Найден способ обмана любых Windows-антивирусов

Александр Панасенко 11 Мая 2010 - 11:47

Windows

Symantec

Лаборатория Касперского

...

Как утверждают исследователи Якуб Бржечки и Давид Матоушек из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы такие популярные продукты, как «Лаборатории Касперского», «Dr.Web», «Avast!», «Sophos», ESET, «McAffee», «Symantec», «Panda» и т. д.

Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, однако на практике все упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой «Windows-антивирус», сообщает "Компьюлента".

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100 процентов, причем даже в том случае, если «Windows» запущена под учетной записью с ограниченными полномочиями.

Вместе с тем руткит требует загрузки большого объема кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере.

Методика может быть скомбинирована с традиционной атакой на уязвимую версию «Acrobat Reader» или «Sun Java Virtual Machine», не пробуждая подозрений у антивируса в истинности намерений. Ну а затем хакер волен и вовсе уничтожить все защитные барьеры, полностью удалив из системы мешающий антивирус.

Источник

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 12 Февраля 2026 - 11:22

Утечки информации Умышленные утечки информации Кража данных Общее

В Сеть выложили базу с 6,8 млрд адресов электронной почты

На одном из популярных форумов для киберпреступников появился интересный пост: пользователь под ником Adkka72424 заявил, что собрал базу из 6,8 млрд уникальных адресов электронной почты. По его словам, на это ушло несколько месяцев; он выгружал данные из логов инфостилеров, ULP-коллекций и различных баз, циркулирующих в Сети.

Цифра звучит почти фантастически. Однако исследователи Cybernews изучили массив объёмом около 150 ГБ и пришли к несколько иным выводам.

Формально автор не соврал: в файле действительно более 6,8 млрд строк. Но внутри оказалось множество дубликатов и откровенно невалидных адресов. После «очистки» реальное количество рабочих имейлов, по оценке экспертов, может составлять около 3 млрд.

Даже если это «всего лишь» 3 млрд, масштаб всё равно впечатляющий. В эпоху автоматизации фишинговых кампаний и атак вида «credential stuffing» объём решает многое. При конверсии всего 0,001% из трёх миллиардов злоумышленники теоретически могут получить около 30 тысяч потенциальных жертв. Для массовых рассылок этого более чем достаточно.

Сам автор публикации утверждает, что хотел «повысить осведомлённость» и привлечь внимание эксперта по утечкам Троя Ханта. Параллельно он дал традиционный совет пользователям: сменить пароли и включить двухфакторную аутентификацию. Впрочем, по комментариям на форуме видно, что аудитория интересуется базой прежде всего как инструментом для кросс-проверки других утечек: сопоставляя записи, злоумышленники могут быстрее находить «свежие» скомпрометированные аккаунты и экономить время.