Работа пропускного пункта

Антивирусная неправда

добавить в избранное

Работа пропускного пункта

Прочитали: 5773 Комментариев: 40 Рейтинг: 116

31 августа 2017

Часто можно услышать о том, что тот или иной новый вирус обходит защиту антивируса. Это действительно возможно, однако обход обходу рознь.

Один из популярнейших способов обхода – перешифрование уже известного антивирусу троянца или иной вредоносной программы. Файл шифруется или упаковывается так, что антивирус не может распаковать его и опознать известную угрозу. Достигается это, в частности, использованием упаковщиков, пакующих файлы с помощью неизвестного антивирусу формата.

Технология Fly-Code обеспечивает качественную проверку упакованных исполняемых объектов, распаковывает любые (даже нестандартные) упаковщики методом виртуализации исполнения файла, что позволяет обнаружить вирусы, упакованные даже неизвестными антивирусному ПО Dr.Web упаковщиками, без распаковки архивов. Технология позволяет уменьшить размер вирусных баз.

Но обходит троянец защиту или нет – он в любом случае анализируется на вредоносность, то есть перехватывается. Обхода методов защиты – нет.

Проиллюстрируем на примере из жизни. Вы сидите на пропускном пункте, мимо вас проходят люди, и вы должны выявить среди них нарушителей. Вы делаете это по формальным признакам (наличие пропуска/паспорта) или на основе визуальной оценки (идет прямо или ползет и лыка не вяжет). Визуальный осмотр – это метод перехвата, обойти вас тут мог бы лишь человек-невидимка. В теории такое бывает, но на практике – нет, поэтому, несмотря на требования о необходимости защиты от стелс-проникновений, вам вполне достаточно, как и прежде, иметь охранника на входе.

С чем же сравнить обход антивируса? В описанном выше примере это подкоп под забором или проникновение через окошко, оставшееся открытым, в то время как проверка происходит на вахте.

Можно ли этому противостоять? Да: пустить патруль с овчарками.

Применительно к антивирусу вахта – это контроль запускаемых программ, т. е. файловый монитор. Даже если есть уязвимость, то для запуска файла (как было в случае с WannaCry) этот самый файл должен присутствовать в системе. А если таковой появится – то он будет проверен и на основании «ориентировок» либо пропущен, либо ликвидирован.

А патруль – антируткит, периодически проверяющий запущенные процессы. Дело в том, что не все вредоносные программы – файловые. Есть и бесфайловые вирусы, да и в процесс тоже можно внедриться без создания файла на диске.

Получается, что так или иначе антивирус проверит файл, и защиту обойти не удастся. Но почему же троянцы запускаются, а пресса сообщает об обходах?

Не будем вновь говорить о случаях необновления или отключения антивируса. Проблема в том, что и файловый монитор, и антируткит опознают вредоносные программы по записям в ядре – «ориентировкам». Нет такой «ориентировки» – запуск разрешен. Правильно ли это? А правильно ли будет, если полиция будет хватать любого, кто просто зашел в дом? Ведь зайти может и вор, и просто знакомый попить чаю.

Антивирус может «расстреливать» всех входящих, но не должен этого делать.

Можно ли решить проблему? Да, если следить за всеми, прошедшими на охраняемую территорию. Так и делается: это превентивная защита, которая следит за всеми действиями уже запущенных программ.

А обход? Оказывается, в большинстве случаев он происходит из-за экономии хозяина охраняемой территории. Обычный антивирус проверяет исключительно на основании сигнатур вирусных баз. И, «действуя в рамках закона», при отсутствии сигнатуры претензий к злоумышленнику не имеет. А вот система комплексной защиты – Dr.Web Security Space – срубит любого злоумышленника при первом подозрительном действии.

Итого. Если вы читаете новость об обходе антивируса, то, скорее всего, это подмена понятий и речь идет о создании файла, для которого пока нет записи в вирусных базах. Она появится максимум часа через два после начала первой атаки. А самого обхода можно было избежать, правильно настроив антивирус.

