Скандал вокруг антивирусов Касперского и Нортора.

← →
Anatoly Podgoretsky © (2006-01-14 01:13) [0]

В компьютерном сообществе разгорается скандал с примением руткит технологий в продуктах Касперский Антивирус и Нортон антивирус.

Статья в eWeek (на английском языке здесь)
http://www.eweek.com/article2/0,1895,1910077,00.asp

Оправдания Каспеского здесь
http://www.kaspersky.ru/news?id=177713739

Подобная технология, которая привела также к скандалу, была применена Сони

Возможные последстивия от этого могут быть тяжелыми, так как это хорошее место для хакеров и вирусмейкеров для спрятывания своего вредоносного кода, который не обнаруживается антивирусами и adware, что и произошло в случае с Сони и Norton Protected Recycled Bin

← →
Игорь Шевченко © (2006-01-14 01:32) [1]

Вот же странно, альтернативные потоки используются проводником Windows, EFS и компонентом поддержки сервера Macintosh, и никто воплей по данному поводу не поднимает. Впрочем, разгневанная общественность вполне может потребовать от MS убрать нафиг эти потоки для обеспечения безопасности.

← →
Anatoly Podgoretsky © (2006-01-14 01:35) [2]

Игорь Шевченко © (14.01.06 01:32) [1]
Есть разница, те потоки видны, а вот у Каспеского спрятаны от системы.
Возможно и МС и прислушается, у Нортона же другая, старая технология, еще от времен NProtect - спрятывания папок, они становятся недоступнымм системе, не видны с помощью FondFirst

Суть руткита это спрятаться от системы, с вирусами и троянами использующую данную технологию очень тяжело бороться, чаще всего только переформатированием винчестера.

← →
Джо © (2006-01-14 01:42) [3]

Касперыча уже давно безуспешно пытаются на пенсию отправить. А ему всё трын-трава :)

← →
Gero © (2006-01-14 01:43) [4]

Нормальных антивирусов не существует.

← →
Anatoly Podgoretsky © (2006-01-14 01:45) [5]

Антивирусы разные бывают, есть такие, которые работают как вирусы.

← →
Игорь Шевченко © (2006-01-14 01:48) [6]

Anatoly Podgoretsky © (14.01.06 01:35) [2]

Я вот читаю "Если Антивирус Касперского активен, потоки скрыты и к ним нет доступа со стороны любых процессов, включая системные. Если продукт отключен, то потоки становятся видимыми при помощи специальных программ. ". Но не совсем понимаю, каким боком эта скрытость может вызвать такую шумиху. Собственно, альтернативные потоки тоже не слишком легко посмотреть, и содержимое раздела SAM реестра тоже не видно обычными средствами, так же, как и содержимое каталога System Volume Information, однако ж, Руссинович по данному поводу не проявляет особого внимания а журналисты не раздувают мух до размеров слонов.

Скрывать, оно конечно не хорошо, но ведь и система тоже не все открывает. Так что про полный контроль, без которого не может жить бедный пользователь, это, извини, фикция.

← →
BiN © (2006-01-14 02:01) [7]

> Игорь Шевченко © (14.01.06 01:48) [6]
>
> Anatoly Podgoretsky © (14.01.06 01:35) [2]
>
> Я вот читаю "Если Антивирус Касперского активен, потоки
> скрыты и к ним нет доступа со стороны любых процессов, включая
> системные. Если продукт отключен, то потоки становятся видимыми
> при помощи специальных программ. ". Но не совсем понимаю,
> каким боком эта скрытость может вызвать такую шумиху. Собственно,
> альтернативные потоки тоже не слишком легко посмотреть,
> и содержимое раздела SAM реестра тоже не видно обычными
> средствами, так же, как и содержимое каталога System Volume
> Information, однако ж, Руссинович по данному поводу не проявляет
> особого внимания а журналисты не раздувают мух до размеров
> слонов.

Насколько я понял, Руссинович и Co пинают, собственно не сами руткит методы - трудно себе представить эффективный антивирус, не использующий оные механизмы. Речь идет о повышенной опасности дыр и уязвимости алгоритмов реализующих, скажем, перехват системных сервисов.
Скажем грех Sony состоял вроде в том, что при скрытии "своих" ntfs-потоков,
их DRM-система заодно могла прятать и чужие потоки.

← →
Anatoly Podgoretsky © (2006-01-14 02:02) [8]

Касперский и Нортон это не система, а посторонние программы.
Речь у Руссиновича о методах и опасности. Ни одна из этих фирм не заявила о скрытии от системы.
System Volume Information и SAM не скрытч от системы, кроме того первое не скрыто и от пользователя, если у тебя есть права, то можно сменить права и иметь обычный доступ к System Volume Information, насчет SAM не смотрел, но там нет нужной мне информации.

