Проактивная защита
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении , основной целью которых, в отличие от реактивных (сигнатурных) технологий , является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.
История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
Технологии проактивной защиты
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО .
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.
- Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
- Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.
Применение проактивных технологий в настоящее время
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например
08.07.2013Проактивная защита – это совокупность определенных технологий, методов и средств, которые используются в антивирусном программном обеспечении. Основным отличием таких, проактивных, технологий защиты, от сигнатурных, является то, что в них происходит непосредственно сам процесс предотвращения пользователя от заражения вредоносным программным обеспечением. В сигнатурных (реактивных) же производится процесс поиска такого ПО, которое уже заранее известно и может нанести какой-либо вред операционной системе или системе в целом.
Развитие этих технологий происходило одновременно с реактивными технологиями обеспечения защиты персонального компьютера. Правда стоит заметить, что проактивные системы защиты требовали от пользователя достаточно высокий уровень квалификации, что означает, что их использование было рассчитано только на определенную категорию людей, а не на основную массу пользователей ПК. Спустя несколько лет, стало понятно, что обеспечить достойную безопасность данных, хранящихся на компьютере, может только проактивная технология защиты , а не сигнатурная.
К технологиям проактивной защиты относятся: Эвристический анализ, анализ поведения, эмуляция кода, ограничение привилегий выполнения, то есть песочница и виртуализация рабочего окружения. Рассмотрим некоторые из них.
Анализ поведения. Представляет собой процесс перехвата основных, наиважнейших системных функций. Кроме этого может производить установку так называемых мини-фильтров, которые позволяют отслеживать пользователю всю активность в системе. С помощью этой технологии появляется возможность оценивать целую цепочку действий, что повышает эффективность противодействия вредоносному программному обеспечению во много раз.
Эмуляция кода дает возможность пользователю запускать приложения в самой среде эмуляции, при этом эмулируя поведение операционной системы или центрального процессора. В этом режиме, приложение не сможет нанести никакого вреда самой системе пользователя, а любое действие, которое характеризуется как вредоносное, будет обнаружено эмулятором. Хотя этот метод и имеет большую эффективность и популярность, он все же имеет несколько недостатков. Во-первых, этот процесс занимает достаточно продолжительное количество времени и определенное количество необходимых ресурсов компьютера. Разумеется, это сказывается на производительности операций, которые будет выполнять пользователь. И вторым, но от этого не менее важным недостатком является то, что большинство вредоносного программного обеспечения способно обнаруживать то, что оно будет выполняться в эмулированной (виртуальной) программной среде, вследствие чего его процесс будет завершаться.
Материал из Википедии - свободной энциклопедии
Проактивные технологии - совокупность технологий и методов, используемых в антивирусном программном обеспечении , основной целью которых, в отличие от реактивных (сигнатурных) технологий , является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. Серьезный недостаток проактивной защиты - блокирование легитимных программ (ложные срабатывания).
История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокого уровня квалификации пользователя, то есть не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
Технологии проактивной защиты
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО .
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков - эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать своё выполнение в ней.
- Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т. н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ - поведенческих блокираторов (HIPS - Host-based Intrusion Systems).
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде - собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
- Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область - буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, так как доступ на чтение к жесткому диску не запрещен.
Применение проактивных технологий в настоящее время
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ.
Напишите отзыв о статье "Проактивная защита"
Ссылки
- Anderson, K. «».
- , Tyson Macaulay 2008
- , Tyson Macaulay 2008
Отрывок, характеризующий Проактивная защита
Пьер поспешно оделся и выбежал на крыльцо. На дворе было ясно, свежо, росисто и весело. Солнце, только что вырвавшись из за тучи, заслонявшей его, брызнуло до половины переломленными тучей лучами через крыши противоположной улицы, на покрытую росой пыль дороги, на стены домов, на окна забора и на лошадей Пьера, стоявших у избы. Гул пушек яснее слышался на дворе. По улице прорысил адъютант с казаком.– Пора, граф, пора! – прокричал адъютант.
Приказав вести за собой лошадь, Пьер пошел по улице к кургану, с которого он вчера смотрел на поле сражения. На кургане этом была толпа военных, и слышался французский говор штабных, и виднелась седая голова Кутузова с его белой с красным околышем фуражкой и седым затылком, утонувшим в плечи. Кутузов смотрел в трубу вперед по большой дороге.
Войдя по ступенькам входа на курган, Пьер взглянул впереди себя и замер от восхищенья перед красотою зрелища. Это была та же панорама, которою он любовался вчера с этого кургана; но теперь вся эта местность была покрыта войсками и дымами выстрелов, и косые лучи яркого солнца, поднимавшегося сзади, левее Пьера, кидали на нее в чистом утреннем воздухе пронизывающий с золотым и розовым оттенком свет и темные, длинные тени. Дальние леса, заканчивающие панораму, точно высеченные из какого то драгоценного желто зеленого камня, виднелись своей изогнутой чертой вершин на горизонте, и между ними за Валуевым прорезывалась большая Смоленская дорога, вся покрытая войсками. Ближе блестели золотые поля и перелески. Везде – спереди, справа и слева – виднелись войска. Все это было оживленно, величественно и неожиданно; но то, что более всего поразило Пьера, – это был вид самого поля сражения, Бородина и лощины над Колочею по обеим сторонам ее.