#Dr.Web #FLY-CODE #антивирус #настройки_Dr.Web #превентивная_защита #технологии_Dr.Web

Антивирусная правДА! рекомендует

В среду, 15 июня, Европол сообщил об успешной операции, в результате которой с 5 по 9 июня в шести странах Европы были арестованы шесть клиентов криптор-сервиса. Операция под кодовым названием Neuland проводилась в течение года и началась в апреле 2016 года с ареста немецкой полицией 22-летнего гражданина Германии. Неназванный житель города Кобленц обвиняется в создании криптора и платформы, позволяющей вирусописателям тестировать свое ПО на предмет обхода антивирусной защиты. Названия ресурсов Европол не приводит.

http://www.securitylab.ru/news/486737.php

Это – первая известная нам акция такого масштаба, направленная не против распространителей вредоносных программ, а против тех, кто обеспечивал возможность обхода антивирусной защиты.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
21:21:51 2018-08-04

Хорошая технология Fly-Code, помогает идельно, вопросов нету.

Неуёмный Обыватель Собкор
21:02:51 2018-06-27

Хорошая реклама комплексных продуктов

vasvet
20:15:17 2018-04-20

Можно только поприветствовать. Благое дело.

vla_va
22:16:48 2017-08-31

Начало положено

В...а
21:33:21 2017-08-31

"правильно настроив антивирус"!

сергей
21:28:57 2017-08-31 Именинник

КРУТО

orw_mikle
21:24:23 2017-08-31

Ну надеюсь работающий обновленный Dr.Web обойти не удастся.

Dvakota
21:06:13 2017-08-31

Доходчиво объяснили .

НинаК
20:53:37 2017-08-31

так или иначе антивирус проверит файл!

ek
20:09:30 2017-08-31

Обойдет старенький какой-нибудь :)

Шалтай Александр Болтай Собкор
19:01:51 2017-08-31

Пункт выдачи желаемого за действительное.

kva-kva
15:16:23 2017-08-31

Надо во всем разбираться!

Раш КХ
15:14:10 2017-08-31

Приятная новость

Вячeслaв Собкор
14:45:35 2017-08-31

@YorudArud, это верно только для целевой атаки. Но обычному пользователю столкнуться с ней маловероятно. Типичная атака широковещательна - атака идет на множество пользователей, поэтому нам и не нам она попадает практически гарантированно

AxooxA
14:29:22 2017-08-31

@Вячeслaв, я имел в виду, что дрвеб или другой вендор может не знать, что на какие-то ПК проводится атака, если там не установлено вашего или никакого антивируса или с него не отправляется нужная инфа в антивирусную лабораторию. Да еще и как-то должно быть определено, что действие вредоносное.

Вячeслaв Собкор
14:05:13 2017-08-31

@YorudArud, "Очень сомнительно, что "запись в базе появится максимум часа через два после начала первой атаки"". Статистика и не более. Свежих тестов не найду, но журналисты проводили тестирование обновлений. Нормальная скорость реакции - два часа. И при чем это реакция от появления до обновления пользователя. То есть до появления в базах на зонах обновлений - еще меньше.
Автоматизация процессов обработки образцов рулит. Основное время - не занесение в базу, а пересборка базы и тестирование совместимости с различным ПО.
Почему так мало? Основное вредоносное ПО - трояны. Для вирусов нужно искать по файлу тело вируса, разрабатывать процедуру лечения. Для троянов нужно найти характерный участок и все.

Sasha50 Собкор
13:49:52 2017-08-31

А мне понравилось:"А вот система комплексной защиты – Dr.Web Security Space – срубит любого злоумышленника при первом подозрительном действии."

