Создан универсальный способ обхода защиты антивирусов

image

Теги: вирус, антивирус

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую.

По словам исследователей Якуба Бржечки (Jakub Břečka) и Давида Матоушека (David Matoušek) из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус.

или введите имя

CAPTCHA
Страницы: 1  2  3  
06569
10-05-2010 16:34:27
Я так понял поток №1 проходит проверку, а поток №2 внедряет свой вредоносный код в поток №1? Помоему это бред или я не так понял?
0 |
Быдло
10-05-2010 16:45:03
Я давно говорил: наркотики - плохо! Это же параноидальный бред =) даже в мелочах: "Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус. " о да!!! май гот как они будут удалять прогу запущенную под нулевым кольцом? они еретики =/ да и без нулевого кольцо это все равно не осуществимо. а раз так, то овчинка не стоит выделки. Я вот тоже могу разработать универсальный способ обхода антивируса: "Наша программа отключает антивирь и делает что хотите"
0 |
62587
10-05-2010 17:14:35
Ну разработай! Кто тебе мешает??? А код можно удалить из 0-ring кодом который так же находится в 0-ring. Вопросы? P.S. Да и дай мне пожалусто хоть одну сылку на работающий вариант отключения антивируса.
0 |
aziatkofag
10-05-2010 20:42:59
XPAntivirus и иже с ними умеют но там только после перезагрузки и грязными хаками чистенько удалить все компоненты любой версии какого-нибудь антивируса думаю будет сложновато
0 |
W4R10CK
12-05-2010 17:43:29
И поймать всем известный экран смерти + вам придется писать специальную утилиту для удаления данного кода, ибо не каждый код, находящийся в Ring0, можно удалить средствами антивируса. Капча с ухмылкой, ушла пить чай: 67294
0 |
MerryRoger
10-05-2010 17:12:46
автору пора завязывать с тяжелыми веществами...
0 |
22208
10-05-2010 17:20:02
Школьникам пора научится правильно излагать свои мысли и подкряплять это фактами.
0 |
НеШкольник
11-05-2010 22:56:18
*вытащил из кармана штанов большой толстый факт, хряснул им по столу* НА!!!
0 |
aziatkofag
10-05-2010 17:42:17
>Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Rootkit.Win32.TDSS разве так уже не делает?? впрочем он так хитро вроде не копирует что-то там и мульти-тредововсть кажется не использует
0 |
10-05-2010 19:37:45
Какой из TDSS? Если речь о последнем - обзоров полно, если кратко - то здесь. И он использует совершенно другой механизм.
0 |
doctor
10-05-2010 17:52:10
Первый автор - мудло, у меня таких знакомых по горло - все с высшим образованием, а тупо бэкап настроить им влом. Вот и тут так же - пока гром не грянет. Директор, шли его с работы, пока диски не отформатировали!
0 |
doctor
10-05-2010 17:52:39
ой, простите, это второму автору адресовано
0 |
Страницы: 1  2  3