Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 4896 сообщений
Cообщения с меткой

антивирусы - Самое интересное в блогах

Следующие 30  »
цветочек_16

Бесплатная очистка компьютера с Kaspersky Cleaner...

Суббота, 23 Июля 2016 г. 06:53 (ссылка)

Это цитата сообщения ЛЮДМИЛА_МЕРКУЛОВА Оригинальное сообщение

Бесплатная очистка компьютера с Kaspersky Cleaner...






Бесплатная очистка



компьютера с Kaspersky



Cleaner.Kaspersky-Cleaner



Мало кто из пользователей знает, что у знаменитой «Лаборатории Касперского» есть абсолютно бесплатные программные продукты (именно бесплатные, а не пробные версии на месяц). Ещё меньше народу знает, что эта фирма выпускает не только мощные и надёжные защитные комплексы (антивирусы и сканеры).

fleche_027.giffleche_027.giffleche_027.gif
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
calme7

"Красавицы" Антон Чехов

Понедельник, 12 Июля 2016 г. 02:40 (ссылка)


"Красавицы" Антон Чехов



http://asbook.net/abooks/russlit/9427-krasavicy-anton-chehov.html

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Критическая уязвимость антивируса Symantec Endpoint позволяет осуществлять удаленное выполнение кода

Пятница, 01 Июля 2016 г. 08:02 (ссылка)





Исследователи из Google Project Zero Team в своем блоге опубликовали подробный разбор ошибок безопасности, содержащихся в антивирусном «движке» Symantec Endpoint Protection. По словам экспертов, продукт содержит множество критических уязвимостей, некоторые из которых могут приводить к удаленному выполнению кода или удаленному повреждению памяти ядра (remote kernel memory corruption).



В чем проблема



Исследователи Google Project Zero опубликовали информацию об уязвимости CVE-2016-2208. По словам экспертов, ошибка заключается в некорректной работе используемых разработчиками Symantec инструментов распаковки (unpackers) упакованных исполняемых файлов.



Найденные уязвимости связаны с ошибками переполнения буфера и в результате успешной эксплуатации могут привести к удаленному исполнению кода. Поскольку антивирусный движок Symantec запускает свои «распаковщики» прямо в ядре, то исполнение кода может происходить с высокими системными привилегиями. Автор поста в блоге Google Тэвис Орманди смог заставить антивирус выполнить следующий код:



    char *buf = malloc(SizeOfImage);

memcpy(&buf[DataSection->VirtualAddress],
DataSection->PointerToRawData,
SectionSizeOnDisk);



Оманди создал эксплоит, использующий данную уязвимость. Эксперт отмечает, что злоумышленнику даже не нужно заставлять жертву каким-то образом взаимодействовать с файлом для его активации — достаточно просто отправить его по email или сформировать гиперссылку на него и добиться чтобы антивирус её проверил, например, указав её в письме.



Таким образом, уязвимость несет в себе серьезную угрозу — с ее помощью киберпреступники могут успешно удаленно атаковать корпоративные системы даже самых крупных компаний.



Кроме того, в антивирусном продукте Symantec реализован уровень I/O-абстракции, который использует для обработки файлов PowerPoint. Этот механизм содержит ошибку, благодаря которой злоумышленник может спровоцировать переполнение буфера. Применимость этого способа атаки, однако, ограничена случаями, когда антивирус работает в режиме “Bloodhound Heuristics”. Орманди опубликовал ссылку на эксплоит, использующий эту ошибку.



image



Исследователи Google отмечают, что разработчики Symantec использовали open source-библиотеки вроде libmspack и unrarsrc, однако не обновляли их код как минимум на протяжении семи лет.



Какие продукты уязвимы



Symantec использует один и тот же «движок» для целой линейки своих антивирусных продуктов, которые продаются под брендами Symantec и Norton. В числе уязвимых продуктов:




  • Norton Security, Norton 360 и другие legacy-продукты Norton products для всех платформ;

  • Symantec Endpoint Protection (все версии и платформы);

  • Symantec Email Security (все платформы);

  • Symantec Protection Engine (все платформы);

  • Symantec Protection for SharePoint Servers

  • И т.д.



Некоторые из этих продуктов невозможно обновить автоматически, поэтому их пользователям и администраторам необходимо самостоятельно предпринять действия по защите своих систем. Компания Symantec опубликовала соответствующие рекомендации на своем сайте.