AxooxA
13:34:45 2017-08-31

Очень сомнительно, что "запись в базе появится максимум часа через два после начала первой атаки"

Родриго
12:37:50 2017-08-31

овчарки улыбнули) хороший текст, помогает организовать порядок в голове по поводу технологий Dr.Web

Alexander Собкор
12:29:42 2017-08-31

Наверное, тоже кстати. Сегодня прошло очередное обновление компонентов в продуктах Dr.Web. Мощные обновления (нужна перезагрузка).

Alexander Собкор
12:15:16 2017-08-31

Интересная статья. Да, обход возможен. Но это было бы еще полбеды. Плохо то, что он иногда внезапно случается, - "иной новый вирус обходит защиту антивируса". Временной коридор в два часа пусть и не велик, но, тем не менее, он опасен. Можно сказать, что в некоторый отрезок времени, бывает, вирус с антивирусом просто сосуществуют ("приглядываются") до поры, когда антивирус увидит его зловредную сущность и примет соответствующие меры. Неопознанный объект будет проверен и, на основании "ориентировок" (по записям в ядре Dr.Web), либо пропущен, либо ликвидирован. Так или иначе, антивирус проверит файл, и защиту обойти не удастся. Нужна "самая малость", - установленный работающий правильно настроенный Dr.Web Security Space и внимательная осторожная своя голова на плечах.

kozinka.ru Собкор
11:25:03 2017-08-31

Автору - респект! Статья хорошая. Понятно, доходчиво, ясно. Спасибо.

mk.insta
11:01:32 2017-08-31

"Летящий код" - романтично

duduka
10:41:53 2017-08-31

Спасибо, доходчиво, интересный выпуск.

SGES Собкор
10:35:57 2017-08-31

Была бы собака, а палка найдется

a13x Собкор
10:26:21 2017-08-31

Всё понятно. Теперь будем умнее :)

dyadya_Sasha Собкор
09:37:05 2017-08-31

Пропускной пункт, охрана, патруль с собаками и это всё всего за полторы тыщи почти на три года! Круто! Не, точно не переплатил.))))

Littlefish Собкор
08:42:45 2017-08-31

И антивирусное решение с превентивной защитой существенно снижает риск заражения вредоносными программами, чем без неё.

Littlefish Собкор
08:37:08 2017-08-31

Обход ассоциируется с чем-то постоянным, не зависящим от обновления антивирусных баз и самого антивируса.

Влад
08:31:29 2017-08-31

антивирус необходим для защиты.

user
08:23:44 2017-08-31

Всем оставаться у компьютера, это антивирусная полиция, вы задержаны при попытке обойти антивирусную защиту.

Пaвeл Собкор
08:08:50 2017-08-31

Аналогия с пропускным пунктом интересная. Я не вникаю в тонкости защиты - доверяю Dr.Web!

ka_s
08:08:41 2017-08-31

Хотелось бы надеяться на то, что методов обхода действительно нет.

GREII Собкор
07:58:41 2017-08-31

Обхода методов защиты – нет. спасибо

eaglebuk
07:40:19 2017-08-31

Какие-то антивирусы наверняка обходятся, так что доля правды в сенсационных заголовках есть.

Natalya_2017
07:30:04 2017-08-31

Спасибо, очень познавательно!

L1t1um
07:11:27 2017-08-31

Спасибо за выпуск! Полезно.

Lina
07:06:25 2017-08-31

Действительно нередко НЕпрофессионалами размывается граница между понятиями (Если вы читаете новость об обходе антивируса, то, скорее всего, это подмена понятий) ради псевдосенсации. Спасибо за пояснение, очень важно когда вещи называются своими именами.

Любитель пляжного футбола Собкор
06:05:32 2017-08-31

@Марина, в данном конкретном случае - ни в чём. В данной статье рассказывается о принципах работы антивируса, а фраза "Dr.Web рекомендует" присутствует в подвале каждой статьи, даже если под этой фразой нет никакого текста (были и такие статьи раньше).

Марина
05:25:14 2017-08-31

"Dr.Web рекомендует"

А в чем суть рекомендаций, поясните.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Работа пропускного пункта

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей