Хорошо забытое старое
28 сентября 2018
И в новости не будет что-то ново,
Не будет потревожен мой покой.
Но если дату нужную проставить,
То новость заблистает новизной.
Новость из разряда «горячих»:
В трояне Adwind, ранее использовавшемся в атаках на промышленные предприятия по всему миру, появился набор новых инструментов, предназначенных для обхода антивирусных программ.
Особый интерес представляет новая функция внедрения кода Dynamic Data Exchange (DDE), целью которой является компрометация Microsoft Excel и обход антивирусных решений.
Злоумышленники отправляют вредоносные сообщения, содержащие вложения в формате .CSV или .XLT, которые открываются Excel по умолчанию.
По словам специалистов, новый метод был реализован в целях обфускации. В начале файла нет заголовка, который нужно проверить, что может, в свою очередь, запутать антивирусное программное обеспечение, которое ожидает, что символы ASCII будут присутствовать в формате CSV.
Вместо того, чтобы обнаруживать файл как вредонос, антивирусное программное обеспечение может просто рассматривать файл как поврежденный.
Вообще, обфускация – это запутывание кода, прием, когда части вредоносного ПО перемешиваются внутри исполняемого файла, чтобы нельзя было восстановить исходный код и найти известную сигнатуру. При чем тут она – непонятно. Судя по новости, используется обычное сокрытие.
Переводя на русский: злоумышленники помещают вредоносный код в файлы формата .CSV или .XLT так, что файл стороннему наблюдателю кажется «битым». Антивирус пугается и не проверяет его.
Если бы все обстояло так, обходить антивирус было бы совсем просто. Берешь любой файл с известным форматом и нарушаешь его структуру. Так вот: все обстоит с точностью до наоборот. Антивирус обязан разбирать любые файлы, даже если они выглядят безнадежно поврежденными. Именно поэтому антивирус – это универсальный распаковщик, способный распаковать архив, за который не возьмется ни один разархиватор.
Отвечая на незаданный вопрос: да, Dr.Web эти форматы знает. Равно как и многие другие форматы. И да, троянца тоже – под именем Java.Adwind. И, внимание: мы знаем его с 2015 года! Вот такая «свежая» новость.
Не помогла тогда троянцу обфускация…
#антивирусная_проверка #троянец #безопасность #Dr.WebАнтивирусная правДА! рекомендует
Новое – это хорошо забытое старое. Увы, мы неоднократно встречаем одни и те же новости, в которых меняется только дата.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sasha50
08:33:51 2019-01-29
PahomUbuntu
15:01:12 2018-11-15
a13x
16:35:11 2018-10-10
PahomUbuntu
10:03:59 2018-10-05
Fox5540
12:30:58 2018-10-02
Сергей
20:01:51 2018-10-01
Alexander
10:36:48 2018-09-29
eaglebuk
23:04:46 2018-09-28
orw_mikle
22:22:05 2018-09-28
Dvakota
22:17:46 2018-09-28
Lia00
22:08:00 2018-09-28
vla_va
22:03:29 2018-09-28
duduka
22:02:53 2018-09-28
Littlefish
21:47:49 2018-09-28
Уже и новости не хотят рассказать, только даты переставляют :-)
Littlefish
21:42:41 2018-09-28
Можно выпускать свой распаковщик, он сможет распаковывать то, что другим классическим распаковщикам не по зубам :-)
kva-kva
21:26:30 2018-09-28
Andromeda
21:08:10 2018-09-28
Marsn77
21:05:59 2018-09-28
mk.insta
21:02:09 2018-09-28
razgen
20:42:32 2018-09-28
Влад
20:37:43 2018-09-28
Альфа
20:36:07 2018-09-28
МЕДВЕДЬ
20:27:11 2018-09-28
Дмитрий
19:38:24 2018-09-28
Александр
19:17:14 2018-09-28
La folle
19:14:46 2018-09-28
Damir
18:52:36 2018-09-28
b_ice
18:39:05 2018-09-28
Шалтай Александр Болтай
18:24:38 2018-09-28
Геральт
18:15:49 2018-09-28
robot
17:54:47 2018-09-28
BigVal
16:07:55 2018-09-28
Dmur
16:03:52 2018-09-28
Zserg
15:38:47 2018-09-28
I23
15:34:20 2018-09-28
Toma
15:32:54 2018-09-28
Lenba
15:31:10 2018-09-28
marisha-san
15:28:02 2018-09-28
I46
15:27:19 2018-09-28
vinnetou
15:22:30 2018-09-28
Masha
14:39:33 2018-09-28
Alexander
13:58:22 2018-09-28
В моём понимании комплексный антивирус Dr.Web - это не просто универсальный распаковщик, как написано в статье, "способный распаковать архив, за который не возьмётся ни один разархиватор". Говоря "заумными" словами, наш въедливый и принципиальный Spider попавшийся подозрительный файл и диссимилирует, и дезинтегрирует, и, при необходимости, аннигилирует. С ним спокойно и уютно. В компании с Dr.Web Security Space даже весело взглянуть на старые страшилки из прошлого далёко.
kozinka.ru
13:36:43 2018-09-28
kozinka.ru
13:34:42 2018-09-28
EvgenyZ
13:24:24 2018-09-28
razgen
13:03:37 2018-09-28
ну очень жёсткое заключение
вашего сегодняшнего произведения.
anatol
12:52:22 2018-09-28
Biggurza
12:35:32 2018-09-28
Ох, любят там всё тоже повторять.
На кой мне ляд выписывать газеты,
Когда могу их старые читать?
И в новости не будет что-то ново,
Не будет потревожен мой покой.
Но если дату нужную проставить,
То новость заблистает новизной.
Вот так вот, так сказать, нахально,
Как после нам расскажут «скорняки»,
Под новой шкурой полунелегально,
Вдруг старые окажутся жуки.
И нежно так, лаская трехэтажным,
Любя и в настроении слегка,
Мой Dr.Web, с особым эпатажем,
Излечит и такого мудака!
Татьяна
12:15:54 2018-09-28
Денисенко Павел Андреевич
12:00:14 2018-09-28