Работа пропускного пункта
31 августа 2017
Часто можно услышать о том, что тот или иной новый вирус обходит защиту антивируса. Это действительно возможно, однако обход обходу рознь.
Один из популярнейших способов обхода – перешифрование уже известного антивирусу троянца или иной вредоносной программы. Файл шифруется или упаковывается так, что антивирус не может распаковать его и опознать известную угрозу. Достигается это, в частности, использованием упаковщиков, пакующих файлы с помощью неизвестного антивирусу формата.
Технология Fly-Code обеспечивает качественную проверку упакованных исполняемых объектов, распаковывает любые (даже нестандартные) упаковщики методом виртуализации исполнения файла, что позволяет обнаружить вирусы, упакованные даже неизвестными антивирусному ПО Dr.Web упаковщиками, без распаковки архивов. Технология позволяет уменьшить размер вирусных баз.
Но обходит троянец защиту или нет – он в любом случае анализируется на вредоносность, то есть перехватывается. Обхода методов защиты – нет.
Проиллюстрируем на примере из жизни. Вы сидите на пропускном пункте, мимо вас проходят люди, и вы должны выявить среди них нарушителей. Вы делаете это по формальным признакам (наличие пропуска/паспорта) или на основе визуальной оценки (идет прямо или ползет и лыка не вяжет). Визуальный осмотр – это метод перехвата, обойти вас тут мог бы лишь человек-невидимка. В теории такое бывает, но на практике – нет, поэтому, несмотря на требования о необходимости защиты от стелс-проникновений, вам вполне достаточно, как и прежде, иметь охранника на входе.
С чем же сравнить обход антивируса? В описанном выше примере это подкоп под забором или проникновение через окошко, оставшееся открытым, в то время как проверка происходит на вахте.
Можно ли этому противостоять? Да: пустить патруль с овчарками.
Применительно к антивирусу вахта – это контроль запускаемых программ, т. е. файловый монитор. Даже если есть уязвимость, то для запуска файла (как было в случае с WannaCry) этот самый файл должен присутствовать в системе. А если таковой появится – то он будет проверен и на основании «ориентировок» либо пропущен, либо ликвидирован.
А патруль – антируткит, периодически проверяющий запущенные процессы. Дело в том, что не все вредоносные программы – файловые. Есть и бесфайловые вирусы, да и в процесс тоже можно внедриться без создания файла на диске.
Получается, что так или иначе антивирус проверит файл, и защиту обойти не удастся. Но почему же троянцы запускаются, а пресса сообщает об обходах?
Не будем вновь говорить о случаях необновления или отключения антивируса. Проблема в том, что и файловый монитор, и антируткит опознают вредоносные программы по записям в ядре – «ориентировкам». Нет такой «ориентировки» – запуск разрешен. Правильно ли это? А правильно ли будет, если полиция будет хватать любого, кто просто зашел в дом? Ведь зайти может и вор, и просто знакомый попить чаю.
Антивирус может «расстреливать» всех входящих, но не должен этого делать.
Можно ли решить проблему? Да, если следить за всеми, прошедшими на охраняемую территорию. Так и делается: это превентивная защита, которая следит за всеми действиями уже запущенных программ.
А обход? Оказывается, в большинстве случаев он происходит из-за экономии хозяина охраняемой территории. Обычный антивирус проверяет исключительно на основании сигнатур вирусных баз. И, «действуя в рамках закона», при отсутствии сигнатуры претензий к злоумышленнику не имеет. А вот система комплексной защиты – Dr.Web Security Space – срубит любого злоумышленника при первом подозрительном действии.
Итого. Если вы читаете новость об обходе антивируса, то, скорее всего, это подмена понятий и речь идет о создании файла, для которого пока нет записи в вирусных базах. Она появится максимум часа через два после начала первой атаки. А самого обхода можно было избежать, правильно настроив антивирус.
#Dr.Web #FLY-CODE #антивирус #настройки_Dr.Web #превентивная_защита #технологии_Dr.WebАнтивирусная правДА! рекомендует
В среду, 15 июня, Европол сообщил об успешной операции, в результате которой с 5 по 9 июня в шести странах Европы были арестованы шесть клиентов криптор-сервиса. Операция под кодовым названием Neuland проводилась в течение года и началась в апреле 2016 года с ареста немецкой полицией 22-летнего гражданина Германии. Неназванный житель города Кобленц обвиняется в создании криптора и платформы, позволяющей вирусописателям тестировать свое ПО на предмет обхода антивирусной защиты. Названия ресурсов Европол не приводит.
Это – первая известная нам акция такого масштаба, направленная не против распространителей вредоносных программ, а против тех, кто обеспечивал возможность обхода антивирусной защиты.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
21:21:51 2018-08-04
Неуёмный Обыватель
21:02:51 2018-06-27
vasvet
20:15:17 2018-04-20
vla_va
22:16:48 2017-08-31
В...а
21:33:21 2017-08-31
сергей
21:28:57 2017-08-31
orw_mikle
21:24:23 2017-08-31
Dvakota
21:06:13 2017-08-31
НинаК
20:53:37 2017-08-31
ek
20:09:30 2017-08-31
Шалтай Александр Болтай
19:01:51 2017-08-31
kva-kva
15:16:23 2017-08-31
Раш КХ
15:14:10 2017-08-31
Вячeслaв
14:45:35 2017-08-31
AxooxA
14:29:22 2017-08-31
Вячeслaв
14:05:13 2017-08-31
Автоматизация процессов обработки образцов рулит. Основное время - не занесение в базу, а пересборка базы и тестирование совместимости с различным ПО.
Почему так мало? Основное вредоносное ПО - трояны. Для вирусов нужно искать по файлу тело вируса, разрабатывать процедуру лечения. Для троянов нужно найти характерный участок и все.
Sasha50
13:49:52 2017-08-31
AxooxA
13:34:45 2017-08-31
Родриго
12:37:50 2017-08-31
Alexander
12:29:42 2017-08-31
Alexander
12:15:16 2017-08-31
kozinka.ru
11:25:03 2017-08-31
mk.insta
11:01:32 2017-08-31
duduka
10:41:53 2017-08-31
SGES
10:35:57 2017-08-31
a13x
10:26:21 2017-08-31
dyadya_Sasha
09:37:05 2017-08-31
Littlefish
08:42:45 2017-08-31
Littlefish
08:37:08 2017-08-31
Влад
08:31:29 2017-08-31
user
08:23:44 2017-08-31
Пaвeл
08:08:50 2017-08-31
ka_s
08:08:41 2017-08-31
GREII
07:58:41 2017-08-31
eaglebuk
07:40:19 2017-08-31
Natalya_2017
07:30:04 2017-08-31
L1t1um
07:11:27 2017-08-31
Lina
07:06:25 2017-08-31
Любитель пляжного футбола
06:05:32 2017-08-31
Марина
05:25:14 2017-08-31
А в чем суть рекомендаций, поясните.