Найден способ обмана любых антивирусов

Найден способ обмана любых антивирусов По словам исследователей Якуба Бречки (Jakub Beka) и Давида Матушека (David Matouek) из команды веб-ресурса, им удалось сформировать схема обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов
Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д. Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, в прошлом чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна проистечь жестко в необходимый момент, но на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда единственный поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут практически каждый Windows-антивирус. Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, штурмовая вылазка работает на 100%, причем более того в том случае, если Windows запущена под учётной записью с ограниченными полномочиями. Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, потому он не применим, когда требуется сберечь прыть и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере. Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а следом хакер волен и совсем истребить все защитные барьеры, на сто процентов удалив из системы мешающий антивирус.
  • +8
  • 15 мая 2010, 19:30
  • Returs

Комментарии (11)

RSSсвернуть /развернуть
+
0
все прелажу на линукс… шутка
avatar

AntonSN83

  • 15 мая 2010, 20:11
+
0
акер волен и совсем истребить все защитные барьеры, на сто процентов удалив из системы мешающий антивирус
\nА я волен выдернуть шнур из розетки
avatar

Booyaka

  • 15 мая 2010, 20:29
+
0
пора на дос чистый дос переходить!
avatar

stepochkin

  • 15 мая 2010, 20:50
+
-1
дос тоже в опасности, реально безопасно только либо пользоваться линуксом, либо не пользоваться и-нетом ak
avatar

BgG

  • 15 мая 2010, 20:54
+
-3
Причина: Returs учит на ночь что такое абзацы!
\n bj \nГраматеи тут одни… bv
avatar

Returs

  • 15 мая 2010, 22:08
+
-1
а у меня одно ядро, мне это пока не грозит)
avatar

orienteer

  • 15 мая 2010, 22:41
+
+1
прямо открытие, если бы реальная штука была, давно бы уже вирусы такие были. В касперском тоже не глупые люди же наверное… О_о
avatar

untitled

  • 16 мая 2010, 00:35
+
-1
трололо))) есть полно вирей которые антивирусы не видят
avatar

Zerg

  • 16 мая 2010, 01:28
+
0
Booyaka,\nшнур из розетки выдернуть на пару лет — хорошее средство защиты, если компом не пользуешься )\nBgG,\nна линукс тоже вири есть :)\nруткиты всегда было не просто найти и избавиться от них. что ж, ждем обновления антивирусных продуктов)
avatar

smiq

  • 16 мая 2010, 13:09
+
0
Смысл всей статьи такой, что к тебе домой должен придти чувак и ручками впиндюрить этот код.
Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, потому он не применим, когда требуется сберечь прыть и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.
\n ag bu \n
avatar

boch

  • 16 мая 2010, 15:38
+
0
от всего можно найти защиту, прогресс не стоит на месте. когда то и баннеры чудом были))
avatar

MITSUBISHI

  • 16 мая 2010, 22:58

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
Валидный HTMLВалидный CSSRambler's Top100