Содержание статьи
- Чем Вы занимались до работы вирусным аналитиком?
- Имели ли Вы представление о вирусах и опыт реверсинга вирусов?
- Какой софт Вы используете в своей работе?
- Какие конкретные источники получения тел вирусов используются в вашей компании, и какие пропорции между ними существуют? Если возможно, приведите какие-то количественные характеристики.
- Опишите стандартный рабочий день вирусного аналитика: типовые процессы и действия, структуру работы.
- Какой вирус за последнее время понравился и запомнился больше всего? В чем была его основная фишка и особенность?
Чем Вы занимались до работы вирусным аналитиком?
Восемь лет назад я был студентом Санкт-Петербургского государственного университета аэрокосмического приборостроения.
В то время у меня, как и у всех студентов, были какие-то увлечения… К примеру, очень нравились шахматы, также увлекался испанским языком и учился программировать на ассемблере.
Имели ли Вы представление о вирусах и опыт реверсинга вирусов?
Где-то в начале 1997 года мне в руки попала книжка Питера Абеля «Ассемблер и программирование для IBM PC». Вот так и началось мое знакомство с ассемблером, дизассемблером, а также дебаггером!
Когда я только начинал работать вирусным аналитиком, то уже неплохо разбирался в архитектуре таких операционных систем как DOS, Win3.1, Win9x. Естественно, я знал и о вирусах под эти платформы.
Какой софт Вы используете в своей работе?
Не знаю, огорчу вас или обрадую – на самом деле ничего сверхъестественного мы не используем. Почти вся работа вирусного аналитика проходит в Far Manager (его представлять, думаю, не надо), а также в Hiew – это консольный hex-редактор с возможностями дизассемблера. У нас для него написаны плагины, позволяющие работать с вирусной базой.
IDA Pro + Hexrays – интерактивный дизассемблер и декомпилятор, ставший своего рода промышленным стандартом в reverse engineering. OllyDdbg – отладчик пользовательского режима для платформы WinNT.
Естественно, мы применяем и свои разработки. Одной из них является комплекс программ «Виртуальный аналитик». В него, например, входит система распознавания неизвестных вирусов на основе анализа граф передачи управления, позволяющая находить новые модификации вредоносных программ, используя базу знаний.
Какие конкретные источники получения тел вирусов используются в вашей компании, и какие пропорции между ними существуют? Если возможно, приведите какие-то количественные характеристики.
Входящий вирусный поток состоит из сэмплов, поступивших сразу из нескольких источников. Прежде всего, из нашей службы технической поддержки, в которую обращаются наши пользователи в случае столкновения с угрозой, которая еще не известна Dr.Web.
Также мы получаем образцы вредоносных программ для анализа и последующего добавления в наши вирусные базы от компаний, использующих наши технологии обнаружения. В частности, как известно, ядро Dr.Web используется в корейском антивирусе Virus Chaser.
Нельзя забывать и про онлайн-сканеры, примеры которых вам наверняка известны (virustotal.com/jotti.org/virscan.org и т.д.), а также регулярный обмен сэмплами между вендорами из самых разных стран.
Наконец, honeypots – так называемые системные ловушки или приманки, на которые в случае удачи и высокого фактора достоверности попадется злоумышленник.
Это основные источники поступления к нам образцов вредоносных программ. Пропорции я указывать не буду – пусть это останется тайной.
Опишите стандартный рабочий день вирусного аналитика: типовые процессы и действия, структуру работы.
Стандартный вирусный аналитик… Надо понимать, что вирусная лаборатория – это не цех по изготовлению гаек… Производимый ею продукт несколько сложнее, так что расшифровка термина «стандартный рабочий день» будет сильно зависеть от группы людей, которая отвечает за ту или иную часть конечного продукта.
Если говорить об обработке входящего потока, стандартный процесс начинается с обращения пользователя. Его заявка регистрируется в трекере запросов. Если была выбрана категория «подозрение на вирус», то присланный сэмпл (один или сразу несколько) проходит стадию предварительного автоматического анализа. Это происходит при условии, что на этом этапе система не смогла автоматически добавить объект в базу, и он уходит на так называемую «ручную обработку».
Далее решение принимается уже вирусным аналитиком. И, естественно, от него зависит очень многое. Результатом всего этого становится тот факт, что заявка пользователя закрывается, и он получает автоматический ответ на свой запрос.
Есть и то, что не зависит от работы простого вирусного аналитика. Речь, прежде всего, о системе выпуска ежедневных баз. Она отвечает за сборку, дополнение и тестирование на коллекции «чистых» файлов. В случае возникновения ложного срабатывания система исключает из базы соответствующие записи и выкладывает дополнение на мастер-зоны обновлений. Это самый «стандартный процесс» в работе вируслаба.
Какой вирус за последнее время понравился и запомнился больше всего? В чем была его основная фишка и особенность?
По нашей классификации он называется Linux.Hasher. Это файловый вирус, работающий на Linux-платформе, который заражает исполняемые файлы ELF-формата. Кроме саморепликации больше ничем и не занимается.
Интересен он, прежде всего, процедурой заражения. Вирус использует довольно хитроумный прием с секцией .hash, которая необходима загрузчику ELF для ускорения доступа к таблице символов. Linux.Hasher модифицирует заголовок таким образом, что загрузчик больше не использует быстрый доступ к символам. Это позволяет записать в секцию код размером всего 219 байт.
