Новости

Опубликовано в журнале "Компьютерра" №7 от 22 февраля 2005 года.

Страница 4 из 15. Вернуться на первую страницу.

Антивирус для вируса для антивирусов

К уязвимостям в обычных программах все уже привыкли, но и программное обеспечение для защиты компьютера тоже не заговоренное. Эту печальную истину подтвердила в начале февраля компания Symantec, признав, что в значительной части ее продуктов имеется опасная недоработка. Ошибка, обнаруженная специалистами сторонней фирмы (Internet Security Systems), прячется в модуле DEC2EXE, который программы Symantec используют для чтения исполняемых файлов, упакованных с помощью популярной утилиты UPX. Предложив DEC2EXE особым образом искаженный исполняемый файл, в тело которого внедрен зловредный код, можно добиться ошибки переполнения буфера и перехватить управление системой.

Проблема усугубляется тем, что библиотека Symantec AntiVirus Library, в состав которой входит DEC2EXE, используется во множестве пакетов для персоналок и серверов на нескольких платформах. Пользователи Norton AntiVirus, Symantec Mail Security, Symantec BrightMail и многих других продуктов для Windows, Linux, Mac OS X, Solaris и AIX оказались под угрозой атак. Ведь фактически всё, что нужно злоумышленнику для успешного взлома, это отослать жертве по электронной почте модифицированный UPX-файл с внедренным в него вирусным кодом. Остальное антивирус сделает сам: попытается проверить письмо и нечаянно запустит вирус.

По данным Symantec, попыток эксплуатации уязвимости пока не зафиксировано, но всем пользователям настоятельно рекомендуется установить соответствующие патчи или самый свежий софт. Также можно отключить модуль DEC2EXE, если настройки конкретного пакета это позволяют. На случай, если вирус, использующий эту дыру, все же появится, антивирусы ISS и Symantec уже оснащены эвристическими алгоритмами его обнаружения. — Е.З.