Помимо подробно описанной уязвимости CVE-2016-2208, исследователи Google обнаружили и другие серьезные ошибки безопасности, приводящие к переполнению буфера, повреждению памяти и другим проблемам.



Как защититься



Для предотвращения возможных проблем, связанных с безопасностью инструментов защиты, эксперты Positive Technologies рекомендуют использовать средства, позволяющие изолировать подобные решения от других систем, сохранив их функциональность. Решать эту задачу, к примеру, может cистема выявления вредоносных файлов и ссылок PT MultiScanner.



Ранее в нашем блоге мы публиковали статью с обзором известных случаев обнаружения уязвимостей в популярных антивирусных программах.



К примеру, исследователи не впервые находят в продукте Symantec Endpoint Protection серьезные уязвимости. Ранее специалистам по безопасности удавалось обнаружить серьезные ошибки, которые позволяли атакующим осуществлять обход аутентификации, повышения привилегий, чтение и запись файлов, а также осуществления SQL-инъекций.



Другие антивирусные решения также не избежали подобных проблем. Так в начале февраля 2016 года тот же исследователь Тэвис Орманди обнаружил серьезные уязвимости в антивирусном продукте Malwarebytes. Обновления Malwarebytes Antivirus не были подписаны с помощью цифровой подписи компании и загружались по незащищенному HTTP-соединению — это делало пользователей подверженными MiTM-атакам. В апреле 2016 года была опубликована информация о критической уязвимости в антивирусе TrendMicro, которая позволяла злоумышленник осуществлять удаленное выполнение кода.



Ранее в 2015 году исследователи из из Google Project Zero рассказали о серьезной уязвимости в антивирусе ESET NOD32, которая позволяла атакующему читать, модифицировать и удалять любые файлы на компьютерах, на которых установлен антивирус.



В том же году критические уязвимости были найдены в криптософте TrueCrypt и антивирусе Avast, а антивирусная компания BitDefender стала жертвой хакерской атаки, в результате которой были похищены пароли пользователей, которые хранились в открытом виде.
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/304532/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
SoftLabirint

GridinSoft Anti-Malware 3.0.39 MULTI/RUS » SoftLabirint.Ru: Скачать бесплатно и без регистрации - Самые Популярные Новости Интернета

Вторник, 07 Июня 2016 г. 17:23 (ссылка)
softlabirint.ru/soft/intern...tirus.html


GridinSoft Anti-Malware 3.0.39 MULTI/RUS

GridinSoft Anti-Malware — антивирусная утилита, разработанная специально для удаления вредоносных программ без необходимости вручную править системные файлы и реестр. Обнаруживает и удаляет: шпионское и рекламного ПО, ПНП, трояны с удаленным доступом, интернет-черви. Она удаляет дополнительные системные изменения, которые осуществляют некоторые вредоносные программы, и которые игнорируются некоторыми стандартными антивирусными сканерами.



Программа GridinSoft Anti-Malware предназначена для удаления вредоносных компьютерных программ, включая различные виды рекламного ПО adware (отображают нежелательную рекламу); программ-шпионов spyware (передают Вашу персональную информацию, например, данные по кредитным картам, путем перехвата действий пользователя с клавиатуры или мыши); скрытые дозвонщики hidden dialers (могут инициировать нежелательные телефонные звонки), и многое другое.



Основные особенности:

• Бесперебойная надежная защита Windows от любых существующих видов вредоносного ПО;

• Выявление и удаление нежелательных рекламных модулей установившихся без Вашего ведома;

• Круглосуточный контроль над Вашей операционной системой в целях предотвращения внедрения в нее опасного ПО;

• Надежная охрана любой важной персональной информации (пароли, номера телефонов, кредитных карт и т.д.);

• Многоязычный интерфейс;

• Постоянная, непрекращающаяся защита от проникновения любого опасного ПО;

• Несколько режимов сканирования;

• Регулярные автоматические обновления;

• Поддержка всех операционных систем.

 



GridinSoft Anti-Malware 3.0.39 MULTI/RUS



GridinSoft Anti-Malware 3.0.39 MULTI/RUS



GridinSoft Anti-Malware 3.0.39 MULTI/RUS



GridinSoft Anti-Malware 3.0.39 MULTI/RUS






Информация о программе:

Название: GridinSoft Anti-Malware 3.0.39 MULTI/RUS

Год выпуска: 2016

Версия: 3.0.39

Язык интерфейса: Mультиязычный/Русский

ОС: Windows 10 / 8.1 / 8 / 7 / Vista / XP (32|64-bit).

