Новый метод атаки способен обходить практически все антивирусы

Инфо

Исследователи авторитетного сайта matousec.com разработали новый способ обхода средств защиты, встроенных в десятки самых популярных антивирусных продуктов для конечных пользователей, включая антивирусы от McAfee, Trend Micro, AVG и BitDefender.

Данный метод работает через эксплуатацию драйверов перехвата операций, которые антивирусные программы прячут глубоко внутри операционной системы. Сначала этим драйверам посылается с виду безобидный код, который после прохождения процедуры проверки подменяется на вредоносный.

Эксплоит должен быть запущен в точно выверенное время, чтобы его выполнение не началось слишком рано или поздно. Однако, учитывая то обстоятельство, что большинство современных компьютеров основано на многоядерных процессорах, в них зачастую невозможно отследить выполнение ряда одновременно исполняемых процессов. Именно поэтому новый способ обхода защиты может ввести в заблуждение почти все антивирусы для Windows. Для успешной атаки необходимо лишь, чтобы антивирус использовал таблицу дескрипторов системных служб (SSDT).

Исследователи проверили 34 антивирусных пакета для Windows и все они оказались уязвимыми для атаки. Более того, придуманный ими способ срабатывает даже тогда, когда пользователь работает из-под аккаунта с ограниченными привилегиями.

Впрочем, есть и ограничения. Так, для успешного завершения нападения требуется загрузить на целевую систему достаточно много кода, что не позволяет использовать данный эксплоит при атаках, основанных на шелл-кодах. Кроме того, для проведения атаки требуется, чтобы злоумышленник уже имел возможность запускать на компьютере жертвы произвольный код.

Тем не менее, данный алгоритм может быть использован в связке с существующей уязвимостью в том же Adobe Reader или виртуальной машине Java, при этом вредоносное приложение будет установлено без срабатывания антивирусного ПО. К тому же, по словам известного эксперта Чарли Миллера, с помощью данной атаки можно удалить антивирусную программу, работая из-под ограниченного аккаунта Windows.

 

Источник: www.xakep.ru 

1434

2010.05.20 13:01:36

Читайте также:

Зомби апокалипсис уже сегодня

Есть ли будущее у человечества?

Для душевного комфорта достаточно работать 8 часов в неделю

Удвоение гена превратило плавники рыбы-зебры в подобие ног

«Потерянный рай» курильщиков

Создан лазерный генератор отсутствия света

«Я не верю в научную фантастику типа «Звёздного пути», где через 400 лет люди остаются прежними. По-моему, человеческая раса и сложность её ДНК очень скоро начнут меняться »

Стивен Хокинг

Темы

классовая борьбастволовые клеткиинопланетяне3d-принтератеизмвассерман

Статьи

Что значит быть философом?

Сознание как иллюзия, развитая пользователем

Перебои в работе сердца

Две культуры и научная революция

Рынок, государство и общее благо

Инфо

Органика из космоса

Ибупрофен - не только обезболивание

Несовершенная коммуникация между органами может приводить к старению

Постмодернизм развенчан

Подкрадываясь к сознанию

Файлы

Всеобщее благоденствие

Физики продолжают шутить

Конституция свободы

Атеизм и научная картина мира