Операторы AV Killer используют драйвер Avast для отключения защитного софта

Екатерина Быстрова 25 Ноября 2024 - 08:53

Домашние пользователи

...

В новой кампании киберпреступники используют старую версию легитимного антируткит-драйвера Avast для отключения защитных программ, ухода от детектирования и получения контроля над системой.

В этих атаках участвует один из вариантов вредоносной программы AV Killer. Последняя содержит жёстко запрограммированный список из 142 имён антивирусных процессов.

Поскольку упомянутый драйвер Avast работает на уровне ядра, злоумышленники получают доступ к критически важным компонентам операционной системы. Например, что при желании вредонос может завершать практически любые процессы.

Как отмечают обратившие внимание на атаки AV Killer специалисты компании Trellix, операторы зловреда задействуют хорошо известную технику BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер).

Попав в систему, файл AV Killer с именем kill-floor.exe устанавливает заранее уязвимый драйвер уровня ядра — ntfs.bin (помещается в директорию пользователя по умолчанию).

После этого вредоносная программа создаёт службу aswArPot.sys с помощью Service Control (sc.exe) и регистрирует сам драйвер.

Как мы уже отмечали, у AV Killer есть жёстко заданный в коде список из 142 процессов, который сверяется со снепшотом активных процессов. Согласно отчёту Trellix этот список выглядит так:

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Яков Шпунт 19 Мая 2026 - 12:51

Соответствие законодательству РФ Корпорации Государство Соответствие требованиям регуляторов

Правительство будет стимулировать спрос промышленности на российское ПО

В ходе выступления на конференции «ЦИПР-2026» глава правительства Михаил Мишустин заявил, что работа по стимулированию спроса на российское ПО будет продолжена. Основная цель, по его словам, заключается в переходе от оперативного импортозамещения к системной работе по созданию отечественных экосистем, в том числе сложных.

Выступление премьера, как сообщает «Коммерсантъ», было посвящено итогам четырёхлетней работы по переходу российской экономики на отечественное ПО.

По словам Михаила Мишустина, в этой области уже есть заметные результаты: «сотни уже внедрённых промышленных систем, которые управляют цехами, логистикой, идут в серию».

Российское ПО, отметил премьер, уже способно обеспечивать работу ключевых управленческих и производственных процессов в стратегически важных отраслях. Среди них он назвал электроэнергетику, недропользование, добычу нефти и газа, а также нефтехимию. При этом остаются и отстающие направления, в частности автомобилестроение.

Важную роль в этой работе играют индустриальные центры компетенций (ИЦК). Если на момент их запуска в 2022 году насчитывалось около 5 тыс. процессов, для которых не было российского ПО, то сейчас это число сократилось в четыре раза.

Однако многие компании продолжают использовать зарубежное ПО. Часто оно не требует срочной замены, поэтому у бизнеса нет достаточных стимулов переходить на российские решения. По словам премьера, такая ситуация создаёт «огромные технологические риски».

В числе ключевых задач Михаил Мишустин назвал стимулирование спроса на отечественное ПО. Среди возможных мер он упомянул двойной коэффициент при учёте расходов на российское ПО, ускоренную амортизацию отечественных программ и программно-аппаратных комплексов, а также освобождение от НДС сделок по продаже прав на российский софт. От НДС планируется освободить и облачные сервисы. Развитию облачных сервисов премьер также уделил отдельное внимание.

Кроме того, премьер поручил ИЦК до конца года проработать и представить в правительство варианты необходимых и перспективных ИИ-сервисов для каждой отрасли. При этом наборы промышленных данных, отраслевые модели данных и стандарты обмена должны быть отечественными.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!