Sự Thách Thức Trong Việc Phát Hiện Malware Hiện Đại

Thông thường, các chương trình diệt virus khó có thể theo kịp tốc độ phát triển của các mối đe dọa bảo mật. Do đó, không ít lần máy tính của người dùng bị nhiễm phần mềm độc hại nhưng phần mềm diệt virus lại không thể phát hiện ra.

Tình hình trở nên nghiêm trọng hơn khi các rootkit xuất hiện trên các máy chủ mạng, tải xuống hàng gigabyte dữ liệu khiêu dâm thông qua việc thay đổi luồng dữ liệu (ADS). Mặc dù các phiên bản Norton đã được cài đặt trên các máy chủ này, chúng vẫn không thể phát hiện ra rootkit vì chúng khởi động ở mức zero-ring trước khi các ứng dụng diệt virus tải và thông báo cho hệ điều hành rằng mọi thứ đều bình thường.

Các chương trình diệt virus không thể quan sát được ADS, do đó không thể phát hiện được quá trình tải xuống này. Vấn đề cốt lõi là malware đang thay đổi một cách tinh vi và âm thầm trong nhiều năm trở lại đây.

5 Đặc Điểm Nổi Bật Của Các Mối Đe Dọa Hiện Đại

Để giúp các chương trình antivirus/antispyware có thể đối phó hiệu quả hơn, các chuyên gia đã xác định được 5 đặc điểm quan trọng của các mối đe dọa hiện nay:

1. Mục tiêu tấn công của malware: Khác với các cuộc tấn công gây phiền toái đơn thuần trong quá khứ, malware ngày nay thường nhắm mục tiêu vào những người dùng cụ thể với các mô hình hoạt động riêng biệt.
2. Malware liên tục thay đổi mã: Chúng thay đổi ký hiệu hàng ngày, gây khó khăn cho các chương trình diệt virus trong việc theo dõi và nhận diện.
3. Động cơ lợi nhuận: Phần lớn malware hiện nay được tạo ra bởi các tổ chức tội phạm với mục đích kiếm tiền hoặc cạnh tranh không lành mạnh.
4. Antispyware giả mạo: Một số phần mềm antispyware thực chất lại là malware, tạo ra một cái bẫy nguy hiểm cho người dùng.
5. Hiệu quả hạn chế của các chương trình antivirus chuẩn: Các chương trình antivirus truyền thống thường không đủ hiệu quả vì malware liên tục được kiểm tra và điều chỉnh để tránh bị phát hiện.

Ví dụ, các trang web khiêu dâm có thể thỏa thuận với những kẻ cung cấp malware để tự động tải xuống một chương trình giả mạo chống virus cùng với nội dung khiêu dâm khi người dùng truy cập. Ban đầu, người dùng có thể nghĩ rằng đây là một "dịch vụ" hữu ích, nhưng sau đó sẽ bị yêu cầu trả tiền để loại bỏ các "virus" được phát hiện. Trên thực tế, không có virus nào được tìm thấy, và người dùng chỉ mất tiền cho một chương trình vô dụng, thậm chí có thể chứa các phần mềm độc hại khác.

Phương Pháp Tiếp Cận Mới Của Prevx

Jason Bradley, người chịu trách nhiệm cho các giải pháp máy tính của CCE tại Oxford, đã nghiên cứu và phát triển phần mềm Prevx với một phương pháp tiếp cận mới. Prevx cài đặt một tác nhân trên máy tính của người dùng và tải xuống trước trong chu kỳ boot, sau đó kiểm tra các hoạt động của các đoạn mã đang chạy.

Dữ liệu này được gửi đến máy chủ Prevx tại Anh để so sánh với dữ liệu từ tất cả các người dùng khác đang chạy phần mềm. Nếu phát hiện ra sự khác biệt, Prevx sẽ gửi thông báo đến các máy tính của người dùng để họ có thể quyết định có loại bỏ đoạn mã đó hay không.

Prevx khác biệt so với các chương trình antivirus truyền thống ở chỗ nó không biên dịch chương trình mà quan sát trực tiếp các hoạt động chính của mã trên máy tính.