Создан хитрый софт, ломающий все антивирусы мира, включая «Касперский», Eset и Symantec. За ним могут стоять россияне
На русскоязычном хакерском форуме продается ПО Terminator, которое умеет выводить из строя все самые распространенные антивирусные системы, включая «Антивирус Касперского». Софт стоит $3000, но ИБ-эксперты уже разгадали, как он работает, и скоро антивирусы научатся с ним бороться.
«Российский» Terminator
В российском сегменте даркнета появилось объявление о продаже нового супер-средства для уничтожения самых передовых современных антивирусов под названием Terminator. Как пишет портал Bleeping Computer, оно размещено на одном из хакерских форумов – пост опубликовал пользователь, скрывающийся под псевдонимом Spyboy и называющий себя автором этой программы.
Привлекая внимание потенциальных покупателей, Spyboy заявил, что его «терминатор» способен уничтожать любые антивирусы и попутно платформы XDR (Extended Detection and Response) и EDR (Endpoint Detection and Response), защищающие пользователей от вирусов и хакерских атак. Впрочем, несколькими абзацами ниже он заявил, что Terminator способен сломать лишь 24 антивирусные системы и системы детектирования угроз, а вовсе не «любые».
Но, справедливости ради, стоит отметить, что он перечислил самые популярные и распространенные системы в мире. По утверждению автора, его детище Spyboy умеет бороться, в числе прочих, с «Антивирусом Касперского», Windows Defender, Symantec, а также с софтом ушедших из России Eset и Avast. Что примечательно, российского антивирусного ПО Dr. Web в перечне не оказалось, что заранее рушит миф об универсальности Terminator.
Казаться, а не быть
Разработка Spyboy, помимо неумения бороться действительно со всеми существующими защитными системами, имеет и ряд других недостатков. Например, чтобы программа начала работать, недостаточно просто подсунуть ее пользователю и как-то заставить активировать ее. Windows отреагирует на запуск Terminator предупреждением «Контроля учетной записи», что может вызвать подозрение у владельца ПК.
Сторонние эксперты довольно быстро выяснили и смогли доказать, что проку от Terminator гораздо меньше, чем заявляет его создатель. Вывести Spyboy на чистую воду смог пользователь Reddit под ником Andrew-CS, инженер ИБ-компании CrowdStrike. Он опубликовал на Reddit пост, в котором подробно описал принцип работы Terminator, и, как оказалось, в нем нет ничего сверхъестественного. Утилита после запуска помещает в системный каталог Windows подписанный драйвер антивируса Zemana — файл zamguard64.sys или zam64.sys – после чего Terminator использует его для получения повышенных привилегий на уровне ядра. Это дает программе возможность принудительно завершать работу антивирусов и защитных систем, что и преподносит Spyboy под видом универсального средства борьбы с такого рода ПО.
Только для богатых
Уверяя, что Terminator – это суперсредство для обхода антивирусов и систем защиты, Spyboy не собирается разрешать пользователям проверять его утверждения бесплатно. Каждый, кто хочет заполучить в пользование это ПО, будет вынужден перевести ему $3000 (242,9 тыс. руб. по курсу ЦБ на 2 июня 2023 г.).
В качестве доказательства работоспособности своего творения Spyboy опубликовал в Сети видео. На ролике запечатлено, как Terminator якобы борется с Sophos. Подлинность происходящего на записи не подтверждена.
Соблюдая традиции современного российского маркетинга, Spyboy сразу предложил потенциальным покупателям скидки, акции и промо-период. Так, первые пять человек, готовых раскошелиться на Terminator, смогут стать обладателем этой программы в обмен на $1500 (121,45 тыс. руб.).
Также Spyboy готов предложить покупателям Terminator всего лишь за 10% от цены – за $300 (24,3 тыс. руб.), но за эти деньги покупатель получит версию программы, способную работать только с одной конкретной системой защиты, которую нужно будет выбрать заранее. Но тут есть и другие ограничения – по неизвестным причинам хакер наотрез отказался продавать редакции Terminator, настроенные на исключительно на уничтожение систем SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex и Cylance.
Linux в безопасности?
Творение Spyboy официально не работает ни под Linux, ни под macOS, и даже под совсем уж старыми по меркам 2023 г. версиями ОС Windows оно тоже не запустится. По словам разработчика, Terminator способен вершить свои темные дела только под Windows 7 и последующими ОС Microsoft, включая новейшую Windows 11. Серверные версии Windows тоже поддерживаются, но тоже не все – в диапазоне от 2008 до 2022.
{video id="4649"}
С чем связаны эти ограничения, Spyboy не уточнил.
Скоро все закончится
На момент выхода материала большинство антивирусов не видели в драйвере, который Terminator копирует в системный каталог, ничего опасного, что повышает риск столкнуться с работой этой программы лицом к лицу и стать уязвимым перед хакерами. Но в ближайшем будущем все может измениться благодаря специалистам ИБ-компании Nextron Systems.
Эксперты распространили правила распознавания этого драйвера по хэшу и по названию. Благодаря этому антивирусные системы скоро научатся выявлять опасный файл на компьютере пользователя.