Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Dismiss

Hайден способ обмана любых антивирусов

8 views

Skip to first unread message

Marinais

unread,

Jul 15, 2010, 2:59:20 PM7/15/10

* Copied to: RU.INTERNET.SECURITY, SU.VIRUS

=============================================================================
* Area : RU.COMPUTERRA
* From : News Robot, 2:5030/1256 (10-May-10 08:16:20)
* To : All
* Subj : Hайден способ обмана любых антивирусов
=============================================================================

Компьютерра
_____________________________________________________________________

Hайден способ обмана любых антивирусов

Опубликовано: 09.05.2010, 20:25

По словам исследователей Якуба Бречки и Давида Матушека из команды
веб-ресурса matousek.com [1], им удалось создать способ обхода защиты,
встроенной в большинство популярных настольных антивирусных продуктов.
Уязвимы продукты "Лаборатории Касперского", Dr.Web, Avast!, Sophos, ESET,
McAffee, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все
защитные барьеры, но, прежде чем он начнет исполняться, производится его
подмена на вредоносную составляющую. Понятно, замена должна произойти строго
в нужный момент, но на практике всё упрощается благодаря тому, что
современные системы располагают многоядерным окружением, когда один поток не
в состоянии отследить действия параллельных потоков. В итоге может быть
обманут буквально любой Windows-антивирус.

Руткит функционирует в том случае, если антивирусное ПО использует таблицу
дескрипторов системных служб (System Service Descriptor Table, SSDT) для
внесения изменений в участки ядра операционной системы. Поскольку все
современные защитные средства оперируют на уровне ядра, атака работает на
100%, причем даже в том случае, если windows запущена под учётной записью с
ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объёма кода на атакуемую
машину, поэтому он не применим, когда требуется сохранить скорость и
незаметность атаки. Кроме того, злоумышленник должен располагать возможностью
выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию
Acrobat Reader [2] или Sun Java Virtual Machine [3], не пробуждая подозрений
у антивируса в истинности намерений. Hу а затем хакер волен и вовсе
уничтожить все защитные барьеры, полностью удалив из системы мешающий
антивирус.

Подготовлено по материалам The Register [4].

[1]: http://www.matousec.com/
[2]: http://get.adobe.com/reader/
[3]: http://java.com/getjava/
[4]: http://www.theregister.co.uk/2010/05/07/argument_switch_av_bypass/

_____________________________________________________________________

Оригинал статьи на http://pda.compulenta.ru/?action=article&id=529906

=============================================================================

0 new messages