JК
Журнал Компьютерра - 30 от 21 августа 2007 года :: Компьютерра
Страница: 74 из 161По данным антивирусной компании руткиты становятся все более популярными у создателей spyware и троянов, рассчитанных на кражу банковских реквизитов. Между тем адекватной ответной активности от софтверных компаний и разработчиков антивирусов пока не последовало. Системы безопасности, которые могли бы выявлять по косвенным признакам и поведению кода скрытые угрозы, пока не очень распространены.
В прошлом году количество обнаруженных руткитов выросло на 62 %, а по итогам 2007 года, если верить прогнозам, нас ждет, как минимум, 40-процентный рост. Рейтинг наиболее опасных угроз на момент составления отчета возглавляли руткиты Nurech.A/B, Bagle.HX и Abwiz.A.
Расколотое Ядро
Придуманный Джоанной метод внедрения кода в ядро Windows Vista в обход стандартных защитных процедур ОС стал возможным из-за того, что система допускает прямой доступ пользователя с правами администратора к содержимому винчестера из приложений. Достаточно просто Джоанна спровоцировала переход составляющих ядра из оперативной памяти в файл подкачки – это обычная системная операция. Затем она открыла этот файл, и в разделе драйверов, заменила одну из стандартных процедур на руткит, который затем был запущен в оперативную память.
На вашем семинаре Understanding Stealth Malware речь идет об инструментах, позволяющих обходить защиту ядра Windows Vista x64, Можно об этом подробнее?
– Да, мы представили новые пути внедрения неподписанного кода в ядро Vista x64.
В прошлом году количество обнаруженных руткитов выросло на 62 %, а по итогам 2007 года, если верить прогнозам, нас ждет, как минимум, 40-процентный рост. Рейтинг наиболее опасных угроз на момент составления отчета возглавляли руткиты Nurech.A/B, Bagle.HX и Abwiz.A.
Расколотое Ядро
Придуманный Джоанной метод внедрения кода в ядро Windows Vista в обход стандартных защитных процедур ОС стал возможным из-за того, что система допускает прямой доступ пользователя с правами администратора к содержимому винчестера из приложений. Достаточно просто Джоанна спровоцировала переход составляющих ядра из оперативной памяти в файл подкачки – это обычная системная операция. Затем она открыла этот файл, и в разделе драйверов, заменила одну из стандартных процедур на руткит, который затем был запущен в оперативную память.
На вашем семинаре Understanding Stealth Malware речь идет об инструментах, позволяющих обходить защиту ядра Windows Vista x64, Можно об этом подробнее?
– Да, мы представили новые пути внедрения неподписанного кода в ядро Vista x64.