Antywir z opóźnionym zapłonem

19vwat

Wszyscy wiemy jak ważne jest mieć antywirusa, który szybko reaguje na nowe zagrożenia. Jest to miks dwóch czynników: częstotliwości pobierania sygnatur i skuteczności samego oprogramowania. Niestety ostatni przykład pokazał, że tylko chiński system wskazał zagrożenie. A może Chińczycy sami je stworzyli?

Tworząc zabezpieczenia trzeba pamiętać, że człowiek to najsłabsze ogniwo. Może być jednak skuteczniejszy niż system antywirusowy jeśli tylko się go uczuli na pewne zagrożenia. I tak nie dalej jak tydzień temu szkolenie odbyła pani, która obecnie pracuje na zastępstwie w sekretariacie. Jednym z zadań jest oczywiście obsługa służbowej poczty. Podczas szkolenia rzuciłem kilkoma przykładami tego w jaki sposób dochodzi do infekcji stacji drogą mailową.  I tak w poniedziałek dzwoni telefon z sekretariatu z informacją że przyszedł podejrzany mail z firmy kurierskiej. W zasadzie to klasyka więc idę sprawdzić czy to rzeczywiście wirus, czy tylko false-positive. Jednak to wirus, a raczej początek czegoś co mogło być wirusem, robalem albo programem szyfrującym dysk. Dostaliśmy bowiem plik VBS. Po pierwsze pogratulowałem czujności, a po drugie zabrałem ten plik na swoją stację. Tutaj wkracza strona VirusTotal, która skanuje online przesłane pliki. Tylko jeden program pokazał potencjalne zagrożenie, a byli to właśnie Chińczycy i ich system Qihoo-360. Nie spotkałem się z tym oprogramowaniem i może kiedyś je przetestuję. Tak czy inaczej zaglądając do samego pliku byłem przekonany że to jakieś paskudztwo. Miałem rację i na dowód tego mam czerwone alerty z mojego systemu AV. Problem w tym, że te alerty wskazują zagrożenie dwa dni po otrzymaniu maila, a mam ustawioną dystrybucję sygnatur co cztery godziny. Także człowiek to często najsłabsze ogniwo w bezpieczeństwie IT, ale czasami też lepszy skaner niż nie jeden system AV.