Вирусы, трояны, червяки, шпионский код, руткиты — они все очень обожают Windows.
Методика такая: на вход антивируса посылается безобидный код, проходящий все защитные барьеры, но, до того как он начнет исполняться, делается его замена на вредоносную составляющую. Понятно, подмена должна произойти строго в подходящий момент, но на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить деяния параллельных потоков. В конечном итоге может быть околпачат практически хоть какой Windows-антивирус.Руткит работает в этом случае, если антивирусное ПО употребляет таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения конфигураций в участки ядра операционной системы. Так как все современные защитные средства оперируют на уровне ядра, атака работает на 100%, при этом даже в этом случае, если Windows запущена под учётной записью с ограниченными возможностями.
Совместно с тем руткит просит загрузки огромного объёма кода на атакуемую машину, потому он неприменим, когда требуется сохранить скорость и незаметность атаки. Не считая того, злодей должен располагать возможностью выполнения двоичного файла на мотивированном компьютере.
Методика может быть скомбинирована с классической атакой на уязвимую версию Acrobat Reader либо Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности целей. Ну а потом взломщик свободен и совсем убить все защитные барьеры, стопроцентно удалив из системы мешающий антивирус.
Текст: Юрий Стрельченко
Подготовлено по материалам The Register.
ужс я даже не могу представить как это больно 