Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (25)
  • добавить в избранное
    Добавить в закладки

Работа пропускного пункта

Прочитали: 1559 Комментариев: 85 Рейтинг: 92

Часто можно услышать о том, что тот или иной новый вирус обходит защиту антивируса. Это действительно возможно, однако обход обходу рознь.

Один из популярнейших способов обхода – перешифрование уже известного антивирусу троянца или иной вредоносной программы. Файл шифруется или упаковывается так, что антивирус не может распаковать его и опознать известную угрозу. Достигается это, в частности, использованием упаковщиков, пакующих файлы с помощью неизвестного антивирусу формата.

Технология Fly-Code обеспечивает качественную проверку упакованных исполняемых объектов, распаковывает любые (даже нестандартные) упаковщики методом виртуализации исполнения файла, что позволяет обнаружить вирусы, упакованные даже неизвестными антивирусному ПО Dr.Web упаковщиками, без распаковки архивов. Технология позволяет уменьшить размер вирусных баз.

Но обходит троянец защиту или нет – он в любом случае анализируется на вредоносность, то есть перехватывается. Обхода методов защиты – нет.

Проиллюстрируем на примере из жизни. Вы сидите на пропускном пункте, мимо вас проходят люди, и вы должны выявить среди них нарушителей. Вы делаете это по формальным признакам (наличие пропуска/паспорта) или на основе визуальной оценки (идет прямо или ползет и лыка не вяжет). Визуальный осмотр – это метод перехвата, обойти вас тут мог бы лишь человек-невидимка. В теории такое бывает, но на практике – нет, поэтому, несмотря на требования о необходимости защиты от стелс-проникновений, вам вполне достаточно, как и прежде, иметь охранника на входе.

С чем же сравнить обход антивируса? В описанном выше примере это подкоп под забором или проникновение через окошко, оставшееся открытым, в то время как проверка происходит на вахте.

Можно ли этому противостоять? Да: пустить патруль с овчарками.

Применительно к антивирусу вахта – это контроль запускаемых программ, т. е. файловый монитор. Даже если есть уязвимость, то для запуска файла (как было в случае с WannaCry) этот самый файл должен присутствовать в системе. А если таковой появится – то он будет проверен и на основании «ориентировок» либо пропущен, либо ликвидирован.

А патруль – антируткит, периодически проверяющий запущенные процессы. Дело в том, что не все вредоносные программы – файловые. Есть и бесфайловые вирусы, да и в процесс тоже можно внедриться без создания файла на диске.

Получается, что так или иначе антивирус проверит файл, и защиту обойти не удастся. Но почему же троянцы запускаются, а пресса сообщает об обходах?

Не будем вновь говорить о случаях необновления или отключения антивируса. Проблема в том, что и файловый монитор, и антируткит опознают вредоносные программы по записям в ядре – «ориентировкам». Нет такой «ориентировки» – запуск разрешен. Правильно ли это? А правильно ли будет, если полиция будет хватать любого, кто просто зашел в дом? Ведь зайти может и вор, и просто знакомый попить чаю.

Антивирус может «расстреливать» всех входящих, но не должен этого делать.

Можно ли решить проблему? Да, если следить за всеми, прошедшими на охраняемую территорию. Так и делается: это превентивная защита, которая следит за всеми действиями уже запущенных программ.

А обход? Оказывается, в большинстве случаев он происходит из-за экономии хозяина охраняемой территории. Обычный антивирус проверяет исключительно на основании сигнатур вирусных баз. И, «действуя в рамках закона», при отсутствии сигнатуры претензий к злоумышленнику не имеет. А вот система комплексной защиты – Dr.Web Security Space – срубит любого злоумышленника при первом подозрительном действии.

Итого. Если вы читаете новость об обходе антивируса, то, скорее всего, это подмена понятий и речь идет о создании файла, для которого пока нет записи в вирусных базах. Она появится максимум часа через два после начала первой атаки. А самого обхода можно было избежать, правильно настроив антивирус.

#Dr.Web #FLY-CODE #антивирус #настройки_Dr.Web #превентивная_защита #технологии_Dr.Web

Dr.Web рекомендует

В среду, 15 июня, Европол сообщил об успешной операции, в результате которой с 5 по 9 июня в шести странах Европы были арестованы шесть клиентов криптор-сервиса. Операция под кодовым названием Neuland проводилась в течение года и началась в апреле 2016 года с ареста немецкой полицией 22-летнего гражданина Германии. Неназванный житель города Кобленц обвиняется в создании криптора и платформы, позволяющей вирусописателям тестировать свое ПО на предмет обхода антивирусной защиты. Названия ресурсов Европол не приводит.

http://www.securitylab.ru/news/486737.php

Это – первая известная нам акция такого масштаба, направленная не против распространителей вредоносных программ, а против тех, кто обеспечивал возможность обхода антивирусной защиты.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: