www.anti-virus.by  / пресс-центр / новости иб ENGНа главнуюНаписать письмоПоискКарта сайта
  ВирусБлокАда  
ПОИСК ПО САЙТУ
Перейти к просмотру корзины В корзине:
0 прод.
 
Рекламный баннер выбирай беларусский антивирус
 
 

НОВОСТИ ИБ

 

21 июля 2006

Symantec: В Сети появился руткит нового поколения

Новый "троянский конь" настолько хорошо прячется, что, по мнению некоторых экспертов, открывает новую главу в их войне с авторами вредоносного кода.
Вредитель, которого Symantec называет Rustock, а F-Secure - Mailbot.AZ, использует методы руткитов, чтобы избежать обнаружения средствами безопасности. "Его можно считать первым из руткитов нового поколения, - писал в блоге в конце прошлого месяца инженер по безопасности Symantec Элиа Флорио. - Rustock.A представляет собой комбинацию старых методов и новых идей, которые в сочетании рождают вредоносное ПО, достаточно скрытное, чтобы оставаться необнаруженным многими детекторами руткитов".
Руткиты считаются угрозой нового типа. Они применяются для внесения в систему изменений с целью скрыть ПО, которое может быть вредоносным. В случае Rustock, или Mailbot.AZ, технология руткита применялась для того, чтобы спрятать троянского коня, открывающего лазейку в зараженную систему, передавая ее в полное распоряжение злоумышленника.
В ходе продолжающейся гонки с производителями ПО безопасности создатели этого последнего руткита, похоже, хорошо изучили внутреннее устройство инструментов защиты, говорит Крейг Шмага, менеджер по исследованию вирусов McAfee, которая называет данный руткит PWS-JM.
"Секьюрити-фирмы стараются оставаться на шаг впереди злоумышленников, но у тех уже есть технология, которую предлагают поставщики средств защиты, - говорит он. - Они объединили разные методы, что делает эту угрозу особенно опасной. Они хорошо поработали над тем, чтобы замести следы".
Сочетание методов укрытия делает Rustock "абсолютно невидимым после установки на целевом компьютере", даже если на нем работает ранняя версия Windows Vista", пишет Флорио из Symantec. "Мы считаем это выдающимся примером сокрытия вредоносного кода".
Чтобы избежать обнаружения, Rustock не запускает системные процессы, а исполняет свой код внутри потоков драйверов и ядра. Вместо скрытых файлов он использует чередующиеся потоки данных и избегает интерфейсов прикладных программ. Современные инструменты обнаружения ищут системные процессы, скрытые файлы и цепляются за API.
Проверки на целостность некоторых структур ядра, выполняемые детекторами руткитов, и их попытки обнаружить скрытые драйверы в случае Rustock также ни к чему не приводят. Более того, драйвер SYS, который использует руткит, полиморфичен и от копии к копии изменяет свой код.
И все же вероятность быть атакованным этим руткитом и вредоносным троянским конем, который он переносит, невелика. "О нем пишут не из-за его активности, а потому, что он создает большие проблемы для существующих инструментов обнаружения руткитов", - говорит Шмага. Symantec и F-Secure также отмечают, что данная угроза не получила широкого распространения.
Securitylab

Все новости | Сентябрь 2019 | Август 2019 | Июль 2019 | Июнь 2019 | Май 2019 | Апрель 2019 | Март 2019 | Февраль 2019 | Январь 2019 | Декабрь 2018 | Ноябрь 2018 | Октябрь 2018 | Сентябрь 2018 | Август 2018 | Июль 2018 | Июнь 2018 | Май 2018 | Апрель 2018 | Март 2018 | Февраль 2018 | Январь 2018 | Декабрь 2017 | Ноябрь 2017 | Октябрь 2017 | Сентябрь 2017 | Август 2017 | Июль 2017 | Июнь 2017 | Май 2017 | Апрель 2017 | Март 2017 | Февраль 2017 | Август 2014 | Март 2014 | Февраль 2014 | Январь 2014 | Декабрь 2013 | Ноябрь 2013 | Октябрь 2013 | Сентябрь 2013 | Январь 2013 | Декабрь 2012 | Ноябрь 2012 | Октябрь 2012 | Сентябрь 2012 | Август 2012 | Июль 2012 | Июнь 2012 | Май 2012 | Апрель 2012 | Март 2012 | Февраль 2012 | Январь 2012 | Декабрь 2011 | Ноябрь 2011 | Октябрь 2011 | Сентябрь 2011 | Август 2011 | Июль 2011 | Июнь 2011 | Май 2011 | Сентябрь 2010 | Август 2010 | Июль 2010 | Июнь 2010 | Май 2010 | Апрель 2010 | Март 2010 | Февраль 2010 | Январь 2010 | Декабрь 2009 | Ноябрь 2009 | Октябрь 2009 | Сентябрь 2009 | Август 2009 | Июль 2009 | Июнь 2009 | Май 2009 | Апрель 2009 | Март 2009 | Февраль 2009 | Январь 2009 | Декабрь 2008 | Ноябрь 2008 | Октябрь 2008 | Сентябрь 2008 | Август 2008 | Июль 2008 | Июнь 2008 | Май 2008 | Апрель 2008 | Март 2008 | Февраль 2008 | Январь 2008 | Декабрь 2007 | Ноябрь 2007 | Октябрь 2007 | Сентябрь 2007 | Август 2007 | Июль 2007 | Июнь 2007 | Май 2007 | Апрель 2007 | Март 2007 | Февраль 2007 | Январь 2007 | Ноябрь 2006 | Октябрь 2006 | Сентябрь 2006 | Август 2006 | Июль 2006 | Июнь 2006 | Май 2006 | Апрель 2006 | Март 2006 | Февраль 2006 | Январь 2006 | Декабрь 2005 | Ноябрь 2005 | Октябрь 2005 | Сентябрь 2005 | Август 2005 | Июль 2005 | Июнь 2005 | Май 2005 | Апрель 2005 | Март 2005 | Апрель 2004 | Март 2004 | Февраль 2004
 
КОНТАКТЫ
220088, РБ, Минск, ул. Смоленская, 15 — 803б
телефон: (+375 17) 294-84-29 (коммерческий отдел)
телефон: (+375 17) 290-59-29 (технический отдел)
E-mail: info@anti-virus.by
Прислать вирус: feedback@anti-virus.by
Для локального компьютераДля рабочей станции в сетиПрограммный комплекс КАНОЭКонсольный сканерДля файловых серверовАвтоматизированное управление и обновлениеЗащита почтовых системЗащита интернет-шлюзовУтилитыКупить
Антивирус
Антивирус на месяцИмпортозамещениеПоддержка образованияПоддержка медициныДисконтная система «Клубная карта ХК «Динамо-Минск»
Основные сведенияБлогЛицензии и сертификатыКлиентыПартнерыУслугиВакансии
Новости компанииПродукты и обновленияНовости ИБПресс-китПодписка на рассылку
БеларусьУкраинаПриглашение к сотрудничеству