Jak podaje Dziennik In­ter­nau­tów spe­cja­li­ści z matousec.com opu­bli­ko­wali raport pre­zen­tu­jący metodę ataku, która omija aż 34 apli­ka­cje an­ty­wi­ru­sowe. Wśród nich są między innymi an­ty­wi­rusy takich firm jak Ka­sper­sky Lab, Symantec, McAfee, Sophos i wiele innych. Co zdu­mie­wa­jące produkt Mi­cro­so­ftu — Security Es­sen­tials jest odporny na tego typu ataki.

Metodę ataku te­sto­wano na Windows XP SP3 oraz Windows Vista SP1 x86. Polegała ona na pod­mia­nie ar­gu­men­tów, na­zy­wa­nym KNOBE (ang. Kernel Hook By­pas­sing Engine). Za­ska­kuje mnie fakt, że podobne metody opisano już w 1996 i 2003 roku. Dlaczego od tego czasu pro­du­cenci opro­gra­mo­wa­nia an­ty­wi­ru­so­wego nie wy­cią­gnęli wniosków nie wiadomo.

An­ty­wi­rusy za­bez­pie­cza­jące nasz komputer poprzez wy­ko­rzy­sta­nie mo­dy­fi­ka­cji SSDT (ang. System Service De­scrip­tor Table) tworzą swoistą nić z wnętrzem systemu ope­ra­cyj­nego. Właśnie to po­łą­cze­nie wy­ko­rzy­stuje ten atak. Pod­mie­nia­jąc od­po­wied­nie ar­gu­menty w okre­ślo­nych mo­men­tach czasu można ominąć opro­gra­mo­wa­nie więk­szo­ści firm pro­du­ku­ją­cych antywirusy.

W od­róż­nie­niu od reszty Mi­cro­soft Security Es­sen­tials, wydany w 2009 roku nie wy­ko­rzy­stuje SSDT. Dlatego kom­pu­tery w niego za­opa­trzone nie są wrażliwe na atak. Mi­cro­soft o pewnego czasu su­ge­ro­wał żeby odejść od za­gnież­dża­nia SSDT. Na­wo­ły­wał on do sto­so­wa­nia spe­cjal­nego API, które jest dostępny w Viście i 7. Lecz w przy­padku nadal po­pu­lar­nego na szeroką skalę XP’ka pro­du­cenci muszą wymyślić coś innego.

Dodam jeszcze, że od pewnego czasu sam stosuje MS Security Es­sen­tials i jestem za­do­wo­lony z jego dzia­ła­nia. Program podczas in­sta­la­cji sprawdza ory­gi­nal­ność systemu ope­ra­cyj­nego, zatem osobom, które takowego (z różnych powodów) nie maja, a chcie­liby z ofe­ro­wa­nego przez MS roz­wią­za­nia sko­rzy­stać, zalecamy za­opa­trze­nie się w oryginał.

[ź] di.com.pl