Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (57)
  • добавить в избранное
    Добавить в закладки

Но это не точно

Прочитали: 17270 Комментариев: 42 Рейтинг: 68

2019 ж. 29 мамыр, сәрсенбі

Как же любят авторы новостей фразу «антивирус не способен обнаружить», за которой, как правило, стоит полное непонимание принципов работы антивируса. И ладно бы такие фразы выходили из-под пера журналистов – им простительно, но такие публикации всегда ссылаются на мнение «специалистов по безопасности»!

Как продемонстрировали специалисты Колорадского университета в Боулдере (США), механизм спекулятивного выполнения (его используют, в частности, широко известные уязвимости Meltdown и Spectre, затрагивающие почти все современные процессоры) может использоваться не только для кражи данных, но и сокрытия вредоносных команд.

Новый метод под названием ExSpectre предполагает создание на первый взгляд безопасного приложения, которое не вызовет подозрение у пользователей и антивирусных программ. Но на самом деле бинарные файлы могут быть сконфигурированы (с помощью отдельного «триггер»-приложения, работающего на компьютере) для запуска потока инструкций, который может служить для сокрытия вредоносный команд.

С помощью техники ExSpectre исследователи смогли расшифровать данные в памяти, а также с помощью приложений запустить локальную обратную оболочку и выполнить команды на целевом устройстве.

Согласно словам специалистов, в настоящее время вредоносное ПО класса ExSpectre невозможно обнаружить. В данном случае существующие методы динамического и статического анализа будут неэффективны, поскольку техника ExSpectre усложняет определение функций бинарного файла. На сегодняшний день методов противодействия атакам ExSpectre не существует, по крайней мере на уровне программного обеспечения.

Источник

Как следует из новости, была обнаружена еще одна особенность архитектуры современных процессоров, позволяющая запустить некий поток инструкций. Никто не спорит, это может быть опасно. И мы вполне верим, что пользователи могут не увидеть в той или иной программе ничего страшного – пользователи вообще легко устанавливаются любые предложенные злоумышленниками программы по ссылкам из писем. Но правда ли то, что антивирус не может обнаружить подобное вредоносное ПО?

Для ответа на этот вопрос надо разобраться в том, как работает антивирус. Грубо говоря, антивирус использует три метода обнаружения: на основе сигнатур, на основе данных поведенческого анализа и на основе данных репутационного анализа. Все они имеют свои плюсы и минусы, но в данном случае это не важно.

Сигнатурой может быть любая последовательность данных программы. Отсюда следует, что если сигнатура известна, то антивирус возьмет любое ПО – и описываемое выше тоже.

Репутационный анализ – это по сути статистика использования ПО на многих компьютерах. Если некая программа имеет плохую репутацию (скажем, после ее установки на компьютерах начинались проблемы) или она не числится в программах, имеющих репутацию вообще (совсем новая программа), то антивирус ее к запуску не допустит.

Ну и, наконец, поведенческий анализ. Да, антивирус смотрит на поведение программы. И да, он вполне может не отреагировать на некое действие. Почему? Да просто потому, что такое действие не считалось ранее вредоносным.

#антивирус #вредоносное_ПО #уязвимость #миф

Антивирусная правДА! рекомендует

Качественный антивирус давно умеет обнаруживать любое вредоносное ПО. Антивирус может не обнаружить что-то исключительно по причине того, что ни одной такой атаки не было. Будут атаки – будут и отчеты об обнаружении.

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей