Винайдено спосіб обману будь-яких антивірусів

[bidzyura]

Вдалося створити спосіб обходу захисту, вбудованого в більшість популярних антивірусних продуктів.

Саме це завили дослідники Якуб Бречко і Давид Матушек з команди веб-ресурсу Matousek.com.

Уразливі продукти "Лабораторії Касперського", Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda і т. д.

Методика така: на вхід антивіруса надсилається нешкідливий код, що проходить всі захисні бар'єри, але, перш ніж він почне виконуватися, проводиться його підміна на шкідливу складову. Зрозуміло, заміна повинна відбутися строго в потрібний момент, але на практиці все спрощується завдяки тому, що сучасні системи мають у своєму розпорядженні багатоядерне оточення, коли один потік не в змозі відстежити дії паралельних потоків. У результаті можуть обдурять буквально будь-який Windows-антивірус.

Руткіт функціонує в тому випадку, якщо антивірусне ПЗ використовує таблицю дескрипторів системних служб (System Service Descriptor Table, SSDT) для внесення змін в ділянки ядра операційної системи. Оскільки всі сучасні захисні засоби оперують на рівні ядра, атака працює на 100%, причому навіть у тому випадку, якщо Windows запущено під обліковим записом з обмеженими повноваженнями.

Разом з тим руткіт вимагає завантаження великого обсягу коду на машину, яка атакується, тому він не підходить, коли потрібно зберегти швидкість і непомітність атаки. Крім того, зловмисник повинен мати у своєму розпорядженні можливість виконання бінарного файлу на цільовому комп'ютері.

Методика може бути скомбінована з традиційною атакою на вразливу версію Acrobat Reader або Sun Java Virtual Machine, не пробуджуючи підозр у антивіруса в істинності намірів. Ну а потім хакер може і зовсім знищити всі захисні бар'єри, повністю видаливши з системи антивірус.

Джерело

[ronya]

Казочка ще та!

Що значить на вхід антивіруса надсилається нешкідливий код??

Вірус його надсилає чи що?

Антивірус сам бере код віруса і вірус навіть не здогадується, що його перевіряють.

І якщо в вірусі вмонтовано код самомодифікації, то великі шанси, що антивірус його продетектить.

І взагалі, якщо б знайшли сильну діру, то який понт про це трубити?

Це не вигідно ні розробникам вірусів, бо вони пошвидше використають цей трюк на практиці, поки ніхто не знає;

ні розробникам антивірусів, тому що це їх дискредитує.

Одним словом, знайшли якусь маленький трюк і роздувають з мухи слона.

[Shkoder]

kostya, тут не та аудитория расскажи лучше как вирус прожигает дыру в клавиатуре =)