Над Колочею, в Бородине и по обеим сторонам его, особенно влево, там, где в болотистых берегах Во йна впадает в Колочу, стоял тот туман, который тает, расплывается и просвечивает при выходе яркого солнца и волшебно окрашивает и очерчивает все виднеющееся сквозь него. К этому туману присоединялся дым выстрелов, и по этому туману и дыму везде блестели молнии утреннего света – то по воде, то по росе, то по штыкам войск, толпившихся по берегам и в Бородине. Сквозь туман этот виднелась белая церковь, кое где крыши изб Бородина, кое где сплошные массы солдат, кое где зеленые ящики, пушки. И все это двигалось или казалось движущимся, потому что туман и дым тянулись по всему этому пространству. Как в этой местности низов около Бородина, покрытых туманом, так и вне его, выше и особенно левее по всей линии, по лесам, по полям, в низах, на вершинах возвышений, зарождались беспрестанно сами собой, из ничего, пушечные, то одинокие, то гуртовые, то редкие, то частые клубы дымов, которые, распухая, разрастаясь, клубясь, сливаясь, виднелись по всему этому пространству.
Эти дымы выстрелов и, странно сказать, звуки их производили главную красоту зрелища.
Пуфф! – вдруг виднелся круглый, плотный, играющий лиловым, серым и молочно белым цветами дым, и бумм! – раздавался через секунду звук этого дыма.
«Пуф пуф» – поднимались два дыма, толкаясь и сливаясь; и «бум бум» – подтверждали звуки то, что видел глаз.
Пьер оглядывался на первый дым, который он оставил округлым плотным мячиком, и уже на месте его были шары дыма, тянущегося в сторону, и пуф… (с остановкой) пуф пуф – зарождались еще три, еще четыре, и на каждый, с теми же расстановками, бум… бум бум бум – отвечали красивые, твердые, верные звуки. Казалось то, что дымы эти бежали, то, что они стояли, и мимо них бежали леса, поля и блестящие штыки. С левой стороны, по полям и кустам, беспрестанно зарождались эти большие дымы с своими торжественными отголосками, и ближе еще, по низам и лесам, вспыхивали маленькие, не успевавшие округляться дымки ружей и точно так же давали свои маленькие отголоски. Трах та та тах – трещали ружья хотя и часто, но неправильно и бедно в сравнении с орудийными выстрелами.
Пьеру захотелось быть там, где были эти дымы, эти блестящие штыки и пушки, это движение, эти звуки. Он оглянулся на Кутузова и на его свиту, чтобы сверить свое впечатление с другими. Все точно так же, как и он, и, как ему казалось, с тем же чувством смотрели вперед, на поле сражения. На всех лицах светилась теперь та скрытая теплота (chaleur latente) чувства, которое Пьер замечал вчера и которое он понял совершенно после своего разговора с князем Андреем.
– Поезжай, голубчик, поезжай, Христос с тобой, – говорил Кутузов, не спуская глаз с поля сражения, генералу, стоявшему подле него.
Выслушав приказание, генерал этот прошел мимо Пьера, к сходу с кургана.
– К переправе! – холодно и строго сказал генерал в ответ на вопрос одного из штабных, куда он едет. «И я, и я», – подумал Пьер и пошел по направлению за генералом.
Генерал садился на лошадь, которую подал ему казак. Пьер подошел к своему берейтору, державшему лошадей. Спросив, которая посмирнее, Пьер взлез на лошадь, схватился за гриву, прижал каблуки вывернутых ног к животу лошади и, чувствуя, что очки его спадают и что он не в силах отвести рук от гривы и поводьев, поскакал за генералом, возбуждая улыбки штабных, с кургана смотревших на него.
Генерал, за которым скакал Пьер, спустившись под гору, круто повернул влево, и Пьер, потеряв его из вида, вскакал в ряды пехотных солдат, шедших впереди его. Он пытался выехать из них то вправо, то влево; но везде были солдаты, с одинаково озабоченными лицами, занятыми каким то невидным, но, очевидно, важным делом. Все с одинаково недовольно вопросительным взглядом смотрели на этого толстого человека в белой шляпе, неизвестно для чего топчущего их своею лошадью.
– Чего ездит посерёд батальона! – крикнул на него один. Другой толконул прикладом его лошадь, и Пьер, прижавшись к луке и едва удерживая шарахнувшуюся лошадь, выскакал вперед солдат, где было просторнее.
Адаптивные компьютерные системы, как говорится в документах корпорации IBM, - это четкая констатация проблем, с которыми столкнулась ИТ-отрасль. В частности, данная концепция предлагает путь сдерживания дальнейшего роста сложности. Исследования, которые проводит Intel Research, посвящены будущим вычислительным системам. Они включают в себя адаптивные компьютерные системы, но при этом касаются и новых прикладных областей, требующих реализации принципов, которые получили название проактивных систем. Именно они позволяют перейти от современных интерактивных систем к проактивным средам, способным предвидеть наши потребности и действовать в наших интересах.
Адаптивные и проактивные компьютерные системы предлагают решение проблем, ограничивающих развитие современных ИТ. В 90-е годы возникла идея повсеместных вычислений , которая расширила традиционное представление о распределенных системах.