Лечение: Присутствует

Размер: 64,25 Мб



Скачать: GridinSoft Anti-Malware 3.0.39 MULTI/RUS >>>



 



Подписка на новости сайта…

http://feeds.feedburner.com/Soft-Labirint

http://feeds.feedburner.com/Soft-Labirint?format=xml

https://feedburner.google.com/fb/a/mailverify?uri=Soft-Labirint

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

[Перевод] Укол на миллиард долларов: худшие кошмары банков

Пятница, 03 Июня 2016 г. 13:17 (ссылка)





Многие годы кибер-преступники фокусируют свое внимание на деньгах, в первую очередь, направляя свои усилия на финансовые системы. Более десяти лет они были главным образом ориентированы на самое слабое звено в этой цепочке – конечного потребителя, который использует онлайновые банковские сервисы. Такой подход несет ряд преимуществ для злоумышленников: достаточно низкий уровень безопасности у конечного пользователя, кража незначительной суммы денег, которая определенное время может остаться незамеченной, и т.д. Впрочем, тут есть и свои минусы: необходимо найти (заразить) жертвы, которые используют один из требуемых банков, использовать инструменты, позволяющие обходить антивирусные программы и пр.



Другими словами, преступники могут делать большие деньги, но одновременно с этим с их стороны необходимо прикладывать значительные усилия.



А где есть большие деньги? Читать дальше →

https://habrahabr.ru/post/302524/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

VirusTotal: проверяем файлы на вирусы в один клик

Вторник, 24 Мая 2016 г. 16:47 (ссылка)






Может быть множество причин, почему на том или ином компьютере вы не поставите антивирусное программное обеспечение: слабое железо или простое нежелание делить его с постоянно жрущим ресурсы антивирусом, уверенность в своих действиях на компьютере или дороговизна, особенно для серверных версий операционных систем. С последним, кстати, постоянно сталкиваются пользователи виртуальных серверов (так называемых VPS / VDS), конфигураций большинства которых едва хватает для нормальной работы современного браузера, а провайдер предоставляет исключительно серверную версию Windows.



Будучи одним из таких пользователей, где далеко не везде установлен полноценный антивирус, постоянно приходится залазить на онлайн ресурсы для проверки тех или иных файлов. Оптимизировать этот процесс я сегодня и решил.



Наиболее простым и популярным среди таких ресурсов (и приятный лично мне) является virustotal.com, у которого есть открытое API и использование его от вас ничего не требует, кроме регистрации на сайте.

Идеальным вариантом для меня стала бы реализация с дополнительной кнопкой в контекстном меню Windows, которое появляется при клике правой кнопкой мыши по любому файлу.





Читать дальше →

https://habrahabr.ru/post/301638/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Майя_РОЗОВА

Евгений Касперский — РБК:

Воскресенье, 22 Мая 2016 г. 18:10 (ссылка)


«Пугать народ страшилками — это мы любим»









Основатель «Лаборатории Касперского» Евгений Касперский

Фото: Владислав Шатило/РБК






Основатель «Лаборатории Касперского» в интервью РБК — о кризисе и политике, новых продуктах и рынках, импортозамещении и российских программистах, принципах менеджмента и свободе интернета, «Инстаграме» и путешествиях



«Не могу сказать, что нам достался большой кусок пирога»



— В 2015 году выручка «Лаборатории Касперского» упала впервые за 18 лет. При этом основную часть доходов вам приносят рынки США и Европы. Почему это случилось?



— В основном из-за курсовой разницы.



— Но евро рос вместе с долларом.



— Нет, евро снижался по отношению к доллару. Если мы продаем лицензию на продукт 31 декабря 2014 года, то выручка от нее засчитывается на 2015 год. Во второй половине 2014 года и в начале 2015 года курс евро падал по отношению к доллару, поэтому по всем локальным валютам у нас положительный рост, но если мы считаем в долларах — у нас минус. Главный рынок для нас — еврозона, которая приносит примерно треть выручки. Северная Америка приносит примерно четверть. Дальше идет Россия — около 14%.



— Есть примерный прогноз на 2016 год?



— По итогам первого квартала мы не раскрываем результаты, но если смотреть на выручку в долларовом эквиваленте, то ситуация выровнялась.



Увеличилось число крупных клиентов в Европе. Чтобы они пошли к нам, понадобилось 15 лет. В России в девяностые годы в корпоративном сегменте доминировали Symantec, McAfee, и выбить их оттуда было крайне тяжело. В России даже у нас выход на корпоративный рынок занял много времени, прежде чем мы стали лидером. Сейчас пробуем в Европе.



— Почему сейчас? Что изменилось?



— Мы постоянно присутствовали в Европе, участвовали в выставках, мероприятиях, о нас писали в прессе, к нам привыкли. Плюс у нас вышли неплохие новые корпоративные продукты. Мы предлагаем решения по защите индустриальных систем, обнаружению целевых атак, расследуем инциденты, проводим обучающие тренинги и т.д. Год за годом большие компании к нам начали подтягиваться.



— Можете назвать крупных европейских клиентов?



— Ferrari, Strabag, Telefonica, компании из финансового, банковского сектора. Я не могу сказать, что нам достался большой кусок пирога, но нормальный.



— Десятки, сотни клиентов?



— Я бы говорил про долю на рынке. Сейчас в крупном сегменте, по моим ощущениям, мы где-то четвертая компания и довольно близко подобрались к первой тройке. Из потребительского сегмента мы во многих странах уже всех выдавили. В Германии, Франции, Италии и Испании мы — номер один в ретейле. В сегменте малого и среднего бизнеса мы там тоже чувствуем себя уверенно. А сейчас выходим на крупный корпоративный рынок, приближаемся к лидерам. И причем очень бодренько идем.



4229746_127723503_4229746_127706397_4229746_animatedbuttonimage0223a_1_ (89x88, 11Kb)
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Запись вебинара «Легкая облачная защита корпоративной сети с низкой полной стоимостью владения»

Вторник, 17 Мая 2016 г. 09:55 (ссылка)


Предлагаем Вашему вниманию запись вебинара от 24 марта 2016г «Легкая облачная защита корпоративной сети с низкой полной стоимостью владения»









На мероприятии Вы узнаете, как с помощью облачного SaaS-решения Panda Endpoint Protection* можно обеспечить эффективную централизованную ИТ-защиту всех устройств в компании, независимо от их местоположения.



Рассматриваемые вопросы:

• Почему облачные технологии и решения?

• Функциональные возможности

• Преимущества для предприятия

• Схема лицензирования



*Компания Panda Security специализируется на облачных решениях информационной безопасности и предлагает корпоративные SaaS-решения Panda с 2004 года.

https://habrahabr.ru/post/300972/

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Антивирус как угроза

Четверг, 12 Мая 2016 г. 17:23 (ссылка)





Большинство людей не рассматривают средства антивирусной защиты как источник дополнительной угрозы. Антивирусы воспринимаются как доверенные приложения, которые за счет некоторых потерь производительности способны обеспечить защиту информационной системы от самых разных атак. В результате антивирус часто оказывается единственным средством защиты конечных пользователей, а связка из нескольких антивирусов — основным решением для безопасности предприятия.



Но, как и любые сложные программы, антивирусы подвержены уязвимостям. При этом процессы антивирусных продуктов, как правило, являются доверенными и выполняются в привилегированном режиме, с высокими правами доступа. Это делает антивирусы интересной мишенью для злоумышленников, поскольку их эксплуатация может приводить к компрометации всей системы.



В последние годы наблюдается рост интереса к уязвимостям защитного ПО вообще и антивирусов в частности. Об этом говорит рост числа эксплойтов, опубликованных на exploit-db и подобных ресурсах. На графике выше показано количество найденных уязвимостей в известных антивирусных продуктах за каждый год в течение последних 15 лет.



В начале нулевых годов материалы об уязвимостях в средствах антивирусной защиты появлялись крайне редко, а за прошедший год было опубликовано больше полусотни эксплойтов, большая часть которых основана на критически опасных уязвимостях антивирусов и связана с обходом аутентификации, повышением привилегий и удаленным выполнением кода. В частности, в 2015 году найдены уязвимости в продуктах ESET, Avast, BitDefender, Symantec, Kaspersky Lab, FireEye, Malwarebytes.



