Но это не точно
сәренбі, 29 мамыр 2019 ж.
Как же любят авторы новостей фразу «антивирус не способен обнаружить», за которой, как правило, стоит полное непонимание принципов работы антивируса. И ладно бы такие фразы выходили из-под пера журналистов – им простительно, но такие публикации всегда ссылаются на мнение «специалистов по безопасности»!
Как продемонстрировали специалисты Колорадского университета в Боулдере (США), механизм спекулятивного выполнения (его используют, в частности, широко известные уязвимости Meltdown и Spectre, затрагивающие почти все современные процессоры) может использоваться не только для кражи данных, но и сокрытия вредоносных команд.
Новый метод под названием ExSpectre предполагает создание на первый взгляд безопасного приложения, которое не вызовет подозрение у пользователей и антивирусных программ. Но на самом деле бинарные файлы могут быть сконфигурированы (с помощью отдельного «триггер»-приложения, работающего на компьютере) для запуска потока инструкций, который может служить для сокрытия вредоносный команд.
С помощью техники ExSpectre исследователи смогли расшифровать данные в памяти, а также с помощью приложений запустить локальную обратную оболочку и выполнить команды на целевом устройстве.
Согласно словам специалистов, в настоящее время вредоносное ПО класса ExSpectre невозможно обнаружить. В данном случае существующие методы динамического и статического анализа будут неэффективны, поскольку техника ExSpectre усложняет определение функций бинарного файла. На сегодняшний день методов противодействия атакам ExSpectre не существует, по крайней мере на уровне программного обеспечения.
Как следует из новости, была обнаружена еще одна особенность архитектуры современных процессоров, позволяющая запустить некий поток инструкций. Никто не спорит, это может быть опасно. И мы вполне верим, что пользователи могут не увидеть в той или иной программе ничего страшного – пользователи вообще легко устанавливаются любые предложенные злоумышленниками программы по ссылкам из писем. Но правда ли то, что антивирус не может обнаружить подобное вредоносное ПО?
Для ответа на этот вопрос надо разобраться в том, как работает антивирус. Грубо говоря, антивирус использует три метода обнаружения: на основе сигнатур, на основе данных поведенческого анализа и на основе данных репутационного анализа. Все они имеют свои плюсы и минусы, но в данном случае это не важно.
Сигнатурой может быть любая последовательность данных программы. Отсюда следует, что если сигнатура известна, то антивирус возьмет любое ПО – и описываемое выше тоже.
Репутационный анализ – это по сути статистика использования ПО на многих компьютерах. Если некая программа имеет плохую репутацию (скажем, после ее установки на компьютерах начинались проблемы) или она не числится в программах, имеющих репутацию вообще (совсем новая программа), то антивирус ее к запуску не допустит.
Ну и, наконец, поведенческий анализ. Да, антивирус смотрит на поведение программы. И да, он вполне может не отреагировать на некое действие. Почему? Да просто потому, что такое действие не считалось ранее вредоносным.
Антивирусная правДА! рекомендует
Качественный антивирус давно умеет обнаруживать любое вредоносное ПО. Антивирус может не обнаружить что-то исключительно по причине того, что ни одной такой атаки не было. Будут атаки – будут и отчеты об обнаружении.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Filip_s
23:30:54 2020-12-27
Andromeda
20:05:58 2019-07-18
Альфа
17:42:38 2019-07-16
Ilya
14:38:54 2019-06-05
KIM
18:11:31 2019-06-02
Alex
18:44:50 2019-06-01
DrKV
20:48:33 2019-05-30
achemolganskiy
13:12:46 2019-05-30
Sasha50
02:31:21 2019-05-30
razgen
00:50:27 2019-05-30
anatol
22:24:50 2019-05-29
orw_mikle
21:14:46 2019-05-29
Toma
18:41:06 2019-05-29
Шалтай Александр Болтай
18:28:31 2019-05-29
Но это не точно :)
Masha
18:05:33 2019-05-29
Татьяна
17:33:57 2019-05-29
Dmur
16:33:12 2019-05-29
Lenba
16:10:29 2019-05-29
vinnetou
15:48:19 2019-05-29
Tav01rus
15:42:17 2019-05-29
Геральт
15:24:59 2019-05-29
sanek-xf
15:13:52 2019-05-29
Natalya_2017
15:02:38 2019-05-29
SGES
14:42:50 2019-05-29
vkor
14:12:18 2019-05-29
dyadya_Sasha
14:06:54 2019-05-29
I23
13:31:04 2019-05-29
robot
13:15:34 2019-05-29
EvgenyZ
13:12:54 2019-05-29
I46
13:06:50 2019-05-29
Неуёмный Обыватель
13:06:03 2019-05-29
Денисенко Павел Андреевич
13:02:04 2019-05-29
Zserg
12:53:03 2019-05-29
marisha-san
12:48:17 2019-05-29
Vlad X
08:24:08 2019-05-29
Alexander
08:20:34 2019-05-29
Так и страшилка о том, что найден некий программный алгоритм, код, вирус, метод (например, ExSpectre), которые "неподвластны" любой самой продвинутой комплексной антивирусной защите. Подобные информационные фейки демонстрируют лишь поверхностность и отсутствие понимания у их авторов в среде СМИ. Но они поднимают тираж и привлекают внимание к источнику их распространения, что выгодно издателю. А факт возможного введения читателей в заблуждение этих мастеров-сочинителей мыльных пузырей совершенно не волнует. Они просто "делают деньги".
Статья Антивирусной правды, естественно, не может глубоко и полностью описать разнообразные технологии работы антивируса. Но и написанного вполне достаточно для понимания сути и способов борьбы добра со злом на цифровом поле.
Прекрасный продукт - Dr.Web Security Space, - надёжный и "всеядный" для любой новейшей цифровой нечисти, ему можно доверять! Его очень полезно иметь на своём компьютере…
Пaвeл
07:34:40 2019-05-29
Любитель пляжного футбола
06:56:10 2019-05-29
Korney
06:40:47 2019-05-29
L1t1um
06:10:37 2019-05-29
ka_s
06:07:22 2019-05-29
tigra
04:23:33 2019-05-29