Эксперты компьютерной безопасности уверены, что большинство антивирусный программ содержат в своей основе морально устаревшие механизмы обнаружения угроз, которые существенно отстают ни только от создателей вирусов, но и от повсеместно используемых современных форматов данных, языков программирования и алгоритмов. Этот факт доказывают своим существованием трояны, которые распространяются по открытым каналам связи и используют идентичные методы нападения, заражая защищенные антивирусами системы. Очередным доказательством бездействия разработчиков антивирусов стало исследование, проведенное специалистом компьютерной безопасности Брэндоном Диксоном (Brandon Dixon). Изучая спецификацию формата данных XDP (XML Data Package) его заинтересовала структура получаемого документа. Дело в том, что формат XDP, представляет собой обычный PDF-документ, только содержит дополнительное описание на языке XML, а PDF-данные кодируются с использованием алгоритма Base64. Такой документ предназначен для передачи данных между веб-приложениями, но может быть открыт и в обычной программе просмотра PDF-файлов, например Adobe Reader. Исследователя заинтересовало как антивирусные программы обрабатывают документы XDP-формата. Для анализа, специалист использовал специально сформированный PDF-документ, содержащий эксплойт уязвимости CVE-2009-4324. Поместил его в контейнер XDP-документа, закодировав с использованием Base64, как того требует формат. По результатам проверки, ни один из 43 антивирусов, представленных на веб-сервисе VirusTotal, не обнаружил вредоносного кода. Несмотря на то, что эта уязвимость и эксплойт хорошо известны по вирусным атакам конца 2009 года. Еще одним удивлением для специалиста стал тот факт, что Acrobat Reader оказался также уязвим, несмотря на устранение этой уязвимости в январе 2010 года. Но самое интересное произошло после публикации статьи в Интернет. Другой специалист компьютерной безопасности, Алекандр Клинк (Alexander Klink) рассказал, что такой способ обхода антивирусной защиты он продемонстрировал еще в феврале 2011 года. А модуль преобразования PDF-файла в XDP-формат уже доступен в составе библиотеки аудита безопасности Metasploit Framework. Специалисты информационной безопасности рекомендуют пользователям осмотрительней относиться к открытию файлов неизвестных форматов, а с целью противодействия автоматическому заражению - запретить просмотр PDF-документов в веб-браузере и отключить использование JavaScript в настройках Adobe Reader.
Подробности