До недавнего времени естественный путь развития компьютерных систем был связан с поддержкой технологий, повышающих плотность хранения данных, а также с возможностями резервирования сетевой полосы пропускания индивидуально для каждого пользователя. В последние два десятилетия емкость дисков ежегодно увеличивалась примерно в два раза, вычислительная производительность - в 1,6 раза (закон Мура), а эффективность персональных сетевых возможностей - в 1,3 раза. Развитию приложений - и одновременно росту сложности их администрирования - в немалой степени способствовали преимущества, которые дает применение Internet. Адаптивные системы, подход, предлагаемый IBM, призван решить некоторые из проблем, связанных с ростом сложности. К числу принципов системного проектирования, которые, как ожидается, позволят преодолеть существующие ограничения, относят способность систем к самоконтролю, самовосстановлению, самоконфигурированию и самооптимизации. Кроме того, система должна иметь представление о своем окружении, защищаться от атак, взаимодействовать на основе открытых стандартов и предвидеть действия пользователей. Данные принципы могут применяться и к отдельным компонентам, и к системам в целом, причем последнее дает глобальные преимущества, позволяющие удовлетворить требования большего числа пользователей.
В Intel Research активно поддерживают концепцию адаптивных систем и в то же самое время думают о том, как компьютеры будут использовать в дальнейшем. До сих пор ПК наиболее эффективно применялись дома и в офисе. Нас интересуют другие области человеческой деятельности, готовые в перспективе к внедрению компьютерных технологий. Проактивные системы расширяют наши представления о применении компьютеров, подтверждая необходимость мониторинга физического мира и влияния на него, ориентации на процессы, которые предполагают сложные взаимодействия с реальным миром, но сейчас ограниченные степенью необходимого вмешательства со стороны человека. Некоторые исследования выходят за рамки уже созданных систем повсеместных вычислений и рассчитаны на будущие конфигурации, предполагающие, что человек работает с тысячами объединенных в сеть компьютеров. Разработка проактивных систем опирается на семь базовых принципов: связь с физическим миром; «глубокие» сетевые взаимодействия; макрообработка; функционирование в условиях неопределенности; предвидение; замкнутый цикл управления; персонификация.
Ориентация на системы, в которых человек выполняет наблюдательную, а не управляющую функцию, или на полностью автоматические системы, - общая цель проактивных компьютерных систем. Отношения между пользователем и компьютером со временем меняются: формула «много к одному» с появлением в 80-х годах персональных компьютеров превратилась в «один к одному», а затем, с бурным развитием в новом тысячелетии отрасли мобильных устройств, - в «один ко многим». Сегодня большинство жителей Соединенных Штатов, как правило, работают (иногда опосредованно) с десятками компьютеров, начиная от мобильных устройств и заканчивая бытовой электроникой. Все эти системы требуют внимания человека, которое в нашем современном мире превращается во все более дефицитный ресурс. И прежде, чем мы «утонем» в море различных устройств, необходимо найти решение, позволяющее освободить людей от участия в цикле управления там, где это возможно, заменив их управляющую функцию на наблюдательную. Таким образом, проактивные компьютерные системы сосредотачиваются на обеспечении наблюдательной деятельности человека, когда пользователь не вмешивается в управление системой - до тех пор, пока не потребуется его участие в принятии критически важных решений.
Один из простейших примеров, иллюстрирующих систему, где человеку отводится именно роль наблюдателя, - система центрального отопления в современном доме. Подобные системы, как правило, имеют простую программу, определяющую температуру для утра, дня, вечера и ночи. Обычно система действует автономно и незаметно, однако пользователи могут быстро и в любой момент изменить эти настройки, если им станет жарко или холодно, либо в приближении энергетического кризиса. Если систему оснастить сетью датчиков и занести в нее информацию о «расписании дня» семьи, температурный режим и уровень энергопотребления можно заранее оптимизировать с учетом микроклимата в доме, позднего окончания буднего дня, семейного отпуска. Но обобщить этот пример на более сложные системы довольно трудно: большинство ситуаций не сводится лишь к выбору между «слишком жарко» и «слишком холодно».
Исследования в области адаптивных и проактивных систем во многом перекрываются (см. рис. 1). И те, и другие должны подсказать нам средства, которые позволят кардинально улучшить архитектуру компьютеров.
Расширение сферы применения
Широкое применение компьютерных систем будущего не только дома и в офисе требует освоения новых принципов их проектирования. Остановимся на трех следующих принципах проактивных систем: связь с физическим миром; функционирование в масштабе реального времени и в замкнутом цикле; наличие методик, которые позволяют компьютерам предвидеть потребности пользователей. (Всего этих принципов семь; читатели, которых интересуют оставшиеся четыре принципа, могут найти их описание в Web по адресу http://www.intel.com/research .)
Связь с физическим миром. Значительная часть существующей в настоящее время вычислительной инфраструктуры связывает персональные компьютеры с массивом серверов. Созданная виртуальная среда позволяет нам порождать, обрабатывать и сохранять информацию, которая, через людей, может косвенно влиять на физический мир. Чтобы сформировать окружение, в котором компьютерные системы помогают нам в решении повседневных задач, физический мир должен быть оснащен такими компьютерными системами, которые способны детально изучать окружающую действительность, используя собранную информацию для эффективных воздействий на нее. Примером тому могут служить микроклиматические прогнозы погоды, мониторинг дорожного трафика и определение возможного местонахождения людей в здании, пострадавшем от землетрясения.
Нет необходимости говорить о том, что создание подобных систем связано с определенными проблемами. Во-первых, встают вполне прагматические вопросы, такие, как техподдержка, коммуникации и наличие подходящих источников электропитания. Во-вторых, вопросы координации и управления поднимаются на новый уровень сложности, необходимо создавать новые протоколы, позволяющие поддерживать соответствующие потоки данных, а управление энергопотреблением превращается в критически важный параметр для датчиков, которые должны работать от независимых источников энергии. Применение физических датчиков в глобальном масштабе - задача поистине грандиозная, но наше общество становится все сложнее, так что результат того стоит.
