ОРЕАНДА-НОВОСТИ. По результатам исследований польских специалистов веб-ресурса Matousek.com, Якуба Бржечки и Давида Матоушека им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов.

Уязвимы продукты "Лаборатории Касперского", Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д. Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнёт исполняться, производится его подмена на вирусную составляющую, передают mignews.com.

Понятно, замена должна произойти строго в нужный момент, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус.

Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку все современные защитные средства оперируют на уровне ядра, атака работает на 100%, причём даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями. Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он неприменим, когда требуется сохранить скорость и незаметность атаки.