← →
BiN © (2006-01-14 02:03) [9]

Пардон за несколько сумбурный поток сознания в предыдущем посте.

← →
Anatoly Podgoretsky © (2006-01-14 02:08) [10]

BiN © (14.01.06 02:03) [9]
Вирусмейкеры этим сразу и восспользовались.
Микрософту пришлось разрабатывать механизм удаления их "технологии", ссылка на это есть в статье из eWeek

← →
Игорь Шевченко © (2006-01-14 02:16) [11]

Anatoly Podgoretsky © (14.01.06 02:02) [8]

В таком случае надо шуметь на MS, раз их система документировано или вполне легально, по прочтении книг Microsoft Press, позволяет производить такие действия.

Как-то мне этот новый виток шумихи не очень понятен. И про Sony тоже.

Вирусы мне приходят по старинке, через почту, преимущественно на hotmail, так что заразиться я при собственной глупости могу всегда, достаточно следовать инструкциям в письме.

> насчет SAM не смотрел, но там нет нужной мне информации.

Там тоже самое, достаточно права получить, но интересного там нету.

> Ни одна из этих фирм не заявила о скрытии от системы.

Зачем себе делать анти-рекламу ?

← →
Piter © (2006-01-14 02:22) [12]

Объясните для самых маленьких - в чем дело то?

Ну альтернативные потоки - в чем подлость то? Что тело вируса может быть записано в альтернативный поток? А при чем здесь Касперский?

Тем более, вроде у Каспера написано, что когда он запущен, то потоки недоступны даже для системы...

В общем, люди - поясните.

← →
Игорь Шевченко © (2006-01-14 02:26) [13]

Piter © (14.01.06 02:22) [12]

Дело в том, что используются технологии, не описанные в MSDN, а значит, потенциально вредные. Это как я понял, остальное можно по ссылкам Анатолия почитать. Суть в том, что создаются некие объекты, которые не видны простому пользователю через API Windows. А вот Руссиновичу, через его механизмы, соответственно, видны.

← →
Piter © (2006-01-14 02:28) [14]

А почему скандал? Кому какое дело какие технологии использует Касперский?

По мне - так пусть он хоть на нулевом кольце (или как там) работает - что с того? Его ж право...

← →
Piter © (2006-01-14 02:31) [15]

Вот непонятно:

Anatoly Podgoretsky © (14.01.06 1:13)
Возможные последстивия от этого могут быть тяжелыми, так как это хорошее место для хакеров и вирусмейкеров для спрятывания своего вредоносного кода, который не обнаруживается антивирусами и adware

то есть, Касперский создает некие объекты, в которых может спрятаться вирус?

А что мешает вирусу создать эти же объекты и самому в них спрятаться?

← →
Игорь Шевченко © (2006-01-14 02:32) [16]

Piter © (14.01.06 02:28) [14]

Сказано же - потенциально опасные. Это вам не "скырть роцесс" от ТаскМенеджера.

А по мне, так любые системы без исходников потенциально опасные. Но тут уже степень доверия и уровень допустимого риска :)

← →
Игорь Шевченко © (2006-01-14 02:33) [17]

Piter © (14.01.06 02:31) [15]

> А что мешает вирусу создать эти же объекты и самому в них
> спрятаться?

Касперский :)

← →
SPeller © (2006-01-14 08:06) [18]

Игорь Шевченко © (14.01.06 1:48) [6]
содержимое раздела SAM реестра тоже не видно обычными средствами, так же, как и содержимое каталога System Volume Information
Хм, Игорь :) Правой кнопкой на папке - Свойства - Безопасность - Добавляем туда своего пользователя или свою группу с полными правами - и вуаля! :) И ломать ничего не надо )

← →
iZEN © (2006-01-14 11:35) [19]

Антивирусы как средство от безалаберности.

Большинство домашних пользователей работают в виндах с правами Администратора. Имеют почти полную власть над системой, не подозревая об "обратной угрозе". Очень легко подхватить заразу, ничего не делая, но просто находясь в сеансе с подключенным сетевым интерфейсом. Факт: компьютер с Windows XP заражается через 20 минут после простого подключения к Интернет без последующих действий со стороны пользователя. Вирусы проникают в систему не от необдуманных действий пользователя, а сами по себе, как только система получила IP-адрес и откликнулась на ICMP-пинг из вне.

Так зачем нужны антивирусы, если участие пользователя в заражении ничтожно?
Чтобы исцелить от известного вируса и предотвратить в дальнейшем заражение им.

