Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Пограничники бдят!

Прочитали: 7228 Комментариев: 51 Рейтинг: 74

14 мая 2020

Злоумышленники уже научились обходить традиционные средства защиты. Например, для обхода антивирусов они обфусцируют вредоносный код и подписывают его легитимным сертификатом.

Источник

Автор этого выпуска немного перфекционист, поэтому фраза «для обхода антивирусов они обфусцируют вредоносный код» его, мягко говоря, подбешивает. Эта формулировка в различных вариациях используется часто – и она совершенно некорректна.

Дело в том, что в данном случае возможны две ситуации с пропуском вредоносной программы. Первая: ВПО прячется в сервисе, который не контролируется антивирусом (помнится, в древние времена был концепт, который делал так, что одно ядро процессора обслуживало только его). И второй, когда известная антивирусу вредоносная программа модифицируется так, чтобы новая сигнатура отличалась от старой. Для этого файл можно упаковать, обфусцировать (перемешать код) и т. д. И вот именно второй подход называют обходом.

Но это не обход. Антивирус видит программу с измененной сигнатурой, но, проверив код, не реагирует. Вы скажете: какая разница – что так, что эдак – итог один, пропуск. Однако разница есть, и даже две.

Во-первых, необнаружение новой модификации известной программы решается просто обновлением вирусных баз, которое происходит быстро и незаметно для пользователя. Новый же метод контроля – это новая версия антивируса, требование его обновления. А этого пользователи не любят (и не делают).

Второе. Дело в том, что модификации кода программы обманывают методы проверки с помощью вирусных баз. Но после этой проверки вредоносная программа не выходит из-под контроля антивируса. Дальше вступает в силу контроль ее поведения – Превентивная защита.

В ней нет привычных сигнатурных баз, хотя обновления тем не менее выходят, правда не с такой частотой, как для антивирусных баз. Обновляются при этом не антивирусные базы, а алгоритмы превентивной защиты и анализа поведения процессов, базы доверенных приложений.

Условно Превентивная защита держит определенные области системы под наблюдением и следит за всеми исполняемыми процессами, как, что и в какой последовательности исполняется. Кто запускает, какие родительские и какие дочерние процессы исполняется при запуске того или иного файла, откуда и кем был запущен файл и т. д. Это довольно сложный механизм с комплексным подходом, направленный как раз на то, чтобы заблокировать внедрение в систему вредоносного кода, который не может быть распознан стандартным сигнатурным антивирусом.

Детальную информацию рассказать не смогу, т. к. во-первых это коммерческая тайна, а во-вторых алгоритмов слишком много и они слишком разные, чтобы их вообще можно было описать.

Есть и аспекты.

Условный запуск .bat файла может быть не распознан, если Вы просто скачали его на компьютер, скопировали в какую-то папку и затем запустили его, как администратор. Т. е. порядок действий свидетельствует о том, что администратор самостоятельно проводит все манипуляции с указанным файлом и предположительно знает его природу и свойства, манипулируя с объектом.

При этом данный .bat файл вполне может быть распознан, если будет загружен в систему неким заданием во временную папку и попытается оттуда запуститься. В этом случае подобное поведение подозрительно и может быть распознано, как вредоносное, в зависимости от последующих действий.

Т. е. имеет значение не только и не столько «что» Вы запускаете, но и «как» Вы это делаете. И делаете ли это Вы, либо действия производятся автоматически от имени или с правами системы.

Из ответа специалиста технической поддержки «Доктор Веб»

Так что все под контролем. Пограничники бдят!

#вредоносное_ПО #настройки_Dr.Web #превентивная_защита #технологии_Dr.Web

Антивирусная правДА! рекомендует

Не отключайте Превентивную защиту – это важный рубеж обороны от модифицированных вредоносных программ.

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: