Лаборатория Касперского» рассказала о MalWare 2.0

Printable View

10.12.2008, 17:59
SDA

Лаборатория Касперского» рассказала о MalWare 2.0

«Лаборатория Касперского» представила аналитическую статью «Буткит: вызов 2008», посвященную одному из последних инцидентов 2008 года, демонстрирующих опасность MalWare 2.0.

Как отмечается в статье, развитие MalWare 2.0 порождает ряд проблем для антивирусной индустрии. Одной из важнейших является проблема неспособности традиционных антивирусных решений, основанных исключительно на сигнатурном или эвристическом методах анализа файлов, надежно противодействовать атакам MalWare 2.0, не говоря уже о неспособности таких решений лечить пораженные системы.

После создания буткит стал технологическим прорывом в индустрии вирусописательства, а теперь он, кроме всего прочего, оснащен мощными инструментами распространения и функционирования в составе ботнета. Буткит различными способами противодействует выявлению вредоносной программы на ранних стадиях заражения, стремится заразить максимальное число пользователей и препятствует выведению ботнета из строя.

Масштабы организации работы буткита и технологические решения, примененные злоумышленниками, поражают воображение: это низкоуровневое программирование; эксплуатация уязвимостей десятков сторонних программ; переходы из режима загрузки ОС в нулевое, третье кольцо и обратно; создание приложений на C++ для *nix-операционных систем; криптографические протоколы; протоколы авторизации ботов в системе и многое, многое другое.

C полной версией статьи можно ознакомиться [url]http://www.viruslist.com/ru/analysis?pubid=204007635[/url]
10.12.2008, 22:04
ALEX(XX)

[quote=SDA;320579]После создания буткит стал технологическим прорывом в индустрии вирусописательства[/quote]
Ну да.. Прорыв... А времена ДОС уже забыли :) Полиморфные вирусы, которые прописывались в бут-сектор уже забыли. Всё нвовое, это хорошо забытое старое. :smile:
10.12.2008, 23:01
DVi

Ничего не забыто. Алиса Шевченко на Вируслисте писала об этом год назад.
10.12.2008, 23:08
ALEX(XX)

[quote=DVi;320641]Ничего не забыто. Алиса Шевченко на Вируслисте писала об этом год назад.[/quote]
Может и так.. Всё упомнить невозможно. :smile: Я исходил из контекста процитированной мной фразы. Что ж, если я не прав, извините...
10.12.2008, 23:46
V-23

Дядьки, а, дядьки, объясните мне, что такое
[QUOTE=SDA;320579]переходы из режима загрузки ОС в нулевое, третье кольцо и обратно;[/QUOTE]
звучит зловеще, немного напоминает хоббитов и мкад, но не более того...?
:O
10.12.2008, 23:54
Гриша

[url]http://ru.wikipedia.org/wiki/Ring_0[/url]
10.12.2008, 23:55
ALEX(XX)

[quote=V-23;320657]Дядьки, а, дядьки, объясните мне, что такое

звучит зловеще, немного напоминает хоббитов и мкад, но не более того...?
:O[/quote]
Сарумян и Пендальф здесь не при делах...
11.12.2008, 00:22
V-23

спасибо =)
14.12.2008, 16:22
bse

[QUOTE=ALEX(XX);320661]Сарумян и Пендальф здесь не при делах...[/QUOTE]
А это кто?
Извините, после прочтения этой статьи не могу понять, другие антивирусы все еще при делах, или при делах теперь только один касперский? У меня не установлен касперский, и мне страшно.
14.12.2008, 20:23
Ivaemon

[QUOTE=seb;321828]А это кто?
при делах теперь только один касперский? У меня не установлен касперский, и мне страшно.[/QUOTE]
Ужос!!! Каспер в одиночку мужественно противостоит жуткому буткиту, пока остальные в классики играют!..:megalol:
14.12.2008, 22:25
Alex_Goodwin

Играют. Нормально буткит лечат только доктор, каспер и аваст. Остальные курят в сторонке - пишут статейки :)
15.12.2008, 00:16
bse

[B]Alex_Goodwin[/B], спасибо за пояснения.
15.12.2008, 01:46
Ivaemon

Опять лечут... Уж говорилось, что профилактика лучше лечения... а кто просто не дают буткиту запустицца и пресекают заразу, таксказать, на корню? Небось, все?
15.12.2008, 02:24
Alex_Goodwin

Глупый вопрос.. Есть детект - есть пресечение :) Нет детекта - есть проактивка - есть пресечение и т.д. В статье просто разжевывается, что только многослойная защита рулит - патчи, вэб-ав, эвристик, проактивка. А если и это все не спасло - тогда детект, тогда, когда пришли сигнатуры, и лечение. Поэтому "однослойные" решения ущербны - безопасность - это комплексное мероприятие.
15.12.2008, 04:27
Ivaemon

Ну хорошо, пусть [B]многослойная защита[/B] - у кого еще, кроме Каспера, на эту весчь имеется? На тот же русток, к примеру, и его родственничков...
15.12.2008, 09:43
eifory

Интересная статья. В условиях рецессии в экономике постоянно совершенствующееся вредное ПО всегда даст работу техническому специалисту :)
15.12.2008, 11:59
V.P.

Да, да. Интересная статья.
Ею многие заинтересовались и обсуждают
[url]http://www.anti-malware.ru/forum/index.php?showtopic=6159[/url]
[url]http://live.cnews.ru/forum/index.php?showtopic=49307&st=34[/url]
16.12.2008, 00:03
Alexey P.

1. Статья - чистый пиар, не более. Всё скорректировано по непонятным мне (корпоративным ?) причинам до безобразия.
По срокам и источникам - не выдерживает вообще никакой критики:
[QUOTE]
- Упоминания о сайтах с адресами вида ***.com/cgi-bin/index.cgi?dx встречаются в интернете приблизительно с начала июня 2008 года – в жалобах владельцев и посетителей легальных сайтов на странные ссылки, появившиеся на доверенных ресурсах. Выяснилось, что таких «центров заражения» в интернете существует довольно много, однако, несмотря на обилие доменных имен, все они размещены на одних и тех же серверах.
[/QUOTE]
Буткит распространялся, начиная с конца ноября 2007 года. С марта 2008 уже работала отлаженная система, конвейер, хорошо известная всем антивирусам.
Менялись лишь сайты, да и те по известным алгоритмам.
Эта система была убита 4 ноября.

Моё впечатление - это не статья, а довольно далекий от истины художественный вымысел :).