Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (42)
  • добавить в избранное
    Добавить в закладки

Хорошо забытое старое

Прочитали: 1207 Комментариев: 83 Рейтинг: 89

И в новости не будет что-то ново,
Не будет потревожен мой покой.
Но если дату нужную проставить,
То новость заблистает новизной.

Участник проекта Biggurza

Новость из разряда «горячих»:

В трояне Adwind, ранее использовавшемся в атаках на промышленные предприятия по всему миру, появился набор новых инструментов, предназначенных для обхода антивирусных программ.

Особый интерес представляет новая функция внедрения кода Dynamic Data Exchange (DDE), целью которой является компрометация Microsoft Excel и обход антивирусных решений.

Злоумышленники отправляют вредоносные сообщения, содержащие вложения в формате .CSV или .XLT, которые открываются Excel по умолчанию.

По словам специалистов, новый метод был реализован в целях обфускации. В начале файла нет заголовка, который нужно проверить, что может, в свою очередь, запутать антивирусное программное обеспечение, которое ожидает, что символы ASCII будут присутствовать в формате CSV.

Вместо того, чтобы обнаруживать файл как вредонос, антивирусное программное обеспечение может просто рассматривать файл как поврежденный.

https://www.securitylab.ru/news/495682.php

Вообще, обфускация – это запутывание кода, прием, когда части вредоносного ПО перемешиваются внутри исполняемого файла, чтобы нельзя было восстановить исходный код и найти известную сигнатуру. При чем тут она – непонятно. Судя по новости, используется обычное сокрытие.

Переводя на русский: злоумышленники помещают вредоносный код в файлы формата .CSV или .XLT так, что файл стороннему наблюдателю кажется «битым». Антивирус пугается и не проверяет его.

Если бы все обстояло так, обходить антивирус было бы совсем просто. Берешь любой файл с известным форматом и нарушаешь его структуру. Так вот: все обстоит с точностью до наоборот. Антивирус обязан разбирать любые файлы, даже если они выглядят безнадежно поврежденными. Именно поэтому антивирус – это универсальный распаковщик, способный распаковать архив, за который не возьмется ни один разархиватор.

Отвечая на незаданный вопрос: да, Dr.Web эти форматы знает. Равно как и многие другие форматы. И да, троянца тоже – под именем Java.Adwind. И, внимание: мы знаем его с 2015 года! Вот такая «свежая» новость.

#drweb

Не помогла тогда троянцу обфускация…

#антивирусная_проверка #троянец #безопасность #Dr.Web

Dr.Web рекомендует

Новое – это хорошо забытое старое. Увы, мы неоднократно встречаем одни и те же новости, в которых меняется только дата.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: