Перейти до змісту

Винайдено спосіб обману будь-яких антивірусів


bidzyura

Рекомендовані повідомлення

aa74105abb_150627.jpgВдалося створити спосіб обходу захисту, вбудованого в більшість популярних антивірусних продуктів.

Саме це завили дослідники Якуб Бречко і Давид Матушек з команди веб-ресурсу Matousek.com.

Уразливі продукти "Лабораторії Касперського", Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda і т. д.

Методика така: на вхід антивіруса надсилається нешкідливий код, що проходить всі захисні бар'єри, але, перш ніж він почне виконуватися, проводиться його підміна на шкідливу складову. Зрозуміло, заміна повинна відбутися строго в потрібний момент, але на практиці все спрощується завдяки тому, що сучасні системи мають у своєму розпорядженні багатоядерне оточення, коли один потік не в змозі відстежити дії паралельних потоків. У результаті можуть обдурять буквально будь-який Windows-антивірус.

Руткіт функціонує в тому випадку, якщо антивірусне ПЗ використовує таблицю дескрипторів системних служб (System Service Descriptor Table, SSDT) для внесення змін в ділянки ядра операційної системи. Оскільки всі сучасні захисні засоби оперують на рівні ядра, атака працює на 100%, причому навіть у тому випадку, якщо Windows запущено під обліковим записом з обмеженими повноваженнями.

Разом з тим руткіт вимагає завантаження великого обсягу коду на машину, яка атакується, тому він не підходить, коли потрібно зберегти швидкість і непомітність атаки. Крім того, зловмисник повинен мати у своєму розпорядженні можливість виконання бінарного файлу на цільовому комп'ютері.

Методика може бути скомбінована з традиційною атакою на вразливу версію Acrobat Reader або Sun Java Virtual Machine, не пробуджуючи підозр у антивіруса в істинності намірів. Ну а потім хакер може і зовсім знищити всі захисні бар'єри, повністю видаливши з системи антивірус.

Джерело

Посилання на коментар
Поділитись на інші сайти

Казочка ще та!

Що значить на вхід антивіруса надсилається нешкідливий код??

Вірус його надсилає чи що?

Антивірус сам бере код віруса і вірус навіть не здогадується, що його перевіряють.

І якщо в вірусі вмонтовано код самомодифікації, то великі шанси, що антивірус його продетектить.

І взагалі, якщо б знайшли сильну діру, то який понт про це трубити?

Це не вигідно ні розробникам вірусів, бо вони пошвидше використають цей трюк на практиці, поки ніхто не знає;

ні розробникам антивірусів, тому що це їх дискредитує.

Одним словом, знайшли якусь маленький трюк і роздувають з мухи слона.

Посилання на коментар
Поділитись на інші сайти

kostya, тут не та аудитория :smile3: расскажи лучше как вирус прожигает дыру в клавиатуре =)

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



×
×
  • Створити...