2. CARO Szakműhely: exepackerek
4 perc olvasás
A Számítógépes Vírusellenes Kutatók Szervezete (CARO: Computer Antivirus Researchers' Organization) második szakműhelyének 2008-ban a hollandiai Amszterdam adott otthont május elején. A találkozón a csomagoló- és titkosító programokról – az "exepackerekről' -, illetve a programkódot bonyolulttá, olvashatatlanná változtató eljárásokról volt szó.
A Számítógépes Vírusellenes Kutatók Szervezete (CARO: Computer Antivirus Researchers' Organization) második szakműhelyének 2008-ban a hollandiai Amszterdam adott otthont május elején. A találkozón a csomagoló- és titkosító programokról – az "exepackerekről' -, illetve a programkódot bonyolulttá, olvashatatlanná változtató eljárásokról volt szó.
A magyar VirusBuster kft. nemzetközi szinten is elismert eredményeket ért el az exepackerek kutatásában, ezért a konferencián két előadó is képviselte a céget. Az első napon Neumann Róbert, a VirusBuster Kft. elemzője olyan kicsomagoló stratégiákat mutatott be "Eltüntetés (5x) 60 másodpercben" című előadásában, melyekkel egyszerű, bonyolultabb és egészen komplex tömörítéssel becsomagolt programokat is ki lehet bontani. A második napon Szappanos Gábor, a VirusBuster Kft. víruslaboratóriumának vezetője tartott előadást "Exepackerek blokkolása: elmélet és tapasztalatok" címmel.
A következő CARO Szakműhelyt a VirusBuster tartja Budapesten
A CARO (Computer Antivirus Researchers' Organization) olyan szakértők nem hivatalos tömörülése, akik az 1990-es évek elejétől kormányzati és magánszervezetektől, illetve akadémiai intézményektől függetlenül közösen kutatják a számítógépes károkozókat, mint egységes témakört. Informális jellege ellenére a szervezet számos hivatalos formában működő szakértői csoportnál nagyobb szakmai rangot vívott ki magának. Az EICAR-ral (European Institute for Computer Antivirus Research) közös, az IT-biztonság területén történelminek tartott projekt során a CARO szakértői készítették el azt a szakmai szabványnak számító EICAR tesztállományt (EICAR Standard Anti-Virus Test File), melyet az EICAR publikált.
A CARO nemzetközi súlya és a tevékenységének jellege miatt 2007 óta rendezik meg a CARO szakkonferenciát. Az első találkozót Izlandon tartották, ennek témája a vírusellenes termékek tesztelése volt.
Komoly nemzetközi siker, hogy sikerült megszerezni a következő CARO szakkonferencia rendezésének jogát, ezért a harmadik találkozó jövőre Budapesten kerül megrendezésre a magyar VirusBuster Kft. szervezésében.
A hely- és sávszélesség-megtakarítás miatt a shareware-ek és az ingyenes programok szerzői már évek óta használnak olyan tömörítő eljárásokat, amelyek jelentősen csökkentik a futtatható állományok méretét. Ezek a "futásidejű tömörítők" vagy exepackerek úgy "zanzásítják" és csomagolják be az eredeti futtatható állományokat, hogy azok a betöltés után villámgyorsan helyreállítják magukat a PC memóriájában, majd elkezd futni a kicsomagolt program.
Más szoftverfejlesztőkhöz hasonlóan a károkozók szerzői is a "teremtményeik" méretének csökkentésére törekszenek, hiszen a kisebb kártevő gyorsabban képes terjedni egyik PC-ről a másikra, emellett a becsomagolt rosszindulatú programok ellen a védekezés is nehezebb.
Manapság szinte minden károkozó használ valamilyen tömörítő vagy titkosító módszert, ezért magától értetődik, hogy a becsomagolt állapotot a rosszindulat jelének kell tekinteni. Ugyanakkor arra is figyelni kell, hogy a jogszerűen működő programok szerzői is használhatnak tömörítést, ezért a feketelistára helyezés és a blokkolás során körültekintően kell eljárni, hogy a felhasználókat a lehető legkevesebb kár érje.
Természetesen így is előfordulhat, hogy a tömörítés észlelése miatt jogszerű programok kerülnek blokkolásra, azonban ha figyelembe vesszük, hogy új vírusminták tízezreit kell naponta megvizsgálni, akkor a szórványos hamis pozitivitás nem nagy ár, és mivel a jelenség egy napon belül javítható a szignatúraállományokkal, ezért a felhasználók kára is minimális.
Az exepackerek blokkolásának előnyei jóval meghaladják az esetleges – minimális és ideiglenes – károkat, ezért a proaktív módszer nagy segítséget jelent a felhasználók ismeretlen vírusok elleni védelmében.