При масштабировании систем до такой степени, чтобы они были способны вести мониторинг физического мира, сразу же возникают проблемы, касающиеся администрирования и использования - т. е. именно те проблемы, на решение которых нацелена концепция адаптивных компьютерных систем. Поэтому мы не можем рассматривать существующие компьютерные системы как образец для подражания. Однако за счет использования простых узлов, которые можно описать подробно и по отдельности, мы в состоянии больше узнать о методиках, требующихся для поддержки более крупных сетей, собранных из традиционных компьютеров. Сложные беспроводные сети датчиков, подобные тем, с которыми мы работаем вместе с коллегами из Калифорнийского университета в Беркли , обладают именно такими характеристиками.
Функционирование в масштабе реального времени и в замкнутом цикле. Если предположить, что компьютеры будут более тесно интегрированы с физическим миром, обратная связь в реальном времени станет критически важным фактором. В 60-е годы компьютерные системы были либо полностью интерактивными, включающими человека в цикл управления, либо абсолютно негибкими, созданными на основе специализированной системы управления. Чтобы полностью интегрироваться в задачи реального мира, необходимо реагировать быстрее, чем это возможно в случае участия человека в цикле управления: они должны «отзываться» на события физического мира в реальном времени.
Если бы вычислительные системы общего назначения были бы перепроектированы таким образом, чтобы могли гарантировать обратную связь в реальном времени, появилось бы множество новых проактивных приложений. Однако большинство программных систем не гарантирует обратную связь в реальном времени, скрывая сложность за уровнями абстракции и не учитывая время ответа, определяемого разнообразными факторами. В мире встроенных систем, как правило, прибегают к помощи специализированного программного инструментария, использующего для критически важных управляющих воздействий возможности операционной системы реального времени, которые не поддерживаются большинством обычных платформ.
Предвидение. Предвидение - основа проактивных компьютерных систем. Чтобы системы были действительно проактивны, они, в некотором смысле, должны предсказывать будущее. Применение ряда перспективных методик позволит системам быстро обрабатывать ситуации реального мира, предоставляя требуемый уровень взаимодействия.
Операции, учитывающие контекст. Системы, поддерживающие мобильные и беспроводные коммуникации, дают возможность использовать контекстную информацию, например, о физическом местоположении и о готовности окружающей инфраструктуры, для того чтобы изменить поведение приложений. И адаптивные, и проактивные системы для принятия важнейших решений могут использовать контекст, учитывая состояние среды, в которой они работают. Адаптивные компьютерные системы могут быть полезны непосредственно для поддержки новых конфигураций, например, позволяя определять локальные ресурсы и подразумеваемые настройки операций. Проактивные системы, действующие на более высоком уровне, могут фильтровать информацию для отображения и настраивать результаты выполнения команд.
Местонахождение - один из наиболее полезных параметров для определения контекста, и предоставление мобильным устройствам и поддерживающим их системам высокоточной информации о местонахождении, - одна из первоочередных целей исследователей.
Статистические рассуждения. За последнее десятилетие значительно усовершенствованы подходы, в которых для решения важных проблем используются статистические методы. Они превзошли и даже заменили собой некоторые из более традиционных подходов, использующих детерминированные методы. Применение подобных методик к управлению и анализу сложных систем дает значительные преимущества как в ИТ, так и для управления процессами произвольной природы.
В некоторых Web-приложениях (например, в машине поиска Google), такие методики уже применяются для добычи данных. Кроме того, статистические методы с успехом используются и в других областях информатики, таких как распознавание речи, визуальная обработка и даже в алгоритмах маршрутизации, реализованных в некоторых средствах автоматизированного проектирования. В перспективе мы планируем использовать статистические методы для обработки событий физического мира в режиме реального времени.
Проактивная обработка данных. Экспоненциальный рост плотности хранения данных и увеличение сетевой полосы пропускания, предоставляемой для передачи данных, позволяет проактивным вычислительным системам быстро предоставлять данные пользователям без их непосредственного участия. Проактивные системы могут использовать мобильную память высокой плотности, благодаря чему системы способны заранее загружать данные, которые могут потребоваться пользователям в будущем, не обременяя их громоздкими мобильными устройствами. Точно также сети с широкой полосой пропускания могут за короткий период времени передавать большие объемы данных на сервер, физически расположенный недалеко от пользователя. Однако адаптивные методики должны доказать, что пользователи могут доверять подобным системам, гарантируя, что они будут работать в самых разных условиях.
И локальное кэширование данных, и перемещение данных могут играть важную роль в поддержке мобильности пользователей. Сети обеспечивают неоценимую оперативную связь, но если полагаться на них полностью, не подведут ли они пользователей, если окажутся не готовы или перегружены? С другой стороны, локальное кэширование данных может быть весьма полезно пользователю, если информация для кэширования выбрана разумным образом, хотя данные не всегда могут оказаться актуальными. За счет использования обеих этих методик проактивные компьютерные системы призваны предоставлять данные компьютерам, перемещающимся в физическом мире в реальном времени, тем самым, формируя единое представление.
Активизация исследований
Приведем краткое описание двух из серии проектов, выполняемых в Intel Research.
