Винайдено спосіб обману будь-яких антивірусів

Ілюстрація
Наука та IT 10 травня, 2010, 16:28 5862 4
Додати до обраного
Розроблено методику підміни нейтрального коду, що не викликає жодних підозр, на шкідливу складову, яка дозволяє повністю знищити антивірус.

Вдалося створити спосіб обходу захисту, вбудованого в більшість популярних антивірусних продуктів.

Саме це заявили дослідники Якуб Бречко і Давид Матушек з команди веб-ресурсу Matousek.com.

Уразливі продукти "Лабораторії Касперського", Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda і т. д.

Методика така: на вхід антивіруса надсилається нешкідливий код, що проходить всі захисні бар'єри, але, перш ніж він почне виконуватися, проводиться його підміна на шкідливу складову. Зрозуміло, заміна повинна відбутися строго в потрібний момент, але на практиці все спрощується завдяки тому, що сучасні системи мають у своєму розпорядженні багатоядерне оточення, коли один потік не в змозі відстежити дії паралельних потоків. У результаті можуть обдурити буквально будь-який Windows-антивірус.

Руткіт функціонує в тому випадку, якщо антивірусне ПЗ використовує таблицю дескрипторів системних служб (System Service Descriptor Table, SSDT) для внесення змін в ділянки ядра операційної системи. Оскільки всі сучасні захисні засоби оперують на рівні ядра, атака працює на 100%, причому навіть у тому випадку, якщо Windows запущено під обліковим записом з обмеженими повноваженнями.

Разом з тим руткіт вимагає завантаження великого обсягу коду на машину, яка атакується, тому він не підходить, коли потрібно зберегти швидкість і непомітність атаки. Крім того, зловмисник повинен мати у своєму розпорядженні можливість виконання бінарного файлу на цільовому комп'ютері.

Методика може бути скомбінована з традиційною атакою на вразливу версію Acrobat Reader або Sun Java Virtual Machine, не пробуджуючи підозр у антивіруса в істинності намірів. Ну а потім хакер може і зовсім знищити всі захисні бар'єри, повністю видаливши з системи антивірус.

Читайте також:

"Лабораторія Касперського" попереджає про новий вірус

Боротися з троянами будуть "цифрові мурашки"

Невідомий троян відкриває доступ до банківських паролів

Кіберзлочинці почали впроваджувати віруси на етапі розробки програмного забезпечення

Дізнавайтеся головні новини першими — підписуйтесь на наші push-сповіщення.
Обіцяємо повідомляти лише про найважливіше.

Відправити другу Надрукувати Написати до редакції © За матеріалами Компьюлента / М.К.
Побачили помилку - контрол+ентер
Наука та IT 10 травня, 2010, 16:28 5862 4
Додати до обраного
Останні Перші Популярні Всього коментарів: 4
Вибір редакції