Лаборатория PandaLabs зафиксировала возрастающее количество инфекций и новых вариантов вируса Sality, который сочетает опасные инфекционные технологии старых вирусов с новыми техниками, направленными на получение финансовой выгоды. PandaLabs, лаборатория компании Panda Security по обнаружению и исследованию вредоносного ПО, зафиксировала за последние дни рост числа инфекций вирусом Sality.AO, а также случаи заражения новыми вариантами данной угрозы при использовании подобной технологии. В связи с этим лаборатория PandaLabs советует пользователям быть готовыми к возможной массовой атаке. Sality.AO – это вирус, который сочетает характеристики традиционных вирусов (заражение файлов и нанесение вреда как можно большему количеству компьютеров) и новых вредоносных программ, которые нацелены на получение финансовой выгоды кибер-преступниками. Вирус Sality.AO использует некоторые технологии, которые не наблюдались уже давно, такие как аварийное обесточивание (EPO) или резонатор (Cavity). Эти технологии связаны со способом видоизменения исходного файла для его заражения, тем самым значительно усложняя процессы обнаружения этих изменений и восстановления файлов. Аварийное обесточивание позволяет части правильного файла запуститься до начала заражения, из-за чего обнаружить вредоносное ПО становится трудной задачей. При помощи резонатора происходит встраивание кода вируса в пустые области нормального файла, что делает сложным обнаружение и восстановление зараженных файлов. Данные технологии намного сложнее тех, которые можно реализовать с использованием автоматизированных инструментов для создания вредоносного ПО, при помощи которых за последнее время стремительно увеличивается количество Интернет-угроз. Используемые для вируса Sality.AO технологии предполагают наличие больших навыков и глубоких знаний при программировании вредоносного кода. В дополнении к техникам, встречающимся в ранних вредоносных кодах, Sality.AO содержит серию характеристик новых вредоносных направлений, такие как соединение через IRC-каналы для получения удаленных команд, что потенциально позволяет превратить компьютер в «зомби». Подобные компьютеры-зомби могут использоваться для рассылки спама, распространения вредоносного ПО и DOS-атак для отказа в обслуживании и пр. В данном случае инфекции ограничиваются не только заражением файлов, как в случае со старыми вирусами, но также призваны распространяться в Интернете для решения других задач. В частности, данный вирус использует iFrame для заражения на компьютере PHP, ASP и HTML-файлов. В результате запуска любого из этих файлов браузер без предупреждения осуществляет переадресацию пользователя на вредоносную страницу, которая загружает на компьютер эксплойт, позволяющий в перспективе загрузить на данный компьютер другие вредоносные программы. Если любой из этих файлов разместить на Web-странице, принимая во внимание их способ загрузки на компьютер, то каждый пользователь, который скачивает файлы или зайдет на данную страницу, сразу же будет заражен. Файл, загружаемый при помощи данной технологии, лаборатория PandaLabs относит к гибридам вредоносного ПО, которые сочетают в себе черты троянов и вирусов. Кроме того, троян имеет функции загрузки файлов, что позволяет ему осуществлять серию загрузок на компьютер других вредоносных файлов. URL-адреса, которые используют подобный загрузочный файл, на момент анализа лабораторией PandaLabs не работали, но согласно исследованиям компании Panda Security они способны активироваться, так как количество зараженных компьютеров возрастает. Луис Корронс, Технический директор PandaLabs предостерегает: "Как мы предсказывали в нашем ежегодном докладе, основным направлением 2009 года будет распространение классических вредоносных кодов, таких как вирусы. Использование все в большей степени сложных технологий обнаружения, например, таких, как Коллективный Разум от компании Panda Security, при помощи которого можно обнаружить даже незначительные атаки и самые новые вредоносные технологии, заставят кибер-преступников обратиться к старым кодам, адаптированным к новым потребностям. Это значит, что мы увидим не те вирусы, которые только распространялись и наносили вред компьютерам, как это было десять лет назад: новые вирусы будут сконструированы таким образом, чтобы скрывать троянов, как в описанном выше примере, или чтобы превращать компьютеры в зомби". Technorati Теги: Sality,PandaLabs,virus,троян,вирус
Независимый портал Anti-Malware.ru опубликовал результаты теста антивирусов по эффективности эвристики: исследователи попытались выяснить, в каком антивирусе этот компонент защиты работает лучше. В новом тесте сравнивались эвристические компоненты антивирусной защиты (эвристики + generic-детект, т.е. расширенные сигнатуры), не принимая во внимание анализ системных событий (поведенческие блокираторы, HIPS). В качестве приложения к тесту производилось финальное измерение уровня детектирования на собранной коллекции на обновленных антивирусах через неделю после завершения основного теста. В результате фиксировалось качество обнаружения новых вирусов, а также эффективность работы классических сигнатурных методов каждого антивируса в дополнение к эвристике. В тестировании принимали участие 14 наиболее популярных антивирусных программ. Тест антивирусов проводился под операционной системой Windows XP SP3 в период с 3 декабря 2008 года по 18 января 2009 года в соответствии с определенной методологией, по которой создавались специальные условия для проверки эффективности работы эвристиков (для этого у всех антивирусов отключалась функция обновления, т.е. происходило замораживание антивирусных баз данных на дату начала теста). Для проведения теста во время заморозки антивирусных баз была собрана коллекция из 5166 уникальных самплов новейших вредоносных программ и коллекция из 15121 чистого файла. Абсолютным лидером по эффективности эвристического компонента защиты по итогам теста Avira AntiVir Premium, чей уровень детектирования неизвестных вредоносных программ оказался очень высоким – 71%. Однако повышенный уровень ложных срабатываний позволил этому продукты получить только лишь награду Silver Proactive Protection Award. Такая же участь постигла антивирус DrWeb, чья новая версия 5.0 показала очень высокий результат детектирования в 61% ровно, но повышенный уровень ложных срабатываний позволил ему получить только награду Silver Proactive Protection Award. Главный разочарованием теста, по словам исследователей, стал Sophos Anti-Virus, показавший уровень проактивного детектирования более 61% ценой огромного количества ложных срабатываний 2,24%. Лучшие результаты по балансу проактивного детектирования и ложных срабатываний показала тройка Kaspersky Anti-Virus, Eset Nod32 Anti-Virus и BitDefender Antivirus. Их результаты оказались практически идентичны - уровень эвристического детектирования 60% и уровень ложных срабатываний 0,01-0,04%. Согласно используемой схеме награждения эти антивирусы получили награду Gold Proactive Protection Award. Высокую эффективность эвристического компонента защиты показала большая группа антивирусов, получившая награду Silver Proactive Protection Award. В нее, помимо уже перечисленных выше продуктов, вошли AVG Anti-Virus, Avast! Professional Edition, Norton Anti-Virus, VBA32 Antivirus и F-Secure Anti-Virus. В Anti-Malware также отмечают, что Norton Anti-Virus оказался единственным из тестируемых антивирусов показавшим нулевой уровень ложных срабатываний.Еще 3 продукта: Panda Antivirus, Trend Micro Internet Security и Agnitum Outpost Anti-Virus Pro показали удовлетворительный результат и получили награду Bronze Proactive Protection Award. Источник: Donbass.ua Technorati Теги: компьютер,безопасность,антивирус,Windows XP,Windows,Microsoft,SP3,вирус,вирусы,троян,троянский вирус,червь,Avira,Доктор Веб,Sophos,Kaspersky Lab,ESET,Nod32,BitDefender,AVG Technologies,Avast!,Norton,VBA32,F-Secure,Panda Security,Trend Micro,Agnitum,Outpost
Комментариев нет:
Отправить комментарий