Вся правда об антивирусах

Андрей Семенюченко

Спецвыпуск: Хакер, номер #058, стр. 058-038-3

Ключевым компонентом любого антивирусного решения является техническая поддержка, поскольку мы знаем, насколько часто возникают проблемы с антивирусным ПО. Как видно из таблицы, все компании предоставляют своим клиентам услуги технической поддержки, только Trend Micro и McAfee впаривают эту услугу за дополнительную плату.

Из личного наблюдения

Описав возможности антивирусов, окинем взором их недостатки!

Dr.Web

- Иногда Dr.Web ничего не находит на зараженном компьютере (мнение субъективное – прим. Лозовского).

- Частая блокировка ключей (конечно, это не касается лицензионных пользователей, а пиратам так и надо, злодеям ;)).

- При обновлении часто возникает сообщение "Ошибка получения файла версий", которая уже никого не удивляет.

- При использовании Apache некоторые скрипты перестают корректно выполнять свою работу. Такое бывает при использовании Spider Guard от Dr.Web.

McAfee

- При установке McAfee Office наблюдается нестабильная работа, видимо, из-за множественности одновременно запускаемых программ (по умолчанию пять). Сократив их количество, можно добиться более-менее стабильной работы.

- Сбои при запуске модуля отчетов Discover Pro.

- Компонент McAfee VirusScan's WebScanX подключается в explorer.exe. Когда Explorer используется для просмотра каталогов и основной каталог пользователя расположен на сетевом ресурсе, WebScanX вызывает несколько .dll-файлов в основном каталоге пользователя. Нападающий может внедрить произвольный код в эти dll, который будет выполнен на системе пользователя с системными привилегиями.

- При сканировании сформированных особым образом архивов в формате LHA в движке антивируса возникает ошибка переполнения буфера, после чего нападающий получает возможность выполнить на машине вредоносный код.

Eset

- Eset NOD32 не всегда может определить точное название вируса, номер его версии и т.д.

- В антивирусе Eset's NOD32 для UNIX-систем существует ошибка, приводящая к переполнению буфера. Локальный пользователь может получить root-привилегии.

Использовать уязвимость очень просто. Создаем имя пути длиннее 500 символов. В результате уязвимость позволяет перезаписать EAX и ECX регистр, после этого выполнить произвольный код с привилегиями сканирующего процесса (root-пользователь). Пример:

$ perl eggnod.pl

$ mkdir -p /tmp/`perl -e 'print "A" x 255'`/`perl -e 'print "B" x 240 . "\xfc\xbf\xbf"'`

$ nod32 /tmp

Уязвимость обнаружена в NOD32 1.012.

- Существуют редкие ложные срабатывания. Но и одного такого случая достаточно, если в результате вместо вируса удален нужный файл.

Symantec

- Редкие обновления большого размера (обычно не менее 4 Мб).

- При попытке просканировать на наличие вирусов с локальной машины антивирус выдает ошибку 0х2. Однако при сканировании этого же компьютера через Symantec System Center Console все идет нормально.

- Существует уязвимость в обработке UPX сжатых файлов. Уязвимость вызвана ошибкой в модуле антивируса DEC2EXE.