30.08.2005г.
Злоумышленники могут прятать свои программы в Windows-ПК при помощи очень длинных ключей реестра, предупреждают секьюрити-эксперты
Эти ключи находятся в Windows Registry, важном компоненте операционной системы, где хранятся параметры настройки ПК. Некоторые антивирусные и антишпионские продукты сканируют реестр на наличие вредоносных программ, но эта новая уловка позволяет хакерам прятать такие программы, утверждает поставщик секьюрити-ПО StillSecure. "Ее можно использовать для сокрытия в системе вредоносных программ, которые не будут обнаруживаться инструментами защиты или средствами сканирования реестра", — предупреждает главный технолог StillSecure Митчелл Эшли. StillSecure утверждает, что обнаружение или устранение этих программ затруднено или даже невозможно.
В четверг организация SANS Internet Storm Center, которая наблюдает за интернет-угрозами, привела перечень некоторых приложений, которые можно обмануть при помощи слишком длинных ключей. В него входят AdAware, Microsoft Windows AntiSpyware, HijackThis, Norton SystemWorks 2003 Pro, Microsoft Windows Registry Editor и WinDoctor. "Пользователям важно знать, есть ли белые пятна в безопасности их локальной системы, — пишет на веб-сайте SANS ISC сотрудник SANS Роберт Данфорд. — Поэтому в ближайшие недели нужно будет внимательно следить за обновлениями". Данфорд сотрудничает также с командой распространения секьюрити-предупреждений StillSecure.
Особенно опасны так называемые ключи run реестра. Они используются для запуска приложений при загрузке Windows. Microsoft Registry Editor и некоторые популярные секьюрити-программы не обнаруживают слишком длинные ключи в Windows Registry, тем не менее приложения будут запускаться, предупреждает Эшли из StillSecure. "Авторам шпионского ПО будет очень легко спрятать в вашей машине слишком длинный ключ", — говорит он.
В пятницу представитель Microsoft сказал, что компания изучает проблему. Производитель ПО отмечает, что атакующий не может спрятать таким способом ничего, предварительно не взломав систему. "Эта проблема не позволяет злоумышленнику дистанционно или локально атаковать компьютер пользователя. Для этого он должен предварительно взломать защиту или убедить пользователя исполнить специальную программу".
По словам представителя Microsoft, это не уязвимость, а функция операционной системы, которую можно использовать не по назначению. Microsoft не известно ни о каких случаях использования этого метода сокрытия программ.
Однако SANS в четверг сообщила, что она начала изучать "некоторые сообщения о злонамеренном ПО, которые могут относиться к использованию такого метода маскировки". Организация надеется, что в ближайшие недели производители ПО исправят свои продукты, с тем чтобы они позволяли видеть такие ключи.
Секьюрити-компания Secunia оценивает проблему реестра Windows как "некритическую". Французская Security Incident Response Team тоже присвоила ей "низкий уровень риска".
Источник: ZDNET
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики
