Sophos: UAC не защитит вас от вредоносного ПО

Запись в блоге, сделанная старшим инженером по безопасности компании Sophos, Честером Вишниевски (Chester Wisniewski), гласит, что недавние тесты Sophos показали, что функция User Account Control, которая запрашивает у пользователя разрешение для предоставления повышенных привилегий, является неэффективной в деле предотвращения выполнения образцов вредоносного ПО на компьютере под управлением Windows 7, если на нем нет антивируса.

В то время, как два из десяти выбранных образцов вредоносных программ вовсе не могли запуститься в Win7, всего один образец (червь с низким показателем распространения под названием W32/Autorun-ATK) был остановлен UAC. Остальные семь легко запустились.

Среди тех вредоносных объектов, которые беспрепятственно запустились на тестовом компьютере, следует отметить Troj/FakeAV-AFY и Troj/FakeAV-AFX, два трояна с низким уровнем опасности, которые видны даже при проверке бесплатным антивирусом; Mal/EncPk-KY и Mal/EncPk-KP, два средненьких спам-вируса; Troj/Agent-LIW, троян, который управляет поведением Internet Explorer; Troj/Zbot-JN, троян, который пытается украсть банковские данные, маскируясь под анонимный e-mail-запрос, и W32/Autorun-ATC, червь, изменяющий сценарий запуска.

"UAC заблокировал лишь один образец, однако, его неспособность блокировать все остальные лишь подтверждает мое предупреждение касаемо Windows 7, что конфигурация UAC по умолчанию не является эффективным средством защиты ПК от современных вредоносных программ" - пишет Вишниевски.

Конфигурация по умолчанию изменилась в Windows 7, став на один уровень ниже (при этом перестала раздражать некоторых пользователей), чем в Vista. В процессе тестирования в начале этого года, это решение Microsoft стало причиной серьезных разногласий касаемо эффективности решения и, в частности, возникновения привилегии самоуправляемых привилегией, которую все сочли подарком для авторов эксплойтов.

Как рассказал Вишниевски нашему изданию, в его намерения не входило доказательство неэффективности UAC, однако, он хотел показать, что Windows 7 может быть уязвима в такой конфигурации.

"Это был небольшой тест, чтобы определить эффективность административных прав посредством использования только UAC, чтобы обеспечить защиту от вредоносных программ компьютера под управлением Windows 7" - объяснил Вишниевски. "Я не проверял, как будет вести себя Windows 7 в случае, когда UAC работает в режиме Vista".

Но если решением проблемы является антивирус (а Sophos, конечно же, является разработчиком антивирусного ПО), то какой толк в UAC?

"Я сделал несколько последующих тестов, хотя, как и в случае с вредоносным программным обеспечением, для этого все же надо немного времени, чтобы безопасно выполнять эти тесты. У меня появились кое-какие данные и результаты, на основании которых я поделился своими рекомендациями касаемо UAC " - он ответил. "Я просто хотел предупредить пользователей, что UAC не может эффективно защищать компьютеры от вредоносных программ. Я думаю, Microsoft признает это, что отражается в их усилиях по увеличению безопасности в Microsoft Forefront и Essentials". Но в целом Sophos считает, что UAC неэффективен против вредоносного ПО, работа которого основана на увеличении уровня привилегий, даже если это ПО не входит в число самых опасных вирусов.

"Мы не выбирали конкретные образцы, взяв лишь десять наиболее свежих и наиболее распространенных. Большинство из них были относились к типу 'Fake AV', даже если в названии образца это не указано. У нас есть общие средства для обнаружения вредоносного ПО, их групп и других подобных гадостей. С надлежащей защитой от вредоносных программ Windows 7 намного безопаснее" - признали инженеры по безопасности Sophos.

"UAC лишь представляет собой дополнительный уровень защиты, который поможет в случае, если вашему антивирусу не удалось обнаружить новой образец. Правда, на моем опыте подобных случаев не было".


Источник: http://www.betanews.com
Перевод: houseboy