Но вирусы изменяются и появляются новые. Эвристические алгоритмы не справляются с новой угрозой. Как жить с этим?
Единственный ответ: вовремя обновлять антивирусные базы. Есть небольшой шанс, что не ты первый подцепишь заразу, и антивирусная компания вовремя выпустит обновление.

Значит антивирусы неэффективны?
Да. Они находят только известное им самим вредоносное ПО. Против нового и/или неизвестного они бессильны.

Что делать?
0. Предохраняться;
1. Использовать экраны;
2. Закрывать бреши системы "заплатками" от разработчика ОС;
3. Периодически сканировать файлы на предмет выявления вредоносного ПО;
и, в последнюю очередь, когда все средства задействованы,
4. Использовать антивирусный монитор, работающий постоянно в системе.

Я лично нахожу п.4. мало полезным. Антивирусные базы огрмны, монитор тратит системные ресурсы на определение подозрительного кода. Понижается работоспособность.
Пример. У нас на работе внедрили KAV, так после праздников все, у кого был установлен монитор, наблюдали унылую картину медленного открытия папок длительностью от 30 секунд и дольше. Компьютеры мощные, P4 2.4ГГц и выше. Слайдшоу после праздников это что-то! Особые ощущения возникали у тех, кто работал за машинами без антивируса при переходе на машину с антивирусом.

← →
Bobby (2006-01-14 13:11) [20]

to iZEN
Я согласен с Вами. Но проблема в том, что антивирусная программа это одно из средств, спасающее пользователя от неприятностей. Ведь все перечисленное Вами, кроме абстрактного пункта 0, так же не идеально, и при определенных условиях так же может являться источником проблем. Например, сетевые экраны. У меня есть серьезные вопросы к брандмауэру (XPSP2), Outpost - тормоз, про AtGuard Билл давно писал, что ни за что не отвечает, если он установлен на вашем компьютере. А что, не было ситуаций, когда установленные обновления, закрывая одни проблемы , порождали другие? Были.
И хотя Касперский(особенно 5.0) притормаживает, но это не значит, что он так уж плох или совсем не нужен. Насчет 30 сек на открытие папки что-то сомневаюсь. Что так уж у всех и при открытии любой папки?
Так что никаких гарантий никто не дает. Думать надо по-любому. А еще этот разговор знаете отчего пошел? Он пошел от того, что давненько не было эпидемий хороших. Антивирусы могут чего-то не вылечить, а могут и вылечить. А еще сам факт их наличия останавливает многих желающих серьезно поиздеваться над людьми. А фиг его знает : вдруг AVP слету срубит чье-то произведение, и стоило месяцами сидеть и кропать заразу.
И правильно, что не раскрывают внутренний механизм работы. Меньше проблем. (Ну на последнее предложение можно конечно и возразить...)

← →
tesseract © (2006-01-14 14:07) [21]

> Outpost - тормоз,

Не замечал. Только журналы медленно открываются.

← →
iZEN © (2006-01-14 14:18) [22]

Bobby (14.01.06 13:11) [20].
Абстрактный пункт 0 — это не возлагать на себя сверх полномочий админа, а ограничиться необходимыми привелегиями групп Users или, в крайнем случае, Power Users. Запуск инсталляций и конфигурирование компьютера можно вести с помощью "Запуск от имени..." (даже апплеты, через которые можно менять конфигурацию компьютера, Панель_управления\Администрирование этому правилу подчиняются).

Пример: больше года домашняя система WinXPPro SP2 с выходом по диалапу в Интернет была защищена только встроенным файерволом, никаких антивирусов не было установлено, системные обновления не проводились вообще, в сервисах отключены потенциально опасные службы (DCOM, NetBIOS и т.д.). Последние проверки антивирусным сканером (последней версии) всех файлов и процессов в системе никаких деструктивных агентов не выявили. С wininternals.com была загружена утилита, определяющая наличие внедрённых модулей, перехватывающих управление некоторыми процессами в системе, как результат работы утилиты: не выявлено никаких инородных агентов.

>И правильно, что не раскрывают внутренний механизм работы. Меньше проблем. (Ну на последнее предложение можно конечно и возразить...)
Где меньше атак, на открытый web-сервер Apache или на закрытый IIS? На открытый Firefox или на закрытый IE?
Что лучше: защита через сокрытие или защита через окрытие (исходников кода)?

← →
Kerk © (2006-01-14 14:26) [23]

iZEN © (14.01.06 14:18) [22]
Где меньше атак, на открытый web-сервер Apache или на закрытый IIS?

IIS

> На открытый Firefox или на закрытый IE?

FireFox. Он слишком мало распространен.

← →
tesseract © (2006-01-14 14:40) [24]

> FireFox. Он слишком мало распространен.

