Технологии для взлома антивируса
Чтобы заразить компьютер вредоносной программой, киберпреступникам необходимо: В то же время киберпреступники пытаются сделать так, чтобы никакие антивирусные продукты, установленные на компьютере пользователя, не могли обнаружить их программы. Чтобы увеличить вероятность достижения своих целей, киберпреступники разработали целый ряд технологий противодействия антивирусному программному обеспечению, в том числе: Другие статьи и ссылки, связанные с вредоносными программами и антивирусными решениями
Технологии, используемые для борьбы с антивирусным ПО
Большинство червей и троянских программ упаковываются и подвергаются шифрованию. Для упаковки и шифрования хакеры разрабатывают специальные утилиты. Каждый файл, упакованный с помощью CryptExe, Exeref, PolyCrypt и некоторых других утилит, является вредоносным.
Чтобы обнаруживать упакованные и зашифрованные черви и троянские программы, антивирусная программа должна иметь в своем арсенале либо соответствующие технологии распаковки и дешифрования, либо сигнатуры для каждого образца вредоносной программы.
Вирусописатели стараются маскировать свои вредоносные программы, подвергая их код «замусориванию», чтобы код принимал другой вид, но при этом сохранялся весь исходный функционал троянца. Иногда мутация кода происходит в реальном времени во всех или почти всех случаях загрузки троянской программы с зараженного веб-сайта. В почтовом черве Warezov была использована эта технология, что стало причиной серьезных эпидемий.
Руткит-технологии, которые обычно используются в троянцах, позволяют перехватывать и подменять системные функции, чтобы сделать зараженный файл невидимым для операционной системы и антивирусных программ. Иногда вредоносной программе удается скрыть даже разделы реестра, в которых зарегистрирована троянская программа, и другие системные файлы. Троянец-бэкдор HacDef — пример вредоносного кода, использующего эти методы.
Многие троянцы и сетевые черви активно ищут антивирусные программы в списке активных приложений на компьютере жертвы. Затем вредоносные программы пытаются сделать следующее:
Чтобы победить вредоносные программы, антивирус должен защитить себя, контролируя целостность своих баз данных и скрывая свою работу от троянских программ.
Антивирусные компании быстро узнают адреса веб-сайтов, содержащих файлы троянских программ. Затем вирусные аналитики изучают содержимое этих сайтов и добавляют в свои базы новые вредоносные программы. Однако чтобы веб-страница не была обнаружена антивирусом, киберпреступники могут изменить ее таким образом, что в ответ на запросы разработчиков антивирусных решений вместо троянца будет загружаться обычный файл.
При атаке количеством в интернете за короткое время распространяется большое число новых версий троянской программы. В результате разработчики антивирусов вынуждены анализировать/обрабатывать сразу огромное количество новых образцов вредоносного ПО. Киберпреступники надеются, что время, затрачиваемое в сумме на анализ всех образцов, даст их вредоносному коду шанс проникнуть на компьютеры пользователей.
