Новость дня: Минцифры усложнит закупки иностранного софта госорганами

Найден способ обмана любых антивирусов



По словам исследователей Якуба Бржечки (Jakub Břečka) и Давида Матоушека (David Matoušek) из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус.

Подготовлено по материалам The Register.


Автор: Компьютерра-Онлай
Дата:
14.04.2021 17:33

Выпущен Microsoft Malicious Software Removal Tool 5.88

Microsoft выпустила новую версию своего бесплатного приложения для обнаружения и удаления наиболее распространенных вирусов и других вредоносов


11.04.2021 13:06

Данные 1,3 млн пользователей Clubhouse выложили в открытый доступ

Это уже третья крупная утечка данных пользователей популярных соцсетей за последнее время


10.04.2021 14:49

Обыски у админа Telegram-бота «Глаз Бога» проводились по делу форума DarkMoney

Выполняя требование Роскомнадзора, Telegram заблокировал несколько подобных ботов, однако уже через час после блокировки «Глаз Бога» стал доступен по новому адресу


07.04.2021 06:16

Минцифры: все продаваемые в России гаджеты должны иметь «родительский контроль»

По словам замглавы Минцифры, функция «родительского контроля» является одной из мер защиты детей от запрещенной информации


06.04.2021 17:25

Роскомнадзор потребовал от Facebook информацию об утечке персональных данных россиян

Роскомнадзор направил запрос руководству компании Facebook с требованием предоставить максимально полную информацию о произошедшей утечке персональных данных российских пользователей социальной сети


Популярное:
Безопасность
29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


14.04.2021 17:33

Выпущен Microsoft Malicious Software Removal Tool 5.88

Microsoft выпустила новую версию своего бесплатного приложения для обнаружения и удаления наиболее распространенных вирусов и других вредоносов


07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


30.11.2017 03:56

Как узнать имя пользователя Mail.Ru

Компания Mail.Ru Group хорошо известна своей заботой о приватности пользователей, и поэтому принадлежащие ей соцсети «ВКонтакте» и «Одноклассники» не удаляют удаленные фотографии, а почта не удаляет контакты


28.11.2017 06:35

Как найти адрес The Hidden Wiki

The Hidden Wiki — это вики-энциклопедия со ссылками на различные ресурсы Даркнета, расположенные в псевдо-домене .onion


чиж
чиж, 03.06.2010 06:09
Песочница - вещь!!! Но не все программы в ней работают, к сожалению. Проверенно. А насчёт антивирусов вы зря переживаете - они давно уже терпят СИСТЕМНЫЙ кризис!!! Зайдите на Antimalware.ru . Там об этом уже давно говорят. Из все мне больше всего понравились Аваст и Симантек ЕндПоинт. Симантек предп...
falcon1
falcon1, 13.05.2010 22:11
есть брешь - найдут заплату, что за паника, аж смешно..
mrdeep
mrdeep, 13.05.2010 20:52
>Хоть Линукс ставь >_Интересно, а в песочнице эта хрень безопасна? >HeadCrab, 12.05.2010 09:57Товарищи, да бросьте! Линукс не для вас. Работайте в винде, используйте только лицензионное ПО в том числе и антивирусное и будет вам счестье. Ну не понравится он вам, не понравится! Потом начнете на форума...
Krab
Krab, 13.05.2010 13:46
>В связи с этой новостью,пользователи смогут потребовать свои денежки обратно?А то некрасиво получается-за что люди платили?! >Так выходит, антивирусные компании просто обманывают своих покупателей, предлагая заведомо некачественные продукты.Уберите со своих компьютеров антивирусы и работайте без ни...
Oxotnik
Oxotnik, 13.05.2010 12:41
Очередная бредовая "жёлтая" статья. Баннеров с подобными "сенсациями" вагон по всем сайтам.Самое смешное, что в итоге именно хомячки, ставящее взломанный каспер, схватывают и страдают от вирусов. А потом просят помочь им людей, которые всего лишь грамотно пользуются компьютером, и, конечно, каспер н...
» Прочитать остальные / Написать свой комментарий

Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2021 Softodrom.ru
О проекте | О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | Карта сайта
Яндекс.Метрика