Новый способ использовать антивирус в качестве оружия
Группа инженеров из Германии выяснила, что антивирусная программа регулярно удаляет и совершенно безобидные файлы, если на них нанесена маркировки той сигнатуры, которая присутствует в базе антивирусного ПО.
В связи с этим ученые вынесли на обсуждение предложение: вычленять определенные сигнатуры из библиотеки особым способом, результатом чего стало удаление коммерческими антивирусами файлов cookie и безобидных писем, в которые изначально были встроены нужные сигнатуры. Получается, что некоторые коммерческие антивирусные ПО сами являются незащищенными и могут использоваться для противоправных действий в Сети.
Сканер антивируса реагирует на обычные файлы, переводя их в число вредоносных, после чего ошибочно обезвреживает их, что может привести к самым неожиданным, а порой и плачевным последствиям.
В процессе сканирования файлов программное обеспечение антивируса отыскивает в исследуемых элементах вредоносный код, сравнивая его с той коллекцией сигнатур, которая имеется в его базе. При обнаружении совпадений файл признается опасным и обезвреживается любым доступным конкретному программному обеспечению способом.
По мнению исследователей, злоумышленник, при наличии определенных знаний и навыков, без особого труда может выбрать из библиотеки антивирусного ПО образцы кода, после чего добавить один из полученных фрагментов к файлу, который никакой угрозы не представляет, благодаря чему он будет распознаваться в ходе сканирования как опасный. Таким образом немецкие инженеры уже извлекли сигнатуры из библиотек нескольких антивирусов, названия которых держатся в секрете, что было сделано ими без особого труда за счет уязвимости исходного кода, который оказался открытым.
Применение извлеченных таким способом сигнатур для пометок на безвредных файлах позволило удалить некоторые важные приложения и подобрать пароль на компьютере «жертвы», не вызывая никаких подозрений. На данный момент ничто не мешает сделать то же самое нечистым на руку пользователям, которых, возможно, останавливает только незнание конкретного ПО, сопровождающегося подобными уязвимостями.
Примечательно, что в процессе проведения данного исследования использовался авторский метод разработчиков, позволяющий извлекать сигнатуры из базы антивируса. Предварительно разработав несколько образцов кода, в основе которых сосредоточено заведомо вредоносное ПО, они просканировали их и выявили тем самым, какие из них антивирусная программа воспринимает в качестве опасных. Далее были вычленены те байты, на которые реагировало ПО, и посредством их соединения удалось получить уже готовые сигнатуры.