ډیری انټي ویروسونه د سمبولیک اړیکو له لارې د بریدونو لپاره حساس دي

د RACK911 لابراتوار څیړونکي پاملرنه راجلب کړه دا چې د وینډوز، لینکس او macOS لپاره نږدې ټول انټي ویروس کڅوړې د فایلونو د حذف کولو پرمهال د ریس شرایطو مینځلو بریدونو لپاره زیان منونکي و چې په کې مالویر کشف شوی و.

د برید ترسره کولو لپاره ، تاسو اړتیا لرئ یو فایل اپلوډ کړئ چې انټي ویروس د ناوړه په توګه پیژني (د مثال په توګه ، تاسو کولی شئ د ازموینې لاسلیک وکاروئ) ، او د یو ټاکلي وخت وروسته ، وروسته له دې چې انټي ویروس ناوړه فایل کشف کړي ، مګر سمدلاسه د فنکشن زنګ وهلو دمخه د ړنګولو لپاره، ډایرکټر د فایل سره د سمبولیک لینک سره بدل کړئ. په وینډوز کې، د ورته اغیز ترلاسه کولو لپاره، د ډایرکټر بدیل د ډایرکټر جنکشن په کارولو سره ترسره کیږي. ستونزه دا ده چې نږدې ټولو انټي ویروس سمبولیک لینکونه په سمه توګه ندي چیک کړي او په دې باور دي چې دوی ناوړه فایل حذف کوي ، فایل یې په لارښود کې حذف کړ چې سمبولیک لینک یې په ګوته کوي.

په لینوکس او macOS کې دا ښودل کیږي چې څنګه په دې ډول یو بې ګټې کاروونکي کولی شي /etc/passwd یا کوم بل سیسټم فایل حذف کړي، او په وینډوز کې د انټي ویروس DDL کتابتون پخپله د دې کار بندولو لپاره (په وینډوز کې برید یوازې د حذف کولو پورې محدود دی. هغه فایلونه چې اوس مهال د نورو غوښتنلیکونو لخوا نه کارول کیږي). د مثال په توګه، یو برید کونکی کولی شي د "استخراج" ډایرکټر جوړ کړي او د EpSecApiLib.dll فایل د ازموینې ویروس لاسلیک سره اپلوډ کړي، او بیا د "استثمار" ډایرکټر د لینک "C:\Program Files (x86)\McAfee\ سره بدل کړي. د پای ټکی امنیت\د پای ټکی امنیت” مخکې له دې چې دا پلیټ فارم له مینځه ویسي"، کوم چې به د انټي ویروس کتلاګ څخه د EpSecApiLib.dll کتابتون لرې کولو لامل شي. په لینوکس او ماکوس کې، ورته چل د "/etc" لینک سره د لارښود ځای په ځای کولو سره ترسره کیدی شي.

#! / bin / sh
rm -rf/home/user/exploit; mkdir/home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O/home/user/exploit/passwd
پداسې حال کې چې inotifywait -m “/home/user/exploit/passwd” | grep -m 5 "خلاص"
do
rm -rf/home/user/exploit; ln -s /etc /home/user/exploit
ترسره شوی

سربیره پردې ، د لینکس او macOS لپاره ډیری انټي ویروسونه وموندل شول چې د وړاندوینې وړ فایل نومونه کاروي کله چې په /tmp او /private/tmp لارښود کې د لنډمهاله فایلونو سره کار کوي ، کوم چې د روټ کارونکي ته د امتیازاتو د زیاتولو لپاره کارول کیدی شي.

تر دې دمه ، ستونزې لا دمخه د ډیری عرضه کونکو لخوا حل شوي ، مګر د یادونې وړ ده چې د ستونزې په اړه لومړني خبرتیاوې د 2018 په مني کې تولید کونکو ته لیږل شوي. که څه هم ټولو پلورونکو تازه معلومات ندي خپاره کړي، دوی ته د پیچلو لپاره لږترلږه 6 میاشتې وخت ورکړل شوی، او RACK911 لابراتوار باور لري چې دا اوس د زیان منونکو افشا کولو لپاره وړیا دی. د یادونې وړ ده چې RACK911 لابراتوار د اوږدې مودې لپاره د زیان منونکو پیژندلو په اړه کار کوي، مګر دا تمه نه درلوده چې د انټي ویروس صنعت څخه د همکارانو سره کار کول به دومره ستونزمن وي چې د تازه معلوماتو په خپرولو کې ځنډ او د امنیت سمولو اړتیا له پامه غورځوي. ستونزې

اغیزمن شوي محصولات (د وړیا انټي ویروس کڅوړه ClamAV لیست شوی نه دی):

• لینوکس
  • د BitDefender GravityZone
  • د کوډوډو پای پایه امنیت
  • د اییس فایل سرور امنیت
  • د F - خوندي لینکس امنیت
  • د کاسپرسي پای پایه امنیت
  • د مکافی پای پایه امنیت
  • سوفوس د لینکس لپاره انټي ویروس
• Windows
  • د وایس وړیا د انټي ویروس
  • د Avira وړیا د انټي ویروس
  • د BitDefender GravityZone
  • د کوډوډو پای پایه امنیت
  • د F - خوندي کمپیوټر محافظت
  • د اورښت پای پای امنیت
  • د مخنیوی ایکس (سوفوس)
  • د کاسپرسکي پای پای امنیت
  • د وینډوز لپاره مالویربایټس
  • د مکافی پای پایه امنیت
  • پانډا گنبد
  • په هرځای کې د ویب روټ خوندي کول
• macOS
  • AVG
  • د BitDenderender بشپړ امنیت
  • د ایسټ سائبر امنیت
  • د کاسپشرکی انټرنېټ امنیت
  • McAfee ټول محافظت
  • د مایکروسافټ مدافع (BETA)
  • د نورټون امنیت
  • سوفوس کور
  • په هرځای کې د ویب روټ خوندي کول

  سرچینه: opennet.ru