Microsoft изучила невидимку Necurs

Антивирусный центр Microsoft опубликовал сообщение, в котором подробно описал механизм действия программы-невидимки Necurs. Этот вредоносный код пытается загрузится до драйверов всех остальных защитных продуктов и заблокировать запуск их драйверов. Для этого вредонос создаёт чёрный и белый списки драйверов, которые он относит к антивирусным продуктам по определённым ключевым словам, то есть по своеобразным сигнатурам. Чтобы загрузиться раньше драйверов других антивирусов он регистрируется как член высокопривилегированной группы программ, которые должны стартовать раньше других.

Чтобы обмануть драйвер раннего обнаружения вредоносов ELAM, который в Windows 8 запускается до любых сторонних драйверов, Necurs использует специальный полиморфный механизм генерации кода и случайное имя, что позволяет вредоносу обмануть механизмы раннего обнаружения. Тем не менее по заверениям Microsoft их защитные продукты Security Essentials и другие вполне справляются со всей семьёй вредоносов Necurs, правда при постоянном обновлении сигнатурой информации.

Тема обнаружения программ-невидимок активно обсуждается в контексте целенаправленных атак, поскольку одним из признаков такой атаки является незаметная работа в системе вредоносных кодов, которые не обнаруживаются штатной защитой. Не смотря на заверения производителей антивирусных средств они уже не справляются с подобными индивидуальными вредоносными кодами, что требует выработки новых подходов к защитным продуктам.

Оцените материал:
Total votes: 213
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.