom kóde nikde nemôže nájsť žiadnu zmienku. Keby však poznal jeho rozšírenejší názov, ktorý mu priradili tvorcovia iných konkurenčných AV-systémov, určite by sa čudoval koľko informácií o ňom je na Internete dostupných a dokonca v koľkých rôznych jazykoch. Konečným riešením v takýchto prípadoch neraz býva pre tých "šikovnejších" používateľov reinštalácia OS a pre tých menej šikovných fakt, že odteraz sa o svoj počítač musia deliť s nechceným hosťom – so škodlivým kódom. Poznáme však aj lepšie riešenie!

Na web stránkach britského špecializovaného periodika Virus Bulletin, ktoré sa venuje problematike AV-ochrany počítačových systémov je už nejaký ten čas prevádzkovaný voľne prístupný a prostredníctvom web rozhrania použiteľný systém nazvaný VGrep. Ten predstavuje priebežne inovovanú databázu údajov, pomocou ktorej môžu prípadní záujemcovia rýchlo a efektívne získať informácie o tom, aké názvy používajú konkurenčné AV-systémy, resp. AV-spoločnosti pre označenie konkrétneho škodlivého kódu. Navyše, väčšina výstupných informácií (... vo forme názvov škodlivých kódov) je priamo prepojená s vyhľadávacími systémami dostupnými na web stránkach jednotlivých AV-spoločností, ktoré sa snažia okamžite nájsť popis daného vírusu, červa alebo trójskeho koňa vo svojich rozsiahlych (... často denne dopĺňaných) web encyklopédiách. Vďaka tomuto riešeniu sa teda používateľ môže dozvedieť nielen to aké iné označenia sú používané vo vzťahu k vyhľadávanému škodlivému kódu, ale aj to čím je preňho daný kód nebezpečný a ako sa ho dokáže sám – manuálne zbaviť. Namiesto radikálnych riešení (... spomenutých vyššie) dáva používateľom práve systém VGrep do rúk "silnú zbraň", ktorá im umožňuje identifikovať a eliminovať v priebehu krátkej chvíle azda každého neželaného návštevníka z radov škodlivých kódov.
Keďže sa zvykne hovoriť, že "je lepšie raz vidieť, ako stokrát počuť" pripravili sme pre Vás názornú ukážku praktického využitia systému VGrep. Predstavme si, že náš AV-systém našiel v počítači škodlivý kód, ktorý označil názvom I-Worm.Naith.A. Vzhľadom na to, že nám tento názov príliš veľa nehovorí a chceli by sme vedieť, či má aj iné označenie zavítame na stránky systému VGrep, kde do poľa pre vyhľadávanie zadáme reťazec "I-Worm.Naith.A" a aktivujeme vyhľadávanie. Výsledok, ktorý by sme mali dostať by mal vyzerať tak, ako ho je možné vidieť na tejto web stránke. Navyše týmto spôsobom získame aj priamy prístup k popisom daného škodlivého kódu, ktoré sú dostupné vo web encyklopédiách jednotlivých AV-spoločností.

Na margo projektu VGrep je vhodné spomenúť, že bol vytvorený a existuje za účelom odbúrania nejednotnosti názvov používaných pri označovaní jednotlivých škodlivých kódov v rámci dvadsiatky najpoužívanejších AV-systémov (... ich kompletný výpis je dostupný priamo tu). V žiadnom prípade však neslúži pre porovnávanie možností AV-systémov v oblasti identifikácie škodlivých kódov. Databáza tohto systému je vytváraná tak, že sa vždy pri jej aktualizácii ponechá AV-systémom prekontrolovať rozsiahla množina infikovaných súborov. Pri tejto činnosti sa automaticky generuje výstupný protokol obsahujúci názov infikovaného súboru a k nemu zodpovedajúci názov škodlivého kódu, ktorý v ňom AV-systém identifikoval. Získané protokoly sa v ďalšej fáze navzájom porovnajú a ku každému infikovanému súboru obsiahnutému v testovacej množine škodlivých kódov sa priradia všetky získané názvy zo všetkých použitých AV-systémov. Tesne pred koncom sa odstránia z evidencie duplicitné a nesprávne záznamy, nuž a výsledok sa nakoniec uloží do textového súboru, ktorý neskôr slúži ako zdrojová databáza informácií pri činnosti systému VGrep.
Okrem systému VGrep fungujúceho cez web rozhranie je pre prípadných záujemcov dostupná aj jeho off-line verzia. Tú si používateľ môže stiahnuť na svoj počítač vo forme spustiteľnej aplikácie, ktorá sa dá ovládať pomocou niekoľkých príkazov zadávaných prostredníctvom príkazového riadku – download (... približná veľkosť súboru je 3,7 MB).

Na základe prezentovaných informácií môžeme konštatovať, že systém VGrep predstavuje svojim spôsobom istú encyklopédiu škodlivých kódov, ktorá namiesto ich popisov sumarizuje informácie o ich rôznych – existujúcich názvoch. Pokiaľ by v tejto súvislosti niektorých používateľov detailnejšie zaujímali zásady o tom, podľa čoho a ako presne jednotlivé AV-spoločnosti tvoria, či skôr by mali tvoriť názvy pre jednotlivé škodlivé kódy, potom im odporúčame do pozornosti článok nazvaný "A virus by any other name - virus naming updated" (Nick FitzGerald). Pevne veríme, že dostupné možnosti systému VGrep v budúcnosti využijete vždy, keď to budete potrebovať, čím zároveň zefektívnite svoje možnosti v boji proti škodlivým kódom.


P.S.: V niektorom z našich ďalších článkov sa zameriame bližšie na to, v ktorých encyklopédiách škodlivých kódov a hlavne akým spôsobom je najvhodnejšie vyhľadávať popisy počítačových vírusov, červov, trójskych koňov i adwaru a spywaru. O tom bude reč ale až niekedy nabudúce... .



Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.