-
Антивирусы не хотят отказываться от хакерских приемов
Несмотря на то, что эксперты уже не раз обвиняли некоторых производителей антивирусного ПО в использовании хакерских руткит-технологий, последние не собираются отказываться от них. Чаще других критике подвергаются "Лаборатория Касперского" и Symantec.
Термин руткит (rootkit) исторически пришёл из мира UNIX, под ним понимается набор программных средств, которые хакер устанавливает на взломанном компьютере, чтобы закрепиться во взломанной системе и скрыть следы своей деятельности. Этот набор, как правило, включает в себя разнообразные утилиты для заметания следов и вторжения в систему. По мнению Марка Руссиновича, главного архитектора программного обеспечения Winternals Softwear, в антивирусных продуктах «Лаборатории Касперского» используются руткит-технологии, непригодные с точки зрения экспертов по компьютерной безопасности. Речь идет о продуктах, использующих NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера.
Однако в «Лаборатории Касперского» не согласны с обвинениями: «Думаю, нам следует четко различать вредоносные руткит-технологии и технологии сокрытия, — комментирует Евгений Касперский. — В наших продуктах действительно используется технология iStreams, о которой и говорит Марк Руссинович, но мы не считаем эту технологию руткитом и не верим, что ею могут воспользоваться хакеры или вредоносные программы. Ведь если „Антивирус Касперского“ запущен, то потоки скрыты, и ни один другой процесс, включая системные, не может получить к ним доступа. Наши продукты используют технологию iStreams для увеличения производительности. Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков».
Аналогичные упреки Марка Руссиновича были высказаны и в адрес еще одного производителя защитных программных комплексов — компании Symantec, регулярно рассказывающей в своих блогах о новых хакерских руткит-приемах. Symantec использует методы маскировки для сокрытия каталога, в котором хранятся резервные копии файлов. В принципе, подобные приемы маскировки дают возможность хакерам скрыть свои вредоносные программы в системе. Однако в Symantec уверяют, что это сделано для того, чтобы предохранить файлы от случайного удаления пользователем, и уже реализована функция отключения маскировки.
Впрочем, не все компании используют руткит-технологии - например, российский производитель антивирусного ПО — «Доктор Веб». Как прокомментировали CNews в компании, «у нас нет целей скрывать наши файлы или процессы». «Вообще говоря, такая технология может быть применена и антивирусными продуктами с целью более эффективного обнаружения и лечения инфекции, особенно так называемых руткитов и stealth-вирусов, — отмечают разработчики из „Доктор Веба“. — В нашей компании ведутся исследования по применению подобных технологий, но они не применяются в наших коммерческих продуктах и носят, скорее, научный характер».
CNews.ru
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
У Веба научный характер,а у троянов давно уже практический..
-
-
Junior Member
- Вес репутации
- 72
В корню не согласен со
Марка Руссиновича, главного архитектора программного обеспечения Winternals Softwear
,зачем юзеру видеть антивирус,то есть что там у него есть и т.п. и т.д.?Чтобы он запорол?Дальше,если всё будет как на ладони,но вирусу будет легче погасить антивирус,а так он скрыт тот скрныт и так хоть долбится будут ,а так тот скрыт он ему по шапке даст из под тишка и аминь антивирусу.Используют и прально делают!Хотя нортон как обчно Г,но каспер как пока лучший был,лучшим и остался.А то что Вэб не использует это говрит что они просто нашли другой путь.ИМХО.
I live to serve,and serve to live.
-
Защитный драйвер Доктора ничего скрывать не будет, но и убить не даст. Такая у них задумка.
-
-
Visiting Helper
- Вес репутации
- 76
Убить можно все Ж) Надо только загрузить вирусный драйвер Ж)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-