Labscape. Данный проект (выполняется совместно с Вашинтгтонским университетом) предусматривает модернизацию микробиологической лаборатории и обеспечение автоматизации регистрации и анализа результатов. Это первый пример среды, которой практически не коснулся прогресс в мире компьютерных систем. Labscape отвечает за наличие реактивов, лабораторной посуды, тестового оборудования и персонала и отслеживает их положение относительно друг друга во время экспериментов (рис. 2). При проведении любого эксперимента многие процессы необходимо регистрировать в лабораторном журнале; однако некоторые шаги иногда пропускаются, а реагенты порой загрязняют друг друга. В традиционной лаборатории эти ошибки может заметить только опытный сотрудник, и для контроля состояния не существует никакого внутреннего механизма. С помощью Labscape весь эксперимент можно записать электронным образом и автоматически генерировать в журнале запись, соответствующую методу и результатам. Преимущество такого подхода заключается в том, что ни один из шагов не будет случайно пропущен и, более того, экспертная система может анализировать данные на возможность возникновения риска загрязнения и другие ошибки эксперимента.
Сложная структура вычислений Labscape формируется в результате взаимодействия множества компонентов. Принципы адаптивных компьютерных систем позволяют компонентам надежно и эффективно взаимодействовать друг с другом. Однако это тоже выходит за рамки традиционных вычислительных сред, соприкасающихся с физическим миром, требующих ответа в реальном времени и исключения пользователей из вычислительного цикла там, где это возможно. Проактивные средства играют важную роль в управлении и координации подобных систем, позволяя делать выводы и используя контекст зарегистрированных данных и оценки риска.
Personal Server. Данный проект ориентирован на взаимодействие пользователя с персональными мобильными данными в окружающем его мире, определяемыми тенденциями в вычислениях, хранением и стандартами на беспроводную связь ближнего радиуса действия. Основной тезис состоит в том, что плотность хранения, которая ежегодно удваивается, приведет к появлению к 2012 году однодюймовых дисков, способных хранить более одного терабайта данных. При такой плотности информации станет возможным буквально носить в кармане большое количество данных, часть которых может быть действительно необходима, а часть - на всякий случай.
Устройство, которое мы называем Personal Server (рис. 3), может быть достаточно миниатюрным для того, чтобы человек всегда имел его под рукой. Возможно, оно будет встраиваться в сотовый телефон или его можно будет носить как украшение. Поскольку встроенный дисплей не является для Personal Server базовым интерфейсом, само устройство может быть совсем небольшим по размеру и при этом поддерживать самые широкие интерфейсные возможности. Оно рассчитано на использование окружающей вычислительной инфраструктуры и дисплеев, поэтому позволяет просматривать информацию на имеющихся по соседству мониторах, тем самым, освобождая пользователей от необходимости носить с собой тяжелый и громоздкий экран. Стандартные беспроводные протоколы, которые, как правило, предоставляют механизм для пересылки данных между устройством и хостом, могут в этом случае применяться специальным и проактивным образом для обнаружения полезной информации в среде и ее записи для последующего использования. Аналогичные возможности проявляются при взаимодействии одного Personal Server с другими Personal Server, которые могут сообщить конкретную информацию, поддерживая персональный взаимный обмен данными.И опять-таки, для того, чтобы эта система была работоспособной, необходимо реализовать принципы адаптивных компьютерных систем, которые позволят Personal Server выполнять самоконтроль, самовосстановление, самоконфигурирование и так далее, защищаясь от возможных враждебных данных и программ, которые могут на него обрушиться. Кроме того, проактивные методики требуются для прогнозирования типов данных, которые необходимы пользователю, на основе ранее сформированных шаблонов обращения к данным или контексту, в котором он работает.
Будущее компьютерных систем
Сетевые возможности встроенных компьютеров позволят разблокировать данные, которые сейчас доступны лишь локально и дадут нам возможность использовать вычислительные системы вне традиционных границ. По мере того, как эти данные будут передаваться в более крупные системы, появятся новые возможности, позволяющие добиться новых уровней производительности при работе с этими данными и предложить новые услуги, которые повлияют на нашу жизнь. Однако поскольку каждому человеку придется иметь дело с тысячами процессоров и лавиной данных, которые они предоставляют, нам придется перейти от интерактивных к проактивным парадигмам. Этот шаг и есть цель программы исследований Intel Research, посвященной проактивным компьютерным системам, в соответствии с которой академические организации и коммерческие компании будут разрабатывать механизмы, поддерживающие проактивное поведение.
Нас всех приводит в восторг эта гонка, поскольку в том, что касается технологического прогресса, вычислительная отрасль движется быстрее, чем любая другая в истории. Это происходит, главным образом, благодаря факторам экспоненциального роста, способствующих более высокой производительности процессоров, росту плотности памяти и снижению уровня энергопотребления. Однако гонка далека от завершения и под эгидой адаптивных и проактивных методик компьютеры откроют нам немало совершенно новых областей применения.
Литература
- P. Horn, Autonomic Computing: IBM"s Perspective on the State of Information Technology, October 15, 2001; http://www.research.ibm.com/autonomic/manifesto/ autonomic_computing.pdf .
- D.L. Tennenhouse, "Proactive Computing", Communications of the ACM 43, No. 5, May 2000.
- M. Weiser, "The Computer of the 21st Century", Scientific American 265, No. 3, September 1991.
- S. Conner, L. Krishnamurthy, R. Want, "Making Everyday Life Easier Using Dense Sensor Networks", Proceedings of Ubicomp 2001: 3rd International Conference on Ubiquitous Computing, Atlanta, GA, Springer, Lecture Notes in Computer Science 2201, October 2001.
- D. Estrin, D. Culler, K. Pister, G. Sukhatme, "Connecting the Physical World with Pervasive Networks", IEEE Pervasive Computing 1, No. 1, January-March 2002.