Помимо независимых исследователей, с 2014 года к поиску уязвимостей в средствах защиты подключилась команда Google Project Zero. Они нашли значительную часть опубликованных за прошедший год уязвимостей в антивирусах. Закономерно, что правительственные организации тоже проявляют интерес к данной теме: мы уже рассказывали об исследованиях российских антивирусов, которые проводятся западными спецслужбами.



Сложно делать точные прогнозы о том, как будет развиваться далее эта тенденция, но некоторые предположения можно сделать на основании эксплойтов, опубликованных в первом квартале 2016 года. Их краткие описания представлены ниже.



Атаки с использованием уязвимых антивирусов



TrendMicro


11 января 2016 года исследователь Tavis Ormandy из команды Google Security Research обнаружил критически опасную уязвимость антивируса TrendMicro, приводящую к удаленному выполнению кода.



При установке антивируса по умолчанию устанавливается компонент Password Manager, который прописывается установщиком в автозагрузку. Этот модуль написан на JavaScript с использованием node.js. Он открывает множество RPC-портов для обработки API-запросов по HTTP. Уязвимость была найдена в API-функции openUrlInDefaultBrowser, которая вызывает ShellExecute() без проверки передаваемых аргументов, тем самым допуская выполнение произвольного кода.



x = new XMLHttpRequest()
x.open("GET", "https://localhost:49155/api/
openUrlInDefaultBrowser?url=c:/windows/system32/calc.exe true);
try { x.send(); } catch (e) {};


Патч выпустили через неделю после обращения.



exploit-db.com/exploits/39218


McAfee Application Control


12 января специалисты из австрийской компании SEC Consult опубликовали отчет об успешном обходе защиты McAfee Application Control. Это приложение запрещает запуск приложений, не определенных в белом списке, и предназначено прежде всего для защиты критически важных инфраструктур. Рассматривалась версия 6.1.3.353 под Windows. Были найдены способы запуска неавторизованных приложений в обход защиты, методы запуска произвольного кода, методы обхода программного DEP, реализованного в McAfee Application Control, обхода UAC при включенной защите продукта McAfee, обход защиты от записи в белый список. В довершение были найдены уязвимости драйвера swin1.sys, приводящие к сбою системы.



exploit-db.com/docs/39228.pdf


QuickHeal


19 февраля исследователь Fitzl Csaba написал proof-of-concept, эксплуатирующий уязвимость в популярном индийском антивирусе QuickHeal 16.00. Драйвер webssx.sys оказался подвержен CVE-2015-8285, эксплуатация которой приводит к повышению привилегий либо вызывает BSOD. Драйвер создается без флага FILE\_DEVICE\_SECURE\_OPEN, что позволяет любому пользователю взаимодействовать с этим драйвером в обход ACL. Исследователь нашел IOCTL-код и нужный размер передаваемого драйверу буфера, приводящие к вызову уязвимой функции. Из-за недостаточной проверки получаемых данных из входного буфера возникало целочисленное переполнение аргумента, передаваемого функции memcpy.



exploit-db.com/exploits/39475


Comodo


29 февраля хакер Greg Linares нашел уязвимость в модуле GeekBuddy антивируса Comodo, приводящую к локальному повышению привилегий. Модуль GeekBuddy при выполнении запускает несколько процессов, один из которых пытается подгрузить библиотеку shfolder.dll. Поскольку вместо абсолютного пути в файле, запускаемом GeekBuddy, жестко задано только имя библиотеки — возможна подмена dll. Если поместить вредоносную shfolder.dll в C:\ProgramData\Comodo\lps4\temp\ и запустить обновление клиента или дождаться, пока оно запустится автоматически, пользователь может повысить привилегии до уровня SYSTEM и полностью компрометировать систему.



exploit-db.com/exploits/39508


Avast


4 марта Google Security Research продолжила публиковать уязвимости антивируса Avast. На этот раз была закрыта ошибка, связанная с повреждением памяти при парсинге цифровых сертификатов. Tavis Ormandy создал исполняемый PE-файл, при сканировании которого Avast «падал» с ошибкой. По словам исследователя, ошибка связана с повреждением памяти при парсинге цифровой подписи файла.



exploit-db.com/exploits/39530


McAfee VirusScan


7 марта Maurizio Agazzini опубликовал материал об очередной уязвимости в продуктах McAfee. Исследователь написал эксплойт, позволяющий обходить ограничения безопасности антивируса McAfee VirusScan Enterprise 8.8. Используя найденную уязвимость, пользователь с правами локального администратора мог в обход ограничений безопасности отключить антивирус — не зная его пароля.

