Изобретен способ обмана любых антивирусов

Иллюстрация
Разработана методика подмены нейтрального кода, который не вызывает никаких подозрений, на вредную составляющую, которая позволяет полностью уничтожить антивирус.

Удалось создать метод обхода защиты, встроенной в большинство популярных антивирусных продуктов.

Об этом заявили ученые Якуб Бречка и Давид Матушек из команды веб-ресурса Matousek.com, им

Уязвимы продукты "Лаборатории Касперского", Dr.Web, Avast!, Sophos, ESET, MCAFFEE, Symantec, Panda и т. д.

Методика такова: на вход антивируса посылается безобидный код, проходящий все защитные барьеры, однако, до того как он начнет исполняться, производится его подмена на вредоносную составляющую. Ясно, замена обязана произойти строго в необходимый миг, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда 1 поток не в состоянии проследить действия параллельных потоков. В результате может оказаться обманут фактически каждый Windows-антивирус.

Эксплойт работает в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Так как все современные средства защиты оперируют на уровне ядра, атака работает на 100%, при этом даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

При этом эксплойт требует загрузки крупного объёма кода на атакуемую машину, по этой причине он не применим, когда требуется сохранить скорость и незаметность атаки. Более того, злоумышленник должен располагать возможностью исполнения двоичного файла на целевом компьютере.

Методика может оказаться скомбинирована с классической атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а после хакер свободен и вовсе изничтожить все защитные барьеры, целиком удалив из системы мешающий антивирус.

Узнавайте главные новости первыми — подписывайтесь на наши push-уведомления.
Обещаем сообщать только о самом важном.

Отправить другу Напечатать Написать в редакцию © По материалам Компьюлента / М.К.
Увидели ошибку - контрол+энтер
Последние Первые Популярные Всего комментариев: 2
  • CoolerDAO CoolerDAO 2 октября, 18:48 Согласен 0 Не согласен 0 Это если нет контроля за активностью работающего процесса, а все нормальные антивирусы идут в пакете с фаерволом. Так что метод будет работать только на машинах без фаервола. ответить цитировать Спасибоспам я я 9 декабря, 07:32 Согласен 0 Не согласен 0 не согласен. пакет просто отключает фаервол- или маскирует его работу. внешне это никак не выглядит, но после перезагрузки антивирь выключен. блин, что-то новенькое.... но думаю что если на антивирь поставить пароль- от изменения продукта- то работа вируса будет сразу заметна. цитировать Спасибоспам
Выбор редакции