Перейти к содержанию
Danilka

Sophos: UAC не защитит вас от вредоносного ПО

Recommended Posts

Danilka

Запись в блоге, сделанная старшим инженером по безопасности компании Sophos, Честером Вишниевски (Chester Wisniewski), гласит, что недавние тесты Sophos показали, что функция User Account Control, которая запрашивает у пользователя разрешение для предоставления повышенных привилегий, является неэффективной в деле предотвращения выполнения образцов вредоносного ПО на компьютере под управлением Windows 7, если на нем нет антивируса.

В то время, как два из десяти выбранных образцов вредоносных программ вовсе не могли запуститься в Win7, всего один образец (червь с низким показателем распространения под названием W32/Autorun-ATK) был остановлен UAC. Остальные семь легко запустились.

Среди тех вредоносных объектов, которые беспрепятственно запустились на тестовом компьютере, следует отметить Troj/FakeAV-AFY и Troj/FakeAV-AFX, два трояна с низким уровнем опасности, которые видны даже при проверке бесплатным антивирусом; Mal/EncPk-KY и Mal/EncPk-KP, два средненьких спам-вируса; Troj/Agent-LIW, троян, который управляет поведением Internet Explorer; Troj/Zbot-JN, троян, который пытается украсть банковские данные, маскируясь под анонимный e-mail-запрос, и W32/Autorun-ATC, червь, изменяющий сценарий запуска.

"UAC заблокировал лишь один образец, однако, его неспособность блокировать все остальные лишь подтверждает мое предупреждение касаемо Windows 7, что конфигурация UAC по умолчанию не является эффективным средством защиты ПК от современных вредоносных программ" - пишет Вишниевски.

Конфигурация по умолчанию изменилась в Windows 7, став на один уровень ниже (при этом перестала раздражать некоторых пользователей), чем в Vista. В процессе тестирования в начале этого года, это решение Microsoft стало причиной серьезных разногласий касаемо эффективности решения и, в частности, возникновения привилегии самоуправляемых привилегией, которую все сочли подарком для авторов эксплойтов.

Как рассказал Вишниевски нашему изданию, в его намерения не входило доказательство неэффективности UAC, однако, он хотел показать, что Windows 7 может быть уязвима в такой конфигурации.

"Это был небольшой тест, чтобы определить эффективность административных прав посредством использования только UAC, чтобы обеспечить защиту от вредоносных программ компьютера под управлением Windows 7" - объяснил Вишниевски. "Я не проверял, как будет вести себя Windows 7 в случае, когда UAC работает в режиме Vista".

Но если решением проблемы является антивирус (а Sophos, конечно же, является разработчиком антивирусного ПО), то какой толк в UAC?

"Я сделал несколько последующих тестов, хотя, как и в случае с вредоносным программным обеспечением, для этого все же надо немного времени, чтобы безопасно выполнять эти тесты. У меня появились кое-какие данные и результаты, на основании которых я поделился своими рекомендациями касаемо UAC " - он ответил. "Я просто хотел предупредить пользователей, что UAC не может эффективно защищать компьютеры от вредоносных программ. Я думаю, Microsoft признает это, что отражается в их усилиях по увеличению безопасности в Microsoft Forefront и Essentials". Но в целом Sophos считает, что UAC неэффективен против вредоносного ПО, работа которого основана на увеличении уровня привилегий, даже если это ПО не входит в число самых опасных вирусов.

"Мы не выбирали конкретные образцы, взяв лишь десять наиболее свежих и наиболее распространенных. Большинство из них были относились к типу 'Fake AV', даже если в названии образца это не указано. У нас есть общие средства для обнаружения вредоносного ПО, их групп и других подобных гадостей. С надлежащей защитой от вредоносных программ Windows 7 намного безопаснее" - признали инженеры по безопасности Sophos.

"UAC лишь представляет собой дополнительный уровень защиты, который поможет в случае, если вашему антивирусу не удалось обнаружить новой образец. Правда, на моем опыте подобных случаев не было".

Источник: http://www.betanews.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Какой бред. UAC - это триггер скачкообразного повышения привилегий. Каким образом он должен был предотвращать запуск не требующих этих привилегий сэмплов? И вообще не факт, что отработавший сэмпл достигнет своих целей. И не ясно была ли это x64 или x32 винда. И пр. и пр.

