Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Пограничники бдят!

Прочитали: 998 Комментариев: 51 Рейтинг: 60

Злоумышленники уже научились обходить традиционные средства защиты. Например, для обхода антивирусов они обфусцируют вредоносный код и подписывают его легитимным сертификатом.

Источник

Автор этого выпуска немного перфекционист, поэтому фраза «для обхода антивирусов они обфусцируют вредоносный код» его, мягко говоря, подбешивает. Эта формулировка в различных вариациях используется часто – и она совершенно некорректна.

Дело в том, что в данном случае возможны две ситуации с пропуском вредоносной программы. Первая: ВПО прячется в сервисе, который не контролируется антивирусом (помнится, в древние времена был концепт, который делал так, что одно ядро процессора обслуживало только его). И второй, когда известная антивирусу вредоносная программа модифицируется так, чтобы новая сигнатура отличалась от старой. Для этого файл можно упаковать, обфусцировать (перемешать код) и т. д. И вот именно второй подход называют обходом.

Но это не обход. Антивирус видит программу с измененной сигнатурой, но, проверив код, не реагирует. Вы скажете: какая разница – что так, что эдак – итог один, пропуск. Однако разница есть, и даже две.

Во-первых, необнаружение новой модификации известной программы решается просто обновлением вирусных баз, которое происходит быстро и незаметно для пользователя. Новый же метод контроля – это новая версия антивируса, требование его обновления. А этого пользователи не любят (и не делают).

Второе. Дело в том, что модификации кода программы обманывают методы проверки с помощью вирусных баз. Но после этой проверки вредоносная программа не выходит из-под контроля антивируса. Дальше вступает в силу контроль ее поведения – Превентивная защита.

В ней нет привычных сигнатурных баз, хотя обновления тем не менее выходят, правда не с такой частотой, как для антивирусных баз. Обновляются при этом не антивирусные базы, а алгоритмы превентивной защиты и анализа поведения процессов, базы доверенных приложений.

Условно Превентивная защита держит определенные области системы под наблюдением и следит за всеми исполняемыми процессами, как, что и в какой последовательности исполняется. Кто запускает, какие родительские и какие дочерние процессы исполняется при запуске того или иного файла, откуда и кем был запущен файл и т. д. Это довольно сложный механизм с комплексным подходом, направленный как раз на то, чтобы заблокировать внедрение в систему вредоносного кода, который не может быть распознан стандартным сигнатурным антивирусом.

Детальную информацию рассказать не смогу, т. к. во-первых это коммерческая тайна, а во-вторых алгоритмов слишком много и они слишком разные, чтобы их вообще можно было описать.

Есть и аспекты.

Условный запуск .bat файла может быть не распознан, если Вы просто скачали его на компьютер, скопировали в какую-то папку и затем запустили его, как администратор. Т. е. порядок действий свидетельствует о том, что администратор самостоятельно проводит все манипуляции с указанным файлом и предположительно знает его природу и свойства, манипулируя с объектом.

При этом данный .bat файл вполне может быть распознан, если будет загружен в систему неким заданием во временную папку и попытается оттуда запуститься. В этом случае подобное поведение подозрительно и может быть распознано, как вредоносное, в зависимости от последующих действий.

Т. е. имеет значение не только и не столько «что» Вы запускаете, но и «как» Вы это делаете. И делаете ли это Вы, либо действия производятся автоматически от имени или с правами системы.

Из ответа специалиста технической поддержки «Доктор Веб»

Так что все под контролем. Пограничники бдят!

#вредоносное_ПО #настройки_Dr.Web #превентивная_защита #технологии_Dr.Web

Dr.Web рекомендует

Не отключайте Превентивную защиту – это важный рубеж обороны от модифицированных вредоносных программ.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: