クラウドベースのアンチウイルスソリューションは有効だ。ウイルス制作者がこれに反撃しようとしていることから、それが分かる。

  「Backdoor:W32/Bohu.A」について書かれた記事[1] [2] がある。どちらの記事も、検出を避けるため2種類の技術が取り入れられていることを指摘している。すなわち:

  1. ファイルの最後に不要なデータを追加する

  2. アンチウイルスベンダサーバへのアクセスを防止する

  これらは新しい技術ではない。システムが既にBohuに感染している場合、いくつかのアンチウイルスベンダのサーバに対するアクセスがブロックされるというのは本当だ。これは問題だが、クラウドベースのソリューションのみの問題ではない。従来のアンチウイルスのアップデートを防止しようとして、これまで再三、まったく同様の攻撃が行われてきた。

  我々は、たとえマルウェアが攻撃的に邪魔しようとも、クライアントへの接続を保てるテクノロジを生み出そうと、努力し続けている。

Screenshot (46k image)
画像: 「Backdoor:W32/Bohu.A」がデコイとしてインストールするメディアプレイヤーのスクリーンショット

  ファイルの最後にランダムな不要情報を書き込むことは、全ファイルハッシュを変更することにほかならず、それゆえ、全ファイルハッシュに基づいた検出が回避されることになる。しかしそれは、クラウドベースのセキュリティが有効ではないという意味ではない。最新のセキュリティ製品は、ファイルハッシュのみに基づくべきではない、ということなのだ。

  実際、この種の回避メカニズムは、マルウェア側の不利にもなる。たとえば、「エフセキュア ディープガード 3」は、アプリケーションなどのレピュテーションに基づいている。「ディープガード」が非常にまれな何かを検出すれば、それは「不審」なものとみなされる。そのため「ディープガードは」基本的に、末尾にランダムな不要情報が追加されたファイルを検出することができる。それが「不要」な情報であるためだ。

  セキュリティ製品と悪者たちの間のせめぎ合いは続いている。.