- L. Arnstein, C. Hung, R. Franza, Q. Zhou, A. LaMarca, G. Borriello, S. Consolvo, J. Su, "Labscape: ASmart Environment for the Cell Biology Laboratory", IEEE Pervasive Computing 1, No. 3, July-September 2002.
- R. Want, T. Pering, G. Danneels, M. Kumar, M. Sundar, J. Light, "The Personal Server: Changing the Way We Think about Ubiquitous Computing", Proceedings of Ubicomp 2002: 4th International Conference on Ubiquitous Computing, Goteborg, Sweden (September 30-October 2, 2002), Springer, Lecture Notes in Computer Science 2498.
Тревор Перинг ([email protected] ) - научный сотрудник Intel Research. Интересуется различными аспектами мобильных и повсеместных вычислений, в том числе, моделями использования, управлением уровнем энергопотребления, новыми форм-факторами и программной инфраструктурой.
Дэвид Тенненхаус ([email protected] ) - вице-президент и директор по исследованиям корпорации Intel. Одним из первых занялся изучением сетей ATM, активных сетей, программного радио и средств настольной обработки мультимедиа. Занимал должность директора по науке и технологиям агентства DARPA, определяя стратегию исследований PRO-Active Computing, особое внимание в которой уделялось сетевой инфраструктуре встроенных и самоуправляемых систем.
R. Want, T. Pering, D. Tennenhouse, Comparing autonomic and proactive computing. IBM Systems Journal, Vol. 42, No. 1, 2003. Copyright IBM. All right reserved. Reprinted with permission.
Олег Гудилин
Сегодня вирусные атаки прочно удерживают пальму первенства во всех хит-парадах угроз ИТ-безопасности. Эти вредители наносят прямой финансовый ущерб, а также служат отправной точкой для реализации многих других опасных угроз, среди которых кража конфиденциальной информации и несанкционированный доступ к данным. В свою очередь антивирусная индустрия предлагает несколько новых подходов к защите ИТ-инфраструктуры: проактивные технологии, форсированный выпуск критически важных вакцин, серьезное увеличение частоты обновления антивирусных баз и т.д. Данный материал открывает цикл статей, которые призваны помочь читателю сориентироваться в новых технологиях антивирусных компаний и более или менее объективно оценить их эффективность. Первая статья цикла посвящена проактивным технологиям.
Характерной чертой сегодняшнего дня является не только огромный ущерб, наносимый вирусными атаками, но и непрекращающийся рост числа самих вредоносных кодов. Отметим, что в 2005 году рост популяции компьютерных вредителей приобрел просто взрывной характер. Например, по данным "Лаборатории Касперского", количество ежемесячно детектируемых вирусов выросло на конец 2005 года в среднем до 6368 экземпляров, а по итогам года рост составил 117%, в то время как в прошлом году рост составил только 93%.
Таким образом, налицо изменение характера угрозы: вредителей стало намного больше, а сами они стали намного опаснее. Логично ожидать ответной реакции и со стороны антивирусной индустрии, которая действительно предложила ряд новых подходов к защите от вирусных атак. Среди них проактивные технологии, повышение скорости реакции на появление особо опасных вредителей, способных вызвать эпидемию, а также просто увеличение частоты обновления антивирусных баз. В данной статье будет подробно рассмотрен проактивный подход, часто продвигаемый поставщиками в качестве панацеи от всех существующих и вообще возможных вирусов.
Введение в проактивные технологии
В современных антивирусных продуктах используются два основных подхода к обнаружению вредителей. Это сигнатурный и проактивный / эвристический. Первый метод достаточно прост: проверяемые на компьютере пользователя объекты сравниваются с шаблонами (сигнатурами) известных вирусов. Эта технология предполагает непрерывное отслеживание новых экземпляров вредителей, их описание и включение в базу сигнатур. Таким образом, у антивирусной компании должна эффективно работать служба обнаружения и анализа вредоносных кодов (то есть, антивирусная лаборатория). Главные критерии эффективности сигнатурного метода - это скорость реакции на новые угрозы, частота обновлений, максимальное число обнаруженных угроз.
Очевидно, что у сигнатурного метода есть ряд недостатков. Самый главный из них - задержка при реакции на новые угрозы. Сигнатуры всегда появляются только через некоторое время после появления вируса, а современные вредоносные коды способны за очень короткое время заразить миллионы компьютеров.
В связи с этим все большее распространение получают проактивные / эвристические методы обнаружения вирусов. Этот подход не требует выпуска сигнатур. Антивирусная программа анализирует код проверяемого объекта и / или поведение запущенного приложения, а потом на основе заложенных в ней правил принимает решение о том, является ли данное программное обеспечение вредоносным.
В принципе, использование этой технологии позволяет обнаруживать еще неизвестные вредоносные программы. Поэтому многие производители антивирусных средств поспешили заявить о проактивных методах, как о панацее от нарастающей волны новых вредителей. Тем не менее, это не так. Чтобы оценить эффективность применения проактивного подхода и возможность его использования отдельно от сигнатурных методов, следует подробнее изучить принцип работы проактивных технологий.
Существует несколько подходов к проактивной защите. Рассмотрим два самых популярных: эвристические анализаторы и поведенческие блокираторы.
Эвристический анализ
Эвристический анализатор (эвристик) - это программа, которая анализирует код проверяемого объекта и по косвенным признакам определяет, является ли объект вредоносным. Причем в отличие от сигнатурного метода эвристик может детектировать как известные, так и неизвестные вирусы (то есть те, которые были созданы после эвристика).
