Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Fausses idées et antivirus

Антивирусная неправда

D'autres publications de cette rubrique (13)
  • Ajouter aux favoris
    Ajouter aux favoris

À propos des signatures frauduleuses

Lu par: 2050 Commentaires: 15 Cote de popularité: 41

Les chercheurs investissent en permanence leurs efforts dans la recherche de moyens permettant de contourner la protection antivirus. Et il y a des raisons à cela : le logiciel antivirus doit tendre vers la perfection, même si l'invulnérabilité complète est impossible. Cependant, un logiciel ayant des vulnérabilités ne peut pas résister aux programmes malveillants.

Un chercheur de la société israélienne Deep Instinct, Tom Nipravsky, a mis au point une nouvelle méthode permettant d'injecter un code malveillant dans les fichiers ayant une signature numérique légitime sans violer la signature, et de télécharger ces fichiers dans la mémoire d'un autre processus. Les résultats de cette étude ont été présentés dans le cadre de la conférence Black Hat.

La méthode développée par Nipravsky peut devenir un outil précieux dans les mains de pirates pratiquant le cyber espionnage, car elle leur permettra d'infecter le système avec des logiciels malveillants à l'insu des solutions antivirus.

http://www.securitylab.ru/news/483311.php

Le problème réside dans le fait que la signature d’un fichier doit être stockée quelque part. La technologie de vérification de l'authenticité des logiciels Microsoft Authenticode, tournant sous Windows, sauvegarde des informations dans l'en-tête du fichier dans le champ Tables d'attributs du certificat, or ce tableau n'est pas pris en compte par la somme de contrôle du fichier, puisque les informations y sont enregistrées après le calcul de la somme. Et c'est ici que les malfaiteurs peuvent placer des données.

Dr.Web recommande :

Les solutions antivirus Dr.Web vérifient tout le fichier, y compris son en-tête. La protection Dr.Web considère qu'il est imprudent de faire confiance aux signatures de fichiers. En particulier parce qu’il y a beaucoup de cas des signatures de fichier réalisées par des criminels.

BackDoor.Dande, conçu pour dérober des informations provenant d’applications utilisées par les pharmacies et les firmes pharmaceutiques, a infecté des ordinateurs dans 400 pharmacies environ, situées principalement dans les régions du sud de la Russie.

Les Trojans de la famille BackDoor.Dande contaminent des ordinateurs tournant sous Windows. La première version de ce logiciel malveillant a été conçue pour voler les informations de plusieurs systèmes de commandes électroniques utilisés dans l’industrie pharmaceutique, tels que le logiciel spécialisé " Analyt : Pharmacia " pour la plateforme 1C, le système de commandes électroniques SEZ-2 développé par la société "Apteka-Holding". Une version renouvelée du BackDoor.Dande, nommée BackDoor.Dande.2, est conçue pour voler des données de l'application "AIAS INPRO PHARM RYNOK" développée par la société "Informatsionnye téchnologuii".

BackDoor.Dande.2 comprend deux pilotes ayant chacun une signature numérique enregistrée au nom de la société SPB Group.

http://news.drweb.com/show/?c=5&i=4349&lng=ru

Les pilotes que le Trojan.Stuxnet installe dans le système sont équipés de signatures numériques volées à des fournisseurs de logiciels légitimes. Au mois de juillet, il s'est avéré que les signatures des sociétés Realtek Semiconductor Corp. et JMicron Technology Corp ont également été utilisées.

http://news.drweb.fr/show/?i=6029&c=5&lng=fr&p=43

En dépit de diverses allégations selon lesquelles il existe des moyens analogues de contourner les logiciels antivirus, nous pouvons conclure : il n'est pas prudent de faire confiance à des systèmes de protection basés uniquement sur le mécanisme de contrôle de l'intégrité de fichiers selon leurs sommes de contrôle et leurs signatures.

Evaluez les publications et recevez des Dr.Webonus ! (1 voix = 1 Dr.Webonus)

Authentifiez-vous et recevez 10 Dr.Webonus pour un lien vers une publication du projet dans un réseau social.

[Twitter]

En raison de limitations techniques liées aux réseaux sociaux Vk et Facebook, nous ne pouvons malheureusement pas vous offrir de DrWebonus. Mais vous pouvez partager gratuitement le lien vers cette publication.

Nous apprécions vos commentaires

10 Dr.Webonus pour un commentaire publié le jour de la sortie d’une news ou 1 Dr.Webonus un autre jour. Les commentaires sont automatiquement publiés et modérés après. Règles de commentaires de news sur le site de Doctor Web.

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.

Commentaires des utilisateurs