Уязвимость была исправлена патчем от 25 февраля, хотя первые обращения автора эксплойта в McAfee датируются осенью 2014 года.



exploit-db.com/exploits/39531


Avira


16 марта критически опасная уязвимость обнаружена в антивирусе Avira. Ожидается, что антивирус должен уметь гарантированно обрабатывать PE-файлы. Тем не менее при тестировании антивируса Avira в режиме сканирования PE-файлов была обнаружена уязвимость типа heap underflow. Ошибка воспроизводилась при парсинге заголовков таблицы секций. Если заголовок секции имел слишком большой RVA, Avira сохраняла вычисленное смещение в буфер на куче и записывала в него данные, контролируемые атакующим (данные из section->PointerToRawData в исходном файле). Уязвимость приводила к RCE с привилегиями NT\_AUTHORITY\SYSTEM. Патч выпущен 18 марта.

exploit-db.com/exploits/39600


И снова Comodo


19 марта опубликован отчет о критически опасной уязвимости в антивирусе Comodo. Этот продукт включает в себя x86-эмулятор, используемый для автоматической распаковки и мониторинга обфусцированных исполняемых файлов. Предполагается, что эмулятор исполняет вредоносный код безопасно в течение небольшого промежутка времени, тем самым давая сэмплу распаковаться или выявить какой-нибудь интересный для детектирования поведенческий признак.



Помимо проблем, связанных с повреждением памяти, при работе эмулятора было обнаружено, что аргументы некоторых опасных эмулируемых API-вызовов передаются в реальные API-функции во время сканирования. Несколько оберток просто извлекают аргументы из эмулируемого адресного пространства и передают их напрямую в системные вызовы, при этом выполняясь с привилегиями NT\_AUTHORITY\SYSTEM. Результаты вызовов затем возвращаются в эмулятор и выполнение кода продолжается.



Это позволяет осуществлять различные сценарии атак. Например, читать, удалять, перечислять и использовать криптографические ключи, взаимодействовать со смарт-картами и другими устройствами. Это возможно, поскольку аргументы CryptoAPI-функций передаются эмулятором напрямую реальным API. Другим примером угрозы стало чтение любых ключей реестра при использовании обертки над RegQueryValueEx, аргументы которой передаются реальной API напрямую.



Этот вектор атаки весьма показателен, поскольку атакующий может вызвать выполнение вредоносного кода в эмуляторе — просто послав жертве электронное письмо или направив ее по ссылке на зараженный сайт. Патч, исправляющий уязвимость, был выпущен 22 марта.



exploit-db.com/exploits/39599


14 марта 2016 обнаружена критически опасная ошибка в антивирусном движке Comodo. Исполнение произвольного кода было возможно при распаковке антивирусом вредоносных файлов, защищенных протектором PackMan. Packman — малоизвестный паковщик с открытым исходным кодом, Comodo распаковывает его в ходе сканирования.



При обработке файлов, сжатых этим паковщиком с определенными опциями, параметры сжатия считываются напрямую из входного файла без валидации. При помощи фаззинга было выявлено, что в функции CAEPACKManUnpack::DoUnpack\_With\_NormalPack можно передать указатель pksDeCodeBuffer.ptr по произвольному адресу, что позволяет атакующему освободить функцией free() произвольный адрес. Уязвимость позволяет злоумышленнику выполнять код с привилегиями NT\_AUTHORITY\SYSTEM. Патч вышел 22 марта.



exploit-db.com/exploits/39601


Что делать



Несмотря на уязвимости антивирусов, совсем отказаться от них затруднительно. В тех случаях, когда требуется анализировать большие объемы файлов, антивирусные движки справляются с работой быстрее альтернативных решений (например, «песочниц»). Это достигается за счет развитого статического анализа.