Работа анализатора, как правило, начинается с поиска в коде подозрительных признаков (команд), характерных для вредоносных программ. Этот метод называется статичным анализом. Например, многие вредоносные коды ищут исполняемые программы, открывают найденные файлы и изменяют их. Эвристик просматривает код приложения и, встретив подозрительную команду, увеличивает некий "счетчик подозрительности" для данного приложения. Если после просмотра всего кода значение счетчика превышает заданное пороговое значение, то объект признается подозрительным.
Преимуществом этого метода является простота реализации и высокая скорость работы, однако уровень обнаружения новых вредоносных кодов остается довольно низким, а вероятность ложных срабатываний высокой.
Поэтому в современных антивирусах статический анализ используются в сочетании с динамическим. Идея такого комбинированного подхода состоит в том, чтобы до того как приложение будет запущено на компьютере пользователя, эмулировать его запуск в безопасном виртуальном окружении, которое называется также буфером эмуляции, или "песочницей". В маркетинговых материалах поставщики используют еще один термин - "эмуляция виртуального компьютера в компьютере".
Итак, динамический эвристический анализатор читает часть кода приложения в буфер эмуляции антивируса и с помощью специальных "трюков" эмулирует его исполнение. Если в процессе этого "псевдоисполнения" обнаруживаются какие-либо подозрительные действия, объект признается вредоносным и его запуск на компьютере пользователя блокируется.
В отличие от статического метода, динамический более требователен к ресурсам ПК, так как для анализа приходится использовать безопасное виртуальное пространство, а запуск приложения на компьютере пользователя откладывается на время анализа. Однако и уровень обнаружения вредителей у динамического метода значительно выше статического, а вероятность ложных срабатываний существенно меньше.
В заключение заметим, что первые эвристические анализаторы появились в антивирусных продуктах довольно давно и на сегодняшний день более или менее совершенные эвристики реализованы во всех антивирусных решениях.
Поведенческие блокираторы
Поведенческий блокиратор - это программа, которая анализирует поведение запущенного приложения и блокирует любые опасные действия. В отличие от эвристических анализаторов, где подозрительные действия отслеживаются в режиме эмуляции (динамический эвристик), поведенческие блокираторы работают в реальных условиях.
Принцип действия первых поведенческих блокираторов был прост. При обнаружении потенциально опасного действия задавался вопрос пользователю: разрешить или запретить это действие. Во многих случаях такой подход работал, но "подозрительные" действия производили и легитимные программы (вплоть до операционной системы). Поэтому если пользователь не обладал должной квалификацией, вопросы антивируса вызывали непонимание.
Поведенческие блокираторы нового поколения анализируют уже не отдельные действия, а последовательность операций. Другими словами, заключение об опасности того или иного приложения выносится на основе более сложного анализа. Таким образом, удается значительно сократить количество запросов к пользователю и повысить надежность детектирования.
Современные поведенческие блокираторы способны контролировать широкий спектр событий происходящих в системе. Это прежде всего контроль опасной активности (анализ поведения всех процессов, запущенных в системе, сохранение всех изменений, производимых в файловой системе и реестре). При выполнении некоторым приложением набора подозрительных действий выдаётся предупреждение пользователю об опасности данного процесса. Помимо этого блокиратор позволяет перехватить все возможности внедрения программного кода в чужие процессы. Вдобавок, блокиратор способен обнаружить руткиты, то есть программы, которые скрывают от пользователя работу вредоносного кода с файлами, папками и ключами реестра, а также прячут запущенные программы, системные службы, драйверы и сетевые соединения.
Особо стоит выделить такую функциональность поведенческих блокираторов, как контроль целостности приложений и системного реестра Microsoft Windows. В последнем случае блокиратор контролирует изменения ключей реестра и позволяет задавать правила доступа к ним для различных приложений. Все вместе это позволяет осуществить откат изменений после определения опасной активности в системе. Таким образом, можно восстанавливать систему даже после вредоносных действий неизвестных программ, вернув ее к незараженному состоянию.
В отличие от эвристиков, которые присутствуют практически во всех современных антивирусных программах, поведенческие блокираторы на данный момент реализованы далеко не везде. В качестве примера эффективного поведенческого блокиратора нового поколения можно привести модуль проактивной защиты (Proactive Defence Module), реализованный в продуктах "Лаборатории Касперского".
Данный модуль включает в себя все перечисленные выше возможности и, что особенно важно, хорошую систему информирования пользователя о том, в чем реально состоит опасность тех или иных подозрительных действий. Любой поведенческий блокиратор на определенном этапе требует вмешательства пользователя, что предполагает наличие у последнего определенной квалификации. На практике пользователь часто не обладает необходимыми знаниями, поэтому информационная поддержка - фактически поддержка принятия решений - является обязательным атрибутом современных антивирусных решений.
Таким образом, можно резюмировать: поведенческий блокиратор может предотвратить распространение как известного, так и неизвестного (написанного после создания блокиратора) вируса, что является неоспоримым преимуществом такого подхода к защите. Важным недостатком поведенческих блокираторов остается срабатывание на действия ряда легитимных программ. Вдобавок, для принятия окончательного решения о вредоносности приложения требуется вмешательство пользователя, что предполагает наличие у него достаточной квалификации.
Проактивная защита и бреши в программном обеспечении
В рекламных и маркетинговых материалах антивирусных поставщиков часто можно встретить заявления о том, что проактивная / эвристическая защита - это панацея от новых угроз, не требующая обновлений, а следовательно, всегда готовая к отражению атак еще даже не созданных вирусов. Более того, в брошюрах и листовках речь часто идет не просто о новых угрозах, эксплуатирующих известные бреши, а об угрозах класса "zero-day". Другими словами, разработчики утверждают, что их проактивные технологии способны остановить даже те вредоносные коды, которые используют еще никому не известные бреши в приложениях, то есть такие, для которых еще не выпущена соответствующая заплатка.
