SafeGroup

Ciekawy temat; przykładowo, już wcale nie trzeba otwierać załącznika
w przychodzącym (np. jako spam) mailu, wszystko sam 'załatwi'
skaner rezydentny antywirusa.

Cytat:Tavis Ormandy, opublikował

[Aby zobaczyć linki, zarejestruj się tutaj]

.
Problem umożliwia wykonanie kodu na systemie operacyjnym ofiary, jedynie przez fakt
że ofiara przeskanowała antywirusem odpowiednio spreparowany plik.

Wyobraźcie sobie więc scenariusz:

1. Dostajecie maila z załącznikiem (odpowiednio spreparowanym)
2. Antywirus sam skanuje maila
3. Wykonuje się złośliwy kod, który wręcz mógłby zatrzeć swoje ślady (nie zobaczycie już maila…).
4. Kod ten zazwyczaj wykonuje się z wysokimi uprawnieniami.

Groźne, prawda? Otóż to, polecam więc przynajmniej nie chwalić się z jakiego AV korzystacie…

Całość tutaj:

[Aby zobaczyć linki, zarejestruj się tutaj]

Ciekawe co na to wiodące programy anty-exploitowe? Może trzeba by dołączyć w ustawieniach
ochronę dla skanera rezydentnego używanego antywirusa? Kaspersky moduł anty-exploitowy
kiedyś chyba miał, nie wiem jak jest teraz, i czy chroni(ł) samego siebie?

Silniki AV są na pewno podatne i w ubiegłym roku były ogłoszone badania w tym kierunku

[Aby zobaczyć linki, zarejestruj się tutaj]

W przypadku Kasperskiego interesujący jest raczej sam mechanizm exploita pozwalający mu "odgryźć" się silnikowi AV w momencie "dotknięcia" szkodnika...są inne szkodniki, które skanują system w poszukiwaniu programów zabezpieczających zanim te zrobią cokolwiek, ale ten jest niezwykle wygodny, bo zwyczajnie sobie leży "kołami do góry" i reaguje dopiero w momencie, jak coś go tyka