На наш взгляд, при построении эффективной системы защиты на основе антивирусных решений должны достигаться и точность детектирования, и минимизация рисков, привносимых самим средством защиты. Вот некоторые перспективные направления для решения этой задачи:



— Точность и оперативность обнаружения повышаются при помощи сканирования несколькими антивирусными движками различных производителей. Такую возможность дают некоторые онлайновые сервисы (например, Virustotal.com) – однако в этом случае требуется загружать свои файлы на сторонний ресурс, то есть возникает риск утечки конфиденциальных данных к «третьим лицам». Логично было бы организовать такое сканирование на локальном сервере, без лишних обращений к сторонним приложениям.



— Риски безопасности можно снизить, если исследовать подозрительные файлы в изолированной безопасной среде. При этом надо понимать, что современное вредоносное ПО уже умеет анализировать окружение и обходить некоторые «песочницы», либо не проявлять себя в них. Поэтому необходимо использовать «ловушки», которые максимально похожи на рабочую систему, где можно долго и незаметно наблюдать за поведением зловреда.



— Даже обнаружив вредоносное ПО, антивирус не может выявить все объекты, которые подверглись зловредному воздействию в прошлом, до обнаружения. Поэтому желательно, чтобы защитная система давала возможность ретроспективного анализа.



Эти и другие технологии мы применяем сейчас в разработке системы PT MultiScanner.



Original source: habrahabr.ru.

https://habrahabr.ru/post/283448/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Как тестируют антивирусы. Взгляд изнутри

Вторник, 27 Апреля 2016 г. 01:10 (ссылка)

Cezurity testing before meПоследние лет пять я занимаюсь тем, что помогаю делать тестирование системных приложений быстрее и дешевле. По молодости (будучи юн и горяч) я старался просто работать быстрее руками и внимательнее головой, но постепенно пришло понимание, что у ручного тестирования есть предел эффективности: для отдела из руководителя и двух тестировщиков это примерно 30 фич в месяц. Казалось бы — нет проблем, ведь существует хорошо отработанный путь по беспощадной автоматизации тестирования — одно избавление от регресса даст с лихвой свобдного времени, выберем просто систему из того, что есть на рынке, внедрим и будем жить счастливо. И тут жизнь заявляет: «Нет.»

И дело не в том, что все системы автотестов имеют фатальный недостаток или не отвечают простому списку требований, порожденному моей буйной фантазией(ссылка на мои требования) Проблема тестирования системного софта отмечена еще в 2013 году талантливым исследователем Фридлянд Ю. М. и звучит она как «обеспечение

поддержки перезагрузки в системе автотестов». Почти месяц формирований разнообразных запросов к поисковым системам привел меня к факту, что иных релевантных ответов на вопрос «как делать автотесты с перезагрузкой» кроме презентации к дипломному проекту наших партнеров нет. О боги, подумал я, прочитав тот pdf — тащить целый TFS со всей сопутствующей инфраструктурой Microsoft ради жизни после перезагрузки?

Жирная белочка


За что мне это?

И я стал изучать другие решения. Да-да, я действительно смотрел docker, читал про ci на основе jenkins, пробовал и разочаровывался — либо решение полностью не подходило, либо количество необходимых смежных технологий к изучению давало в перспективе уникально-модифицированное неподдерживаемое решение (либо поддерживаемое штатом высококлассных специалистов), я менял проекты и работодателей(на все более именитых конечно же), но везде видел одно и то же — тестировать системный функционал(обновление драйверов, выключение ОС, лечение вирусов, проверка автозагрузки) руками являлось наиболее быстрым, надежным и дешевым способом.

А потом я открыл для себя python. На одной этой технологии оказалось возможным написать простой менеджер виртуальных машин (import pysphere), веб-интерфейс к нему (import web2py), агента тестирования- win32 службу (import win32service), доставляемого на виртуалку через iso образ, и сами тесты, собранные в отдельные exe-файлы через pyinstaller(чтобы не мучиться с предподготовкой систем, инсталляцией python etc). Все это добро поддерживается 1 специалистом со знанием 1 технологии, bus-фактор минимален, чему я несказанно рад.

Таким вот нехитрым образом мы избавились примерно за полгода разработки своего велосипеда от регресс и смоук-тестов, на ручные тесты падает только новый функционал, от чего у всего отдела тестирования волосы стали мягкими и шелковистыми, чего и вам желаю.

Собственно, после набора некоторого количества новых фич, мы отдаем продукт зондер-команде — нашим бета-тестерам, кстати присоединяйтесь и через фидбек в техподдержке доводим качество до небывалых высот.



Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/282548/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<антивирусы - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda