⇢ 
Андрей Таранин
Сергей Емельянов
да может еще как если пользователь сам даст разрешение на установку
Алексей Михалев
Если так сильно боишься, заранее залей этот образ http://www.antiwinlocker.ru/download.html на болвану, три клика мышкой и прога придушит этого зловреда.
Кристина
Обход антивирусов: техническая справка
С точки зрения выживания, перед вредоносной программой стоят две важнейшие задачи:
На этапе инсталляции — обход поведенческой защиты (HIPS, проактивная защита, песочница) .
Методы: использование легитимных системных механизмов, не предусмотренных разработчиками защиты, и «белых списков» защиты; реже — эксплуатация уязвимостей в коде антивируса или операционной системы.
На этапе активного заражения — защита собственного кода от обнаружения и удаления.
Методы: от запрета антивирусных обновлений и блокировки доступа к файлам, до сокрытия файлов (rootkit-технологии) и их полного отсутствия (об этом — ниже) .
Примеры техник обхода защиты
Техники приведены в том порядке, в каком мы находили их в эволюционирующем TDSS. Все описанные приемы уже не столь эффективны, как были на момент их появления.
Пример №1. Системный кеш динамических библиотек
Суть техники: вредоносный код размещается в системном кеше часто используемых библиотек \KnownDLLS, откуда вызывается легитимным системным приложением при использовании им одной из этих библиотек.
Профит: одним выстрелом убиты два зайца: обход поведенческой защиты и обход персонального фаервола. Последнее возможно благодаря тому, что вредоносный код выполняется в контексте системного процесса, «доверенного» по умолчанию.
Псевдо-код:
// 1. размещаем вредоносный код в кеше часто используемых библиотек
NtCreateSection(”\knowndlls\dll.dll”)
// 2. обеспечиваем переход на этот код из легитимной библиотеки,
// пока что - в ее копии на диске
CopyFile(”msi.dll”, "patched_msi.dll")
WriteFile("patched_msi.dll", <прыжок в dll.dll>)
// 3. подменяем эту библиотеку в кеше
NtOpenSection(”\knowndlls\msi.dll”)
NtMakeTemporaryObject(...) // секция стала временной, и теперь может быть.. .
CloseHandle(...) // удалена
NtCreateSection(”patched_msi.dll”)
// 4. вызов системного сервиса, который исполнит код msi.dll => dll.dll
StartService (”Windows Installer (msiexec.exe)”)
Пример №2. Диспетчер печати
Суть техники та же, что и в предыдущем примере — пассивное внедрение в системный процесс. Механизм несколько иной: вредоносный код подсовывается сервису диспетчера печати под видом его служебной библиотеки.
Псевдо-код:
//1. копируем вредоносный код в служебную директорию диспетчера печати
GetPrintProcessorDirectory(...)
GetTempFileName(...)
CopyFile(
// 2. сервис диспетчера печати должен быть запущен
StartService("spooler")
// 3. передаем ему вредоносный код
AddPrintProcessor(
Похожие вопросы