Двое ученых – Вишват Мохан (Vishwath Mohan) и Кевин Хэмлен (Kevin Hamlen) – из Техасского университета в Далласе (США) разработали компьютерный вирус, способный самособираться (то есть создавать самого себя), заимствуя для этой цели код других вполне безопасных приложений. Подобно Виктору Франкенштейну из произведений Мэри Шелли, который сделал монстра из фрагментов тел обычных людей, этот вирус собирает вредоносную программу из кусочков обычных Windows-приложений: таких как Блокнот, Internet Explorer и прочие.
Вредоносная программа создавалась по проекту, частично финансируемому ВВС США. Перед учёными была поставлена задача показать теоретическую возможность разработки вируса, который с трудом поддавался бы обнаружению при помощи традиционных антивирусных инструментов. Создать вредоносную программу, которая получила название “вирус Франкенштейна”, ученые решили, чтобы доказать теоретическую возможность конструирования сложных приложений путем направленного сбора и компоновки фрагментов из других приложений.
Таким образом сотворив вирус Франкенштейна учёные сумели создать практическое подтверждение прежним теоретическим выводам – их рабочий образец вируса уже умеет создавать вредоносный код из двух базовых алгоритмов, используя только фрагменты вполне легальных приложений. Авторы заверяют, что эти два тестовых алгоритма намного проще, чем полноценный вирус, но они уже содержат базовую логику для распаковки вируса. Этот шаг однозначно подтверждает, что вирус Франкенштейна уже нельзя считать чисто теоретической угрозой.
Вирус Франкенштейна создаёт своё тело копируя и собирая в единое целое фрагменты других программ (гаджетов в терминологии авторов) и эта процедура повторяется каждый раз при заражении нового компьютера, причём каждый раз сборка может осуществляться из разных фрагментов. В результате вирус каждый раз выглядит по-новому с точки зрения антивируса, хотя выполняет совершенно те же функции.
Авторы проекта отмечают, что их вирус Франкенштейна может быть особенно полезен для спецслужб при внедрении во вражеские компьютерные системы с неизвестным типом антивирусной защиты. Авторы проекта так же утверждают, что для обнаружения вредоносного ПО такого рода потребуется в корне изменить архитектуру антивирусных систем. Теперь сканеры безопасности должны будут анализировать не код вируса как таковой, а общие признаки поведения программ на компьютере.
В этой связи интересно, что защита от вирусов такого типа уже занимает умы ведущих поставщиков ПО. Так недавно Microsoft выпустила обновленную версию своего EMET, который обеспечивает дополнительную защиту для пользователей ПК. В частности, эта программа не дает вирусам исполнять код других приложений, как в вирусе Франкенштейна. Это делается путем обертки легитимного ПО в специальный слой кода, который проверяет обращение к частям ПО из сторонних приложений. За эту технологию разработчик получил приз от Microsoft в размере 50 000$, но уже через две недели Шахрияр Джалаери, специалист по компьютерной безопасности из Ирана, заявил, что ему удалось обойти защиту EMET.
По материалам сайта New Scientist.