«Лаборатория Касперского» выходит на новую территорию

Каждый день в мире появляются десятки тысяч новых вредоносных программ, киберпреступность давно превратилась в многомиллиардную теневую индустрию. Справиться с огромными объемами вредоносного ПО только с помощью сигнатурного и эвристического методов защиты более не представляется возможным. В такой ситуации необходимо использовать комплексные средства защиты от современных информационных угроз.

В Kaspersky Internet Security 2010 был реализован принципиально новый подход к защите, получивший название «Территория безопасности». Теперь в защищаемой системе осуществляется глобальный мониторинг вредоносной активности с целью полного предотвращения воздействия информационных угроз на компьютере пользователя. Согласно идее «Территории безопасности», основной акцент в решении Kaspersky Internet Security 2010 делается на предотвращении инфицирования системы, что является намного более эффективным способом защиты, чем исправление последствий заражения.

Главное нововведение версии 2010 – технология Sandbox («песочница») – в комплексных антивирусных продуктах класса «Internet Security» реализуется впервые. Функция «Безопасная среда», в основе которой лежит технология Sandbox, позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве. Программы, запущенные в «Безопасной среде», не могут нанести вред операционной системе и файлам пользователя – они обращаются к их виртуальным копиям.

Концепция «Территории безопасности» нашла свое воплощение не только в новых технологиях. В персональных продуктах «Лаборатории Касперского» версии 2010 был кардинально переработан пользовательский интерфейс – он стал значительно проще и удобнее для начинающих пользователей.

В Антивирусе Касперского 2010 и Kaspersky Internet Security 2010 реализован автоматический режим работы, в котором программа не беспокоит пользователя дополнительными запросами, самостоятельно принимая все решения в оптимальном режиме. Для пользователей, активно играющих в компьютерные игры, в версии 2010 появился специальный «Игровой профиль». Опция позволяет отключать часть функций, которые могут помешать работе полноэкранных приложений (например, компьютерных игр): обновления, проверку по расписанию и уведомления.

Помимо этого в версии 2010 значительно расширен и усовершенствован набор инструментов для защиты конфиденциальных данных. Всего же в новой версии продуктов более десятка новых опций и улучшений.

Продажи новой 2010 версии защитных персональных продуктов в России начнутся 25 августа 2009 года. Однако уже сейчас любой желающий может стать одним из первых покупателей Kaspersky Internet Security 2010 и Антивируса Касперского 2010: приобретая годовую лицензию версии 2009, пользователи бесплатно переходят на версию 2010, загрузив ее с сайта kaspersky.ru в день официального релиза.

Рекомендованные розничные цены на лицензию с возможностью установки решения на 2 ПК составят 1200 рублей для Антивируса Касперского и 1600 рублей для Kaspersky Internet Security.

Продление лицензии будет осуществляться со скидкой: в этом случае стоимость Антивируса Касперского составит 720 рублей, а Kaspersky Internet Security – 960 рублей. Возможен переход с Антивируса Касперского на решение Kaspersky Internet Security при покупке соответствующего продления.

Покупатели Kaspersky Internet Security 2010 получат в подарок лицензию на новое решение Kaspersky Mobile Security 8.0 с функцией Анти-Вор для защиты смартфонов. Количество комплектов с подарком ограничено.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Linux-руткит Diamorphine стал маскироваться под Netfilter Xtables

Исследователи из Avast обнаружили новый вариант руткита режима ядра Diamorphine, известного своим умением прятаться. Вредонос выдает себя за легитимный модуль x_tables фреймворка Netfilter и заточен под Linux 5.19.17.

Имитация Xtables делает Diamorphine еще более незаметным: регистрация хуков Netfilter не вызывает подозрений, и взаимодействие с этой подсистемой — ожидаемое поведение. Анализ семпла также выявил дополнительные функции: завершение работы и выполнение произвольных системных команд с помощью магических пакетов.

При выполнении функции init_module (вызывается при загрузке модулей ядра) обновленный зловред создает компонент xx_tables для коммуникаций между пространством режима пользователя и руткитом ядра.

Последний при этом всегда проверяет содержимое ввода (поля длины и указателя данных должны быть заполнены). При обнаружении строки «exit» вызывается exit_ function, и Diamorphine восстанавливает систему, освобождает ресурсы и выгружает из памяти свой модуль ядра.

Функциональность Magic Packet тоже помогает поддерживать иллюзию работы Netfilter. Для правдоподобия такой пакет (Pv4 или IPv6) должен содержать зашифрованные (XOR) значения «whitehat» и «2023_mn»; в этом случае включенная в него команда будет извлечена и выполнена на зараженном компьютере.

 

Классический руткит Diamorphine поддерживает различные версии ядра Linux (2.6.x, 3.x, 4.x, 5.x, 6.x) и архитектуры CPU (x86, x86_64, ARM64). При загрузке модуль становится невидимым и скрывает все свои файлы и папки с префиксом, заданным при компиляции (имитатор Xtables использует «…»).

По команде вредонос может скрывать / выявлять указанные процессы, свой модуль ядра, а также повышать свои привилегии до root.

Новый вариант был обнаружен в дикой природе в начале марта этого года. По состоянию на 20 июня его детектируют 13 из 62 антивирусов на VirusTotal.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru