Ry
Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Цитата:| Еще раз доказывает, что опора только на сигнатуры малоэффективна сейчас: когда вирус уже "на каждом столбе" себя афиширует - вот он я, вирус, уже всех заразил, уже на форумах описан, разве не видно, и только тогда вирлабы начинают шевелиться от безысходности. |
Сигнатуры нет до тех пор, пока в вир.лаб не попадет сэмпл. А сэмплы могут долго бродить по инету(и заразить до хрена народу) прежде чем попадут в хонипоинт какого-то вендора.
Например Rustock.C - его поймали в мае 2008, хотя слухи о его появлении ходили с декабря 2006 года, а доктор веб поймал рустока который был собран в конце 2007 года.
Потом можно взять буткит Sinowal(конец 2008 - начало 2009) - он был неуловим для вендоров очень долго, благодаря умно-спланированным атакам на юзеров. Он распространялся через взломанные сайты используя "мертвый" эксплойт-пак Neosploit, оценивал установленное ПО на компе жертвы и используя список установленного ПО генерировал персональный эксплойт и дроппер буткита для каждого клиента и не выдавал эксплойт и буткит второй раз. Это очень сильно осложняло разработку защит направленных на предотвращения заражений им, так как эксплойт и дроппер для дяди Саши методами анти-эмуляции и обфускации отличался от эксплойта и дроппера выданного дяде Пети. В момент появления буткита заражение MBR считалось не актуальным. В это очень осложнило работу аверам, так как установка буткита происходила через дырявое, доверенное приложение(самыми популярными по пробиву тогда стали MS Office и Adobe Reader), а значит проактивки и хипсы шли лесом, попадание на комп происходило через персональный эксплойт, а значит веб-ав и прочие фильтры трафика отправляли лесом, буткит заражал "неактуальный" MBR, а значит аверы его просто не сканировали. |
а так бы хрен....