Уязвимость

В последние дни в средствах массовой информации зазвучала тема уязвимости «magic byte» («волшебный байт»), обнаруженной Андреем Бэйора (Andrey Bayora).

В описании уязвимости утверждается, что большинство антивирусных сканеров не способны обнаружить вредоносную программу, если ее файл имеет ложный заголовок.

По большей части это сводится к невозможности распознать скриптовые вредоносные файлы вроде bat или html, если они обладают, например, заголовком MZ. Большинство антивирусных сканеров считают подобные файлы исполняемыми, в результате чего скриптовый вредоносный код остается необнаруженным.

Чтобы корректно распознать подобный файл антивирус должен провести избыточное сканирование: проверить весь файл на наличие в нем заголовков и вредоносного кода.

Основным результатом развернувшейся дискуссии стал вопрос, можно ли вообще считать обнаруженную Андреем особенность «уязвимостью»?

Поскольку контрольная сумма подобного файла изменилась, этот файл уже нельзя считать аналогичным тому же вредоносному файлу, но с корректным заголовком. Таким образом, с точки зрения антивирусного сканера, файл с подобным заголовком является просто новой версией ранее обнаруженной вредоносной программы. Поэтому с технической точки зрения «magic byte» нельзя считать уязвимостью антивирусного сканера.

Разумеется, на этот счет можно спорить. Однако главным для пользователей остается вопрос о том, насколько эта «уязвимость» угрожает их безопасности.

На мой взгляд, на данный момент угрозы пользователям нет. Во-первых, нет примеров использования «magic byte» в реальных ITW-вирусах. Во-вторых, мы ежедневно добавляем в базы десятки перепакованных вариантов ранее обнаруженных вредоносных программ, а это практически то же самое, что добавление в базы «magic byte»-варианта какого-либо червя или троянца.

Гораздо хуже было бы, если бы наш антивирусный сканер не поддерживал распаковку бинарных программных файлов, запакованных наиболее распространенными упаковщиками. Вместе с тем мы, конечно же, работаем над патчем, устраняющим данную «уязвимость». Или же — с нашей точки зрения — собираемся добавить в антивирусный сканер новую функцию, позволяющую детектировать подобные файлы без обновления антивирусных баз.