На конференции Interop, которая прошла в Нью-Йорке 25 октября, прозвучало весьма оптимистичное заявление. Представители фирм-производителей уверили присутствующих, что средства наблюдения за поведением приложений способны остановить зараженных червем Storm клиентов даже после того, как им предоставит полный карт-бланш система NAC. Однако один из экспертов заметил, что на такой исход у пользователей, применяющих методы трехлетней давности, нет никаких шансов.
"Многие из тех, кто твердит о превосходстве своих систем над антивирусным ПО, полагаются на выявление аномального поведения (или предотвращение вторжений) при анализе сетевого трафика, — отметил в интервью eWeek Джошуа Кормэн, главный стратег в области безопасности IBM Internet Security Systems. — Но новый Storm тоже не новичок в своем деле". Он прячется в засаде, образованной зараженной подсетью, исподтишка прослушивает окружение, дожидаясь системных обменов. "Такие боты не тратят лишних усилий на поиск новых целей", — констатирует эксперт и добавляет, что черви, на которых рассчитаны правила обнаружения, — давно пройденный этап. Методы борьбы с ними были разработаны еще до 2004 г., поэтому сегодня "и близко не стоят" к тому, с чем приходится сталкиваться специалистам в этой области. "Нынешнее поколение вредителей стало гораздо тише и незаметнее", — предупреждает Кормэн.
В ходе Interop он выступил с докладом о вызовах со стороны всё более изощренных кибер-угроз. Особое внимание при этом было уделено бот-сети червя Storm, которая обходит антивирусные программы посредством механизма "горячего" исправления (hot fix), вносимого в оперативную память. Такой способ как бы отключает мозг антивирусных средств, оставляя их в состоянии активности.
Как следует из опубликованного 22 октября сообщения аналитика SophosLabs Ричарда Коэна, бот-сеть Storm рассылает файлы вызова подпрограммы, которая заставляет Windows извещать зараженную сеть о запуске новых процессов. После этого червю остается только сверять имена запускаемых процессов со своим списком и "убивать" некоторые из них.
