Оффтоп, да. Детектируем те сборки Team Viewer, которые были модифицированы злоумышленниками для вредоносных целей. Фактов использования оригинальной версии Team Viewer в таких целях отмечено не было.
Детектирование Radmin в качестве потенциально опасного ПО корректно, так как данная программа зачастую некорректно используется злоумышленниками (в отличие от Team Viewer).
Если ссылка уже в блэк-листе (как сейчас) — сразу блокировка.
Если ссылку пока не знаем, приложение получится скачать, дальше — автоматическое сканирование и блокировка.
ESET детектирует эти версии FinFisher, то есть скачать троянизированный дистрибутив в данном случае не получится – заблокирует.
В целом, продукты проверяют локальный кэш файла или URL на предмет связи с известными угрозами, сверяют данные с черными и белыми списками по своей базе, далее запрашивают информацию о репутации объекта из облачной системы ESET LiveGrid и блокируют как известные угрозы, так и подозрительные файлы.
Правильно ли я понимаю, что первая часть ресерча, которая относится к обходу механизма безопасности SPI Protected Ranges используется для снятия защиты на запись той части памяти чипа, где будет размещен SMM-код, а вторая часть посвящена 0day уязвимости в драйвере, с помощью которой можно передать на SMM-код управление. Если да, то это и имелось в виду.
Тема к исходному посту отношения не имеет.
Детектирование Radmin в качестве потенциально опасного ПО корректно, так как данная программа зачастую некорректно используется злоумышленниками (в отличие от Team Viewer).
Если ссылку пока не знаем, приложение получится скачать, дальше — автоматическое сканирование и блокировка.
В целом, продукты проверяют локальный кэш файла или URL на предмет связи с известными угрозами, сверяют данные с черными и белыми списками по своей базе, далее запрашивают информацию о репутации объекта из облачной системы ESET LiveGrid и блокируют как известные угрозы, так и подозрительные файлы.
Полную схему обхода обнаружения в рамках комментария не распишу. Детали есть в отчете вирлаба, его версию на русском опубликуем позже.
Пожалуйста, пришлите нам по адресу support@esetnod32.ru в архиве с паролем данный исполняемый файл.