Обход антивирусов через обычный текст реален?

Как выяснили исследователи из Университета Джонса Хопкинса в Балтиморе, вирусмейкеры могут преодолеть защиту большинства антивирусных систем, упрятав вредоносный код в обычный текст.

Одним из наиболее популярных методов взлома является “инъекция кода”, когда исполняемый код сначала доставляется на машину жертвы, а потом запускается на ней. Современные средства защиты основаны на предположении, что такой код отличается от обычного незашифрованного текста – скажем, английской прозы. Однако группа ученых смогла найти способ, позволяющий прятать вредоносный код в предложения на английском языке.

Джош Мэйсон с коллегами по университету разработали метод поиска по большим объемам английского текста (они использовали свыше 15 тысяч статей из Wikipedia и 27 тысяч книг из онлайн-библиотеки Project Gutenberg) , который позволяет находить комбинации, пригодные для использования в коде. Подходящие для этого фрагменты выделяются жирным шрифтом, а остальные пропускаются.

Теоретически наличие такой возможности рассматривалось и ранее, однако до сих пор эксперты склонялись к тому, что правила английской грамматики не позволят создавать машинные команды, состоящие зачастую из одних заглавных букв. Однако исследователи утверждают, что им удалось создать действующий образец эксплоита, который показывает, как использовать данную уязвимость. Они надеются, что его создание вдохновит разработчиков средств защиты на принятие мер предосторожности, пока аналогичную методику не взяли на вооружение хакеры. Ознакомится с работой ученых можно здесь.

Источник: Хакер.ру