Firefox уже довольно широко распространён.
У меня в организации заставляю его использовать :-)
Но почему-то всех тянет к Opera:-)

← →
Piter © (2006-01-14 15:16) [25]

iZEN © (14.01.06 11:35) [19]
Факт: компьютер с Windows XP заражается через 20 минут после простого подключения к Интернет без последующих действий со стороны пользователя. Вирусы проникают в систему не от необдуманных действий пользователя, а сами по себе, как только система получила IP-адрес и откликнулась на ICMP-пинг из вне

Не задолбали уже всякие рекламные статьи, а?

У меня НЕТ файервола сейчас. У меня НЕТ антивируса сейчас. Мой компьютер подключен напрямую к интернету ЧАСАМИ.

НУ ЧТО.... ЧТО Я ДЕЛАЮ НЕ ТАК?

← →
Гарри Поттер © (2006-01-14 15:40) [26]

Piter © (14.01.06 15:16) [25]

Тебе бы еще обновления на винду не устанавливать ;)

← →
boriskb © (2006-01-14 15:58) [27]

Гарри Поттер © (14.01.06 15:40) [26]
Тебе бы еще обновления на винду не устанавливать ;)

Кто тебе сказал, что у него винда? :)

Piter © (14.01.06 15:16) [25]
НУ ЧТО.... ЧТО Я ДЕЛАЮ НЕ ТАК?

В какой-то другой инет ходишь? :)

← →
Piter © (2006-01-14 16:13) [28]

Гарри Поттер © (14.01.06 15:40) [26]
Тебе бы еще обновления на винду не устанавливать ;)

стоит SP2 и все, никаких других обновлений.

boriskb © (14.01.06 15:58) [27]
В какой-то другой инет ходишь? :)

вроде нет.

Более того, у меня постоянный IP адрес: 87.228.56.110 - Welcom :)

Только не пингуйте, а то у меня тормозить все будет :)

Piter © (14.01.06 15:16) [25]
Тогда откуда ты знаешь, что твоя машина не заражена.
У меня вот при посещении некоторых сайтов антивирус сразу срабатывает, да и еще обнаруживает иногда вирусы в Temporary Internet File или в Teмp, но они у меня просто не выживают.

Piter © (14.01.06 02:22) [12]
Ты бы прочитал статью
В том что он скрывает это от Системы, точно также как и Sony DRM, чем и воспользовались некоторые вирусмейкеры.
Скрывает не от пользователя, а именно от Cистемы, в итоге вирус становится невидимым для других средств.
Микрософт вынуждена была бороться с Sony DRM именно по этой причине.

Piter © (14.01.06 15:16) [25]
У меня НЕТ файервола сейчас. У меня НЕТ антивируса сейчас. Мой компьютер подключен напрямую к интернету ЧАСАМИ.
НУ ЧТО.... ЧТО Я ДЕЛАЮ НЕ ТАК?

А что ты хочешь сказать? Что у тебя на компе заразы нет? И как ты это узнал?

Игорь Шевченко © (14.01.06 02:26) [13]
Дело в том, что используются технологии, не описанные в MSDN, а значит, потенциально вредные. Это как я понял, остальное можно по ссылкам Анатолия почитать. Суть в том, что создаются некие объекты, которые не видны простому пользователю через API Windows. А вот Руссиновичу, через его механизмы, соответственно, видны.

Суть не в этом, а в том, скрывает от системы!!!

Я видел два руткита в действии, печальное зрелище, я ранее рассказывал об одном из них. Ни один антивирус их не видел, подозреваю, что антивирусные фирмы даже и не подозревают о них, поскольку в Интернете нашел только две ссылки, в испанских форумах.
Лечение формат и переустановка.

Anatoly Podgoretsky © (14.01.06 16:33) [34]

Не проще было отправить образ антивирусникам и через день-два скачать обновления баз?

Piter © (14.01.06 02:31) [15]
А что мешает вирусу создать эти же объекты и самому в них спрятаться?

Ничего не мешает кроме антивируса, конечно если он его знает. Но вирусмейкеры еще проще поступают, используют принцип симбиота, уже готовую подсистему скрытия. С антивирусами это немного сложнее, но не очень. Достаточно чтобы антивирус не знал вирус, после этого вирус отключает возможность своего обнаружения антивирусом. Со всеми известными антивирусами происходила подобная болезнь.

Правильно, он не скрыт от системы, в отличии от этих опасных продуктов.

Kerk © (14.01.06 16:36) [36]
Не проще, что ты будешь посылать то?
И обновление базы уже слишком поздно.
Случаи известны.
База будет обнаруживать его, но на незараженной машине.

Скандал вокруг антивирусов Касперского и Нортора. Найти похожие ветки