Новый способ использовать антивирус в качестве оружия

Группа инженеров из Германии выяснила, что антивирусная программа регулярно удаляет и совершенно безобидные файлы, если на них нанесена маркировки той сигнатуры, которая присутствует в базе антивирусного ПО.

Новый способ использовать антивирус в качестве оружияВ связи с этим ученые вынесли на обсуждение предложение: вычленять определенные сигнатуры из библиотеки особым способом, результатом чего стало удаление коммерческими антивирусами файлов cookie и безобидных писем, в которые изначально были встроены нужные сигнатуры. Получается, что некоторые коммерческие антивирусные ПО сами являются незащищенными и могут использоваться для противоправных действий в Сети.

Сканер антивируса реагирует на обычные файлы, переводя их в число вредоносных, после чего ошибочно обезвреживает их, что может привести к самым неожиданным, а порой и плачевным последствиям.

В процессе сканирования файлов программное обеспечение антивируса отыскивает в исследуемых элементах вредоносный код, сравнивая его с той коллекцией сигнатур, которая имеется в его базе. При обнаружении совпадений файл признается опасным и обезвреживается любым доступным конкретному программному обеспечению способом.

По мнению исследователей, злоумышленник, при наличии определенных знаний и навыков, без особого труда может выбрать из библиотеки антивирусного ПО образцы кода, после чего добавить один из полученных фрагментов к файлу, который никакой угрозы не представляет, благодаря чему он будет распознаваться в ходе сканирования как опасный. Таким образом немецкие инженеры уже извлекли сигнатуры из библиотек нескольких антивирусов, названия которых держатся в секрете, что было сделано ими без особого труда за счет уязвимости исходного кода, который оказался открытым.

Применение извлеченных таким способом сигнатур для пометок на безвредных файлах позволило удалить некоторые важные приложения и подобрать пароль на компьютере «жертвы», не вызывая никаких подозрений. На данный момент ничто не мешает сделать то же самое нечистым на руку пользователям, которых, возможно, останавливает только незнание конкретного ПО, сопровождающегося подобными уязвимостями.

Примечательно, что в процессе проведения данного исследования использовался авторский метод разработчиков, позволяющий извлекать сигнатуры из базы антивируса. Предварительно разработав несколько образцов кода, в основе которых сосредоточено заведомо вредоносное ПО, они просканировали их и выявили тем самым, какие из них антивирусная программа воспринимает в качестве опасных. Далее были вычленены те байты, на которые реагировало ПО, и посредством их соединения удалось получить уже готовые сигнатуры.

15.05.2017 / Новости
Похожие записи

Добавить комментарий

Компьютерные советы

Здравствуйте, меня зовут Евгений, я много лет занимаюсь ремонтом компьютеров и уже накопил немалый опыт в этом деле. И этим опытом я решил поделиться с Вами. На моем сайте представлены различные советы и хитрости по использованию тех или иных операционных систем, история компьютеров и вообще любая информация, которая хоть как то связана с компьютерами.

Я не претендую на истину в первой инстанции, я просто человек и могу ошибаться,  а так же иметь свой собственный взгляд на какие либо вещи, который может отличаться от общепринятого.

Я постараюсь излагать информацию на моем сайте максимально просто и доступно, не перегружать ее техническими терминами, для того чтобы она была доступна и понятна максимальному количеству пользователей, в первую очередь, конечно, для начинающих.

Желаю приятной навигации по сайту. Читайте, комментируйте, и конечно указывайте мне на мои ошибки, которые наверняка будут встречаться, вместе мы сделаем сайт лучше.