Superhackeři dokážou přelstít virové skenery

Bezpečněji: Většina bezpečnostního softwaru už umí spolupracovat přímo s Windows.

Moderní virové skenery sázejí při rozpoznávání škodlivého softwaru na dvě možnosti: signatury a rozpoznávání podle chování. V prvním případě porovnávají části spuštěného programu se seznamem typických řetězců (signatur) a odhalí tak většinu škůdců. Pro útočný software, pro nějž dosud nejsou známy signatury, se používá druhá možnost. Zde antivirový nástroj sleduje každé vyvolání programu a registruje podivné způsoby chování aplikace. Právě toto sledování chování nyní hackeři skupiny Matousec obelstili. Jakmile aplikace vyvolá určitou systémovou funkci, například pro zavedení ovladače, antivirový program nejprve zkontroluje, zda by za voláním nemohl vězet zlý úmysl. Není-li tomu tak, antivir volání předá vlastní systémové funkci k provedení. Hackerská skupina ovšem umí šikovným střídáním kontextu (přepínáním mezi dvěma běžícími procesy) ve zkoušce obstát a škodlivý kód zavést. K tomu útočníci využívají tzv. „SSDT hooks“ v jádru Windows, aby například po kontrole změnili název ovladače, který má být zaveden. Skupina uvádí 34 renomovaných výrobců antivirů, jejichž produkty jsou zranitelné.
Výhoda pro hackery: Rezignace na pomoc
Podle většiny výrobců antivirů je však útok velmi nepravděpodobný, poněvadž v důsledku změn blízkých systému se spíše objeví „modrá obrazovka“, než aby virový skener nechal útočníka projít. Počínaje verzí Windows 7 nabízí Microsoft výrobcům speciální API, které SSDT hooks nepotřebuje. Podle názoru výrobců však toto rozhraní nezahrnuje všechny nezbytné sledovací funkce. Proto výrobci raději pracují na vlastních řešeních.