Вся правда об антивирусах

Андрей Семенюченко

Спецвыпуск: Хакер, номер #058, стр. 058-038-4

Кстати, не стоит искать уязвимости продуктов Symantec на сайте www.securityfocus.com. Данный портал был куплен компанией Symantec в прошлом году :).

- Symantec обнаруживает многие вирусы, но нормально убить их, не то что лечить, ему вряд ли удастся.

- Медленнее всех выполняет полное сканирование жесткого диска.

Антивирус Касперского

- Не самый быстрый антивирус, но, видимо, за качество приходится платить.

- Существовала бага с обработкой zip-архивов. Суть в том, что для каждого находящегося в архиве объекта zip хранит две копии заголовка (local/central directory), содержащего, среди прочего, реальный размер распакованного файла. Если злоумышленник в обоих заголовках укажет значение размера равным нулю, то антивирусный сканер ошибочно посчитает объект слишком маленьким для проверки и пропустит его (пофиксено после огласки, следует добавить ради справедливости).

- Неудачная четвертая версия, ее продукты отличаются непродуманным и совершенно недружелюбным для пользователя интерфейсом.

- Антивирус Касперского все-таки удаляет многие вирусы, даже не пытаясь лечить их.

Trend Micro

- По умолчанию к папке установки Trend Micro Office Scan и соответствующему разделу реестра дается полный доступ группе Everyone.

- Выпуск "сырых" (непроверенных) обновлений, приводящих к нарушению работы системы, проблемам доступа к сетевым ресурсам и др.

- Некорректная обработка сформированных особым образом архивов в формате ARJ. Для реализации нападения злоумышленнику необходимо вставить в локальный заголовок архива чрезмерно длинное имя файла. Если атака пройдет успешно, будет выполнен произвольный вредоносный код на удаленном компьютере.

- Когда Trend Micro PC-cillin Internet Security выдает предупреждения пользователю, она создает HMTL-файл в каталоге временных файлов на целевой системе и затем загружает файл через Microsoft Internet Explorer. Удаленный пользователь может создать специально сформированный zip-архив и HTML, который заставит браузер целевого пользователя загрузить zip-файл. Затем, когда программное обеспечение Trend Micro сгенерирует предупреждение для zip-файла (что он содержит некоторый злонамеренный код), будет выполнен произвольный код сценария, содержащийся в zip-файле.

- Слабая техническая поддержка, российская версия портала Trend Micro на английском языке.

Примеров широко известных "защищенных" операционных систем и приложений, к сожалению, нет. Частично удовлетворяет требованию "защищенности" Java-машина, которая запускает Java-приложение в режиме "песочницы". И действительно, "настоящих" вирусов и троянских программ в виде Java-приложений не было достаточно долго (за исключением тестовых вирусов, которые практически неработоспособны). Вредоносные программы в виде Java-приложений появились лишь тогда, когда были обнаружены способы обхода встроенной в Java-машину системы безопасности.

Самым известным примером сетевого червя был Lovesan, появившийся в августе 2003 года и использовавший для своего распространения критическую уязвимость в операционной системе Windows.