Jejich idea je zacílena především na soubory typu virus.doc.exe, respektive má zabránit maskování spustitelných programů za formáty jiných aplikací. Do každého souboru by se prostě automaticky přidal určitý strojový kód, který by zabránil samotnému spuštění.
Je jasné, že tohle nelze provést na úrovni operačního systému (ihned by byl vyřazen z provozu) ani na úrovni stahovaných souborů (z webu stahujeme instalační soubory nových verzí programů, aktualizace Windows apod.). Autoři proto zamýšlejí dodat tuto pojistku pouze pro soubory posílané e-mailem, tedy na úrovni mailserveru. Výhoda by byla, že takto by se ošetřovaly všechny soubory, bez ohledu na známé viry či různé chyby typu zero day.
Čili: mailserver by to hlavičky s „metadaty“ všech přicházejících příloh přidal kód. Pokud by se soubor prostě otevřel jako formát určité aplikace (Adobe Reader, textový editor apod.), tento kód by aplikaci nedával smysl a byl by ignorován. Naopak při pokusu spustit soubor jako program by se jako první spustil kód v hlavičce, který by byl napsán tak, aby program ihned ukončil nebo vyvolal nekonečnou smyčku.
New Scientist ovšem upozorňuje, že problém může být v tom, že technologie je patentovaná. Bude ji za těchto podmínek někdo vůbec chtít zkoušet nasadit?
Zdroj: New Scientist
Poznámky:
- Nebude to úplně univerzální ochrana, protože strojový kód je závislý na konkrétním procesoru. Nicméně je představitelné, že firemní malilserver by třeba přidával kód upravený na míru podnikové platformě.
- Co makroviry?
- Poradí si to s chybami v interpreterech a třeba buffer overflow? Dal by se popsaný přístup za tímto účelem modifikovat?
- Je vektor šíření malwaru v přílohách e-mailu dnes vůbec zvlášť důležitý (jsou zde útoky drive-by download z webu, kódy šířené pro Autorun přes média USB flash atd.)?
PŘEDPLATNÉ
ČLÁNKY DO MAILU