Знайдено спосіб обману будь-яких антивірусів
За словами дослідників Якуба Бречко (Jakub B? E? Ka) і Давида матінок (David Matou? Ek) з команди веб-ресурсу Matousek.com, їм вдалося створити спосіб обходу захисту, вбудованої в більшість популярних настільних антивірусних продуктів. Уразливі продукти «Лабораторії Касперського», Dr.Web, Avast. Sophos, ESET, McAffee, Symantec, Panda і т. Д.
Методика така: на вхід антивіруса надсилається нешкідливий код, що проходить всі захисні бар'єри, але, перш ніж він почне виконуватися, проводиться його заміна на шкідливу складову. Зрозуміло, заміна повинна відбутися строго в потрібний момент, але на практиці все спрощується завдяки тому, що сучасні системи мають у своєму розпорядженні багатоядерним оточенням, коли один потік не в змозі відстежити дії паралельних потоків. В результаті може бути обдурять буквально будь-який Windows-антивірус.
Руткіт функціонує в тому випадку, якщо антивірусне ПЗ використовує таблицю дескрипторів системних служб (System Service Descriptor Table, SSDT) для внесення змін до ділянки ядра операційної системи. Оскільки всі сучасні захисні засоби оперують на рівні ядра, атака працює на 100%, причому навіть в тому випадку, якщо Windows запущена під обліковим записом з обмеженими повноваженнями.
Разом з тим руткит вимагає завантаження великого обсягу коду на атакується машину, тому він не застосуємо, коли потрібно зберегти швидкість і непомітність атаки. Крім того, зловмисник повинен мати у своєму розпорядженні можливістю виконання виконуваного файлу на цільовому комп'ютері.
Методика може бути скомбінована з традиційною атакою на вразливу версію Acrobat Reader або Sun Java Virtual Machine, що не пробуджуючи підозр у антивіруса в істинності намірів. Ну а потім хакер вільний і зовсім знищити всі захисні бар'єри, повністю видаливши з системи заважає антивірус.
Про обході антивірусів на практиці
Жити не тужити, нікого не засуджувати, нікому не докучати, і всім моє шанування