Найден способ обмана любых антивирусов

1
RSS
Найден способ обмана любых антивирусов
09 мая 2010 года, 20:25 | Текст: Юрий Стрельченко

По словам исследователей Якуба Бржечки (Jakub Břečka) и Давида Матоушека (David Matoušek) из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус.
Windows 7 Ultimate SP1 x64 Rus + ESET Smart Security 4.2.71.3 x64 Home Edition Rus + Malwarebytes' Anti-Malware 1.50.1.1100 + HiJackThis 2.0.4 + AdGuard 4.1.9.0
Ждём заплаток....
Первый российский интернет-клуб пользователей продукции компании ESET
Не понял.
Что, эти антивирусы сканируют лишь один поток запускаемого процесса? Тогда надо писать антивирусы, работающие с учетом всех ядер проца.
Или исходный вирусный код разбивается на блоки, которые сами по себе угрозы не представляют, а вот соединившись становятся руткитом? Тогда необходимо, чтобы антивирус сканировал все процессы оперативной памяти несколько раз через некоторые интервалы.
Но вообще, я давно сторонник программ типа песочниц (вроде, Sandboxie и Returnil Virtual System) или что еще лучше таких, как Shadow Defender или ShadowUser. Кажется, они при растущем уровне угроз и просто неконтролируемом росте неизвестных вирусов и т.п. становятся универсальным механизмом защиты от разнообразных угроз.
ВСЕ ЭТО ФИГНЯ.... http://www.anti-malware.ru/forum/index.php?showtopic=12785&st=100&p=104919&#entry104919
Есть намного более легкий способ обмана антивирусов. Сам проверял- один касперский выдал что поведение данной "проги" похоже на червя, да и то при создании лишних процессов в начале заражения, но при этом не произвел ни каких действий да и в дальнейшем не реагировал на червя. Да еще King китайский то же среагировал на один процесс. Остальные антивири не среагировали ни как.  Главное! это что бы лишние процессы были запущены раньше чем [ антивирь, Так что лучший способ удаления вирусов - мозги и руки.
http://www.eset.eu/press-ESET-matousec-earthquake-vulnerability
Пофиксят.)
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
1
Читают тему (гостей: 2)