К сожалению, в таких рекламных материалах присутствует большая доля лукавства - или их авторы недостаточно хорошо понимают, о чем говорят. В частности, борьба с вредоносными кодами представлена как борьба между вирусописателями и автоматическими методами (проактивными / эвристическими). На самом же деле борьба идет между людьми: вирусописателями и антивирусными экспертами.
Выше уже были рассмотрены различные методы проактивной защиты: эвристики и поведенческие блокираторы. В их основе лежат "знания" о подозрительных действиях, которые обычно производят вредоносные программы. Но правда заключается в том, что эти "знания" (набор поведенческих правил) заложены в программу антивирусными экспертами, и получены эти "знания" путем анализа поведения уже известных вирусов. Таким образом, проактивные технологии бессильны против вредоносных кодов, использующих принципиально новые методы проникновения и заражения, появившиеся после момента создания правил. Это, собственно, и есть угрозы класса "zero-day". Кроме того, вирусописатели целенаправленно находят новые возможности обхода существующих в антивирусах поведенческих правил, что опять же значительно снижает эффективность проактивных методов.
Разработчики антивирусов просто вынуждены обновлять наборы поведенческих правил и "докручивать" свои эвристики, чтобы отреагировать на появление новых угроз. Несомненно, такое обновление происходит реже, чем обновление обычных сигнатур (шаблонов кода). Однако оно все равно происходит регулярно, а по мере роста числа новых угроз будет происходить все чаще и чаще. В итоге индустрия придет к тому же сигнатурному методу, только сигнатуры станут "поведенческими", а не шаблонами кода.
Скрывая от пользователей факт необходимости обновлений проактивной защиты, некоторые антивирусные поставщики, по сути, вводят в заблуждение как своих корпоративных и домашних клиентов, так и прессу. В результате в обществе создается не совсем верное представление о возможностях проактивной защиты.
Проактивные и сигнатурные методы
Несмотря на имеющиеся недостатки, проактивные методы действительно позволяют обнаруживать некоторые новые угрозы еще до выхода соответствующих сигнатур. Рассмотрим, например, реакцию антивирусов на червя Email-Worm.Win32.Nyxem.e (далее просто Nyxem).
Червь Nyxem (известный также как Blackmal, BlackWorm, MyWife, Kama Sutra, Grew и CME-24) попадает на компьютер при открытии вложения к письму, где помещены ссылки на сайты порнографической и эротической направленности, а также через файлы, расположенные в открытом сетевом доступе. В течение считанного времени вирус стирает информацию на жестком диске, поражая файлы в 11 различных форматах (включая Microsoft Word, Excel, PowerPoint, Access, Adobe Acrobat). При этом вся полезная информация замещается бессмысленным набором символов. Еще одной характерной особенностью Nyxem является его активизация третьего числа каждого месяца.
Исследовательская группа из Магдебургского университета (AV-Test.org ) провела независимую оценку скорости реакции антивирусных разработчиков на появление Nyxem. Выяснилось, что несколько антивирусных продуктов оказались способны обнаружить червя с помощью проактивных технологий, то есть еще до выпуска сигнатур:
| Проактивное детектирование Nyxem поведенческими блокираторами | |
| Kaspersky Internet Security 2006 (Beta 2) | DETECTED |
| Internet Security Systems: Proventia-VPS | DETECTED |
| Panda Software: TruPrevent Personal | DETECTED |
| Проактивное детектирование Nyxem эвристиками | |
| eSafe | Trojan/Worm (suspicious) |
| Fortinet | suspicious |
| McAfee | W32/Generic.worm!p2p |
| Nod32 | NewHeur_PE (probably unknown virus) |
| Panda | Suspicious file |
| Время выпуска сигнатуры для детектирования Nyxem | |||
| BitDefender | 2006-01-16 | 11:13 | Win32.Worm.P2P.ABM |
| Kaspersky | 2006-01-16 | 11:44 | Email-Worm.Win32.VB.bi |
| AntiVir | 2006-01-16 | 13:52 | TR/KillAV.GR |
| Dr Web | 2006-01-16 | 14:56 | Win32.HLLM.Generic.391 |
| F-Secure | 2006-01-16 | 15:03 | Email-Worm.Win32.VB.bi |
| VirusBuster | 2006-01-16 | 15:25 | Worm.P2P.VB.CIL |
| F-Prot | 2006-01-16 | 15:31 | W32/Kapser.A@mm (exact) |
| Command | 2006-01-16 | 16:04 | W32/Kapser.A@mm (exact) |
| AVG | 2006-01-16 | 16:05 | Worm/Generic.FX |
| Sophos | 2006-01-16 | 16:25 | W32/Nyxem-D |
| Trend Micro | 2006-01-17 | 03:16 | WORM_GREW.A |
| eTrust-VET | 2006-01-17 | 06:39 | Win32/Blackmal.F |
| Norman | 2006-01-17 | 07:49 | W32/Small.KI |
| ClamAV | 2006-01-17 | 08:47 | Worm.VB-8 |
| Avast! | 2006-01-17 | 15:31 | Win32:VB-CD |
| eTrust-INO | 2006-01-17 | 16:52 | Win32/Cabinet!Worm |
| Symantec | 2006-01-17 | 17:03 | W32.Blackmal.E@mm |