bidzyura Опубліковано 10 Травня, 2010 в 13:52 #1 Опубліковано 10 Травня, 2010 в 13:52 Вдалося створити спосіб обходу захисту, вбудованого в більшість популярних антивірусних продуктів. Саме це завили дослідники Якуб Бречко і Давид Матушек з команди веб-ресурсу Matousek.com. Уразливі продукти "Лабораторії Касперського", Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda і т. д. Методика така: на вхід антивіруса надсилається нешкідливий код, що проходить всі захисні бар'єри, але, перш ніж він почне виконуватися, проводиться його підміна на шкідливу складову. Зрозуміло, заміна повинна відбутися строго в потрібний момент, але на практиці все спрощується завдяки тому, що сучасні системи мають у своєму розпорядженні багатоядерне оточення, коли один потік не в змозі відстежити дії паралельних потоків. У результаті можуть обдурять буквально будь-який Windows-антивірус. Руткіт функціонує в тому випадку, якщо антивірусне ПЗ використовує таблицю дескрипторів системних служб (System Service Descriptor Table, SSDT) для внесення змін в ділянки ядра операційної системи. Оскільки всі сучасні захисні засоби оперують на рівні ядра, атака працює на 100%, причому навіть у тому випадку, якщо Windows запущено під обліковим записом з обмеженими повноваженнями. Разом з тим руткіт вимагає завантаження великого обсягу коду на машину, яка атакується, тому він не підходить, коли потрібно зберегти швидкість і непомітність атаки. Крім того, зловмисник повинен мати у своєму розпорядженні можливість виконання бінарного файлу на цільовому комп'ютері. Методика може бути скомбінована з традиційною атакою на вразливу версію Acrobat Reader або Sun Java Virtual Machine, не пробуджуючи підозр у антивіруса в істинності намірів. Ну а потім хакер може і зовсім знищити всі захисні бар'єри, повністю видаливши з системи антивірус. Джерело
ronya Опубліковано 10 Травня, 2010 в 14:29 #2 Опубліковано 10 Травня, 2010 в 14:29 Казочка ще та!Що значить на вхід антивіруса надсилається нешкідливий код??Вірус його надсилає чи що?Антивірус сам бере код віруса і вірус навіть не здогадується, що його перевіряють.І якщо в вірусі вмонтовано код самомодифікації, то великі шанси, що антивірус його продетектить.І взагалі, якщо б знайшли сильну діру, то який понт про це трубити?Це не вигідно ні розробникам вірусів, бо вони пошвидше використають цей трюк на практиці, поки ніхто не знає;ні розробникам антивірусів, тому що це їх дискредитує. Одним словом, знайшли якусь маленький трюк і роздувають з мухи слона.
Shkoder Опубліковано 10 Травня, 2010 в 17:53 #3 Опубліковано 10 Травня, 2010 в 17:53 kostya, тут не та аудитория расскажи лучше как вирус прожигает дыру в клавиатуре =)
Рекомендовані повідомлення
Заархівовано
Ця тема знаходиться в архіві та закрита для подальших відповідей.