Об обходе антивирусов на практике

Веб разработка - Информационная безопасность

На днях в этом блоге была опубликована ссылка на новость об универсальной методике обхода антивирусов. Впрочем, силами цепочки английских и русских журналистов-копипейстеров суть сообщения искажена в столь несовместимую с разумом и реальностью ересь, что мне — специалисту по (анти)вирусным технологиям — пришлось перечитать текст дважды, прежде чем я поняла, о чем примерно идет речь. Поэтому рекомендуется ознакомиться с источником.

Я не буду комментировать предложенную концепцию — с этой задачей успешно справятся производители антивирусов. Суть в другом: обход антивирусной защиты — не наука о ракетах, требующая концептуального подхода, а вполне обыденное явление. Для иллюстрации этого факта я приведу несколько технических примеров из жизни.

Примеры будут извлечены из нашей любимой зверюшки — бота-руткита TDSS, о котором в последнее время много говорят. Что и не удивительно: это один из наиболее распространенных, технически продвинутых и активно развивающихся ботов.

На диаграмме слева отображена статистика по антивирусным защитам, установленным на компьютерах пользователей одновременно с заражением TDSS.


Примечания к диаграмме:

Исходные данные — статистика от пользователей утилиты TDSS Remover за первый квартал 2010 г. Всего было обработано порядка тысячи зараженных машин Из них 12% были оснащены известными нам антивирусами На диаграмме не отображена статистика по антивирусам, которые провалили лечение, но при этом не блокируют и не скрывают свои файлы. Факт блокировки или скрытия файлов попадает в статистику, как значимая для антируткита аномалия.

Несколько слов о зверюшке

Появившись около двух лет назад, бот-руткит TDSS (также известный как Alureon, Tidserv, TDL/TDL2/TDL3+) тихо и незаметно размножился до тревожных цифр.

А именно:

Основополагающий фактор столь стремительной и, вместе с тем, бесшумной победы — ставка на обход антивирусов и передовые технологии. Задача успешно решается с первых дней существования бота и по сей день: по мере того, как антивирусы обновляются — обновляются и технологии их обхода в коде TDSS, неизменно радуя исследователей и «радуя» разработчиков защит оригинальностью нововведений.

Фактически, на протяжении всего времени существования TDSS, он был непрерывно недостижим для всех существующих средств защиты, включая наиболее популярные антивирусы и профессиональные антируткиты. Более того, до недавнего времени бот незаметно развивался под прикрытием собственной эффективности, так как производителям антивирусов было невыгодно предавать огласке угрозу, с которой они не справляются.

За последние полгода ситуация немного улучшилась. Противостояние продолжается, «большие» антивирусы по-прежнему не справляются, зато начали выпускать специализированные утилиты-лечилки (Norman TDSS Cleaner, Kaspersky TDSSKiller).

 

---

Читайте:
Подготавливаем OllyDbg к бою Комплекты для взлома WiFi-сетей продаются по $24 Вытаскиваем кучу паролей из пиринговых сетей «Сложный пароль» в расшифровке не нуждается Сложный пароль в запоминании не нуждается

Black Hat: Adobe присоединяется к программе Microsoft по уведомлению о Компании Adobe и Microsoft объединяют усилия для того, чтобы предоставлять антивирусным компаниям и разработчикам более полную информацию о процессе...

Том Кайт: о сервере Oracle Database 11g Наш эксперт рассказывает о серверном кеше результатов выполнения запросов и кеше результатов вычисления функций PL/SQL. В течение следующих неско...

В Microsoft перенимают опыт разработки свободного ПО Компания Microsoft поддержала инициативу своего сотрудника Гаррета Серака (Garrett Serack) под названием CoApp (Common Open Source Application Publi...

8 замечательных бесплатных утилит В четвертой статье серии представлена коллекция великолепных бесплатно распространяемых или созданных на базе открытого исходного кода инструменталь...

Adobe выпускает новые продукты для разработки приложений на Flash, Col Компания Adobe объявила о выпуске новых продуктов для разработки приложений на базе технологий Flash, ColdFusion и Flex. В частности, разработку на ...