Похоже им нужна была статья с N-м количеством знаков т.к. пришло время что-то написать. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

dr_dizel

Может они что то не знают? :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Может они что то не знают? :D

Да - что спят. А во сне можно такого понаписать... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Какой бред. UAC - это триггер скачкообразного повышения привилегий. Каким образом он должен был предотвращать запуск не требующих этих привилегий сэмплов? И вообще не факт, что отработавший сэмпл достигнет своих целей. И не ясно была ли это x64 или x32 винда. И пр. и пр.

Похоже им нужна была статья с N-м количеством знаков т.к. пришло время что-то написать. :)

Sophos всего лишь озвучил официальную позицию Microsoft, которой уже несколько лет

To help prevent malicious software from silently installing and causing computer-wide infection, Microsoft developed the UAC feature.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Sophos всего лишь озвучил официальную позицию Microsoft, которой уже несколько лет

А мне показалось, что они открыли для себя большую тайну - UAC не является антивирусом.

Само проведение такого теста показывает, что автор ничего не понимает ни в UAC ни в безопасности W7, а только услышал/прочитал пару знакомых слов о семёрке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

А вот и ответ MS:

После скандальной публикации сотрудником компании Sophos, которую многие читатели сочли лишь за попытку черного пиара с помощью заголовков наподобие "Windows 7 беззащитна против 80% вредоносного ПО", Microsoft, наконец-то, открыла ответный огонь. В своем блоге Пол Кук (Paul Cooke), директор Windows Enterprise Client Security, пояснил, что претензии Sophos являются, мягко говоря, необоснованными.

"Я не фанат компаний, делающих сенсационные заявления о Windows 7, чтобы продать побольше своего собственного программного обеспечения" - написал он. "Этот тест лишь показывает, что большинство людей намеренно запускают известные вредоносные программы на своих компьютерах. Вредоносные программы обычно проникают в систему другими путями, будь то браузер или почтовая программа. Таким образом, хотя я и совершенно согласен, что антивирусное программное обеспечение имеет важное значение для защиты вашего ПК, есть и другие необходимые средства защиты".

Тесты компании Sophos были выполнены совершенно некорректно, потому что вредоносное ПО запускалось на никоим образом незащищенных системах, на которых не было установленного антивирусного программного обеспечения. Microsoft всегда рекомендует клиентам устанавливать антивирусное ПО, тем более, что ранее в этом году Microsoft выпустила бесплатное антивирусное решение - Microsoft Security Essentials, - которое доступно в том числе и для Windows 7. Microsoft никогда не утверждала, что для Windows 7 не требуется антивирусное программное обеспечение.

"Я согласен с Sophos в том, что вам все равно придется установить антивирусное решение, чтобы защитить компьютер под управлением Windows 7" - отметил Кук. "Но также не менее важно держать все программное обеспечение в актуальном состоянии через службы автоматического обновления, например, через службу Windows Update. Настроив свой компьютер для автоматической загрузки и установки обновлений, вам будет обеспечен высочайший уровень защиты от вредоносных программ и других уязвимостей ".

"Windows 7 построена на платформе безопасности Windows Vista, в которой применяется серьезнейший подход к защите пользователей от вредоносного ПО" - объясняет он. "В результате при разработке Windows 7 применялись усовершенствованные технологии, которые сделали Windows Vista одной из менее уязвимых ОС на рынке.

Настоящая проблема заключается в том, что предоставляя своим клиентам бесплатные антивирусные программы, Microsoft переходит дорогу другим компаниям, выпускающим антивирусы, таким как Sophos. Эти компании создали богатый бизнес, в котором их продукция прекращает обновляться после того, как срок действия ключей заканчивается, оставляя своих пользователей уязвимыми. Microsoft сначала попытались создать свою собственный недорогой продукт для обеспечения безопасности, OneCare, но затем компания приняла решение заменить его бесплатным Microsoft Security Essentials, который не оставит пользователей незащищенными.

Таким образом, Sophos своей публикацией лишь подтвердила, что компании нельзя доверять.

Источник:

http://www.windowsitpro.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×