Дослідники авторитетного сайту matousec.com розробили новий спосіб обходу засобів захисту, вбудованих у найпопулярніші антивірусні продукти, включаючи антивіруси від McAfee, Trend Micro, AVG і BitDefender.
Новий метод працює на основі експлуатації драйверів перехоплення операцій, які антивірусні програми ховають глибоко усередині операційної системи. Спочатку цим драйверам посилається, на перший погляд, нешкідливий код, який після проходження процедури перевірки підмінюється на шкідливий.
Експлоїт повинен бути запущений у точно вивірений час. Але так як більшість сучасних комп'ютерів основані на багатоядерних процесорах, у них найчастіше неможливо відстежити виконання низки процесів, що виконуються одночасно. Саме тому новий спосіб обходу захисту може ввести в оману майже всі антивіруси для Windows. Для успішної атаки необхідно лише, щоб антивірус використав таблицю дескрипторів системних служб (SSDT).
Перевірені дослідниками 34 антивірусних пакети для Windows виявилися вразливими до атаки.
Цей алгоритм може бути використаний в поєднанні з наявною вразливістю в тому ж Adobe Reader або віртуальній машині Java, при цьому шкідливий додаток буде встановлено без спрацьовування антивірусного ПЗ. Крім того, зі слів відомого експерта Чарлі Міллера, за допомогою цієї атаки можна видалити антивірусну програму, працюючи з-під обмеженого аккаунта Windows.
Нагадаємо, оновлення антивіруса McAfee 21 квітня паралізувало десятки тисяч комп'ютерів у всьому світі. Популярне антивірусне ПЗ виявило зараженим системний файл ОС Windows XP.
Відновлення розпізнало компонент Windows під назвою Svchost.exe як заражений файл, прийнявши його за хробака Wecorl.
Після установлення відновлення комп'ютери із установленою операційною системою Windows XP Service Pack 3 увійшли в цикл постійного перезавантаження або повністю перестали завантажуватися. До потерпілих від некоректної роботи антивірусу ввійшла велика кількість корпоративних клієнтів McAfee, а також університети, лікарні й поліцейські дільниці.
Хто ми такі: Про нас та Контакти. Як ми пишемо новини та наші принципи: Редакційний кодекс. Ми старались, якщо вам сподобалось – задонатьте.
Якщо Ви помітили орфографічну помилку, напишіть нам.