то что ты описал и есть полиморфные руткиты. а по причиняемому вреду я вообще не стал бы их классифицировать, поскольку к уничтожению вирусов это отношения не имеет. уверен, что от вирусов нужно избавляться вне зависимости от их функционала. ну и конечно по маскам вирусы уже не ищут лет эдак 13... ищут по семантике, поскольку полиморфы по маске не найдешь

дело думаю не в команде, а в подходе к делу, иначе не было бы таких резких провалов

Полиморфность - это всего лишь способ ухода от обнаружения по маскам. Речь шла о свойствах, которых у вирусов лет 10 назад не было (хотя бы потому, что 10 лет назад ОС не содержали определенных возможностей).

Ну конечно. Поэтому в антивирусах так много масок, о которых они не преминут заявить в рекламе. Как и 13 лет назад, этот способ всё ещё остается одним из действующих - потому что позволяет найти простейшие формы.
По поведению же или очень много ложных срабатываний, или наоборот - в зависимости от того с чем конкретно имеем дело, да и против тихих и навороченных троянов (типа SpyEye) эти способы неэффективны.

в рекламе говорится о том, что могут понять простые пользователи. что касается механизма маскировки, то тут вирусы оригинальностью не отличаются. есть около 100 мест в виндовсе куда можно вставить свой автостарт, из них используется реально около 10-15, а закрыть себя на уровне руткита можно только до определенного уровня, потом вирус уже сам себя найти не сможет

Закрыть себя руткит может по технологии "Blue Pill" - как раз этого 10 лет назад ещё не было
А поведенческий анализ затруднён по простой причине - для этого требуется, чтобы вирус уже был активен (симулировать всё невозможно), и попытался сделать то, что нормальные программы не делают.
Без сигнатур же антивирусы будут бессильны против уже известных вирусов - точнее, не смогут их обнаруживать до момента активации.

Что такое "мозго$$$тво" знаешь?
Какое это всё имеет отношение к тому, что убунта сейчас и в ближайшее время это наилучший антивирус?

самого блю пила может и не было, но в идее ничего революционного нет. виртуальные машины можно делать с момента появления 386 процессоров. кроме того это не вирус, а прототип. и давай закром тему - известные вирусы определяются не матрицей, а семантикой, поскольку ничего не мешает рандомно вставить нопы в код и тогда ни один антивирус, который ищет по матрице его уже не найдет, хотя сам вирус не изменился

То есть ты гарантируешь, что человек, который пользуется убунтой, никогда, ни при каких условиях не станет жертвой вируса, трояна etc - чтобы он не делал?

Я уже встречал описания руткитов, которые пользуются этим методом.

Как я уже сказал выше - это не дает даже 50% гарантии обнаружения, и допускает слишком много ложных срабатываний. Не говоря уже о том, что масса известных (уже много лет) не являются полиморфными, соответственно, маска - лучший способ.
К тому же, для семантического анализа требуется симулирование выполнения (или выполнение в Sandbox) - а это долго, ненадежно etc - применимость очень ограничена.
Если бы это было иначе - то был бы изобретен универсальный и 100% надежный антивирус, чего, как мы видим, не происходит.

Вопрос некорректен. Полтора вируса существует. Простому пользователю подхватить просто по незнанию практически нереально. Потому, что половину из полутора надо будет скомпилировать самому.

для семантики необязательно симулирование выполнения, достаточно разобрать код на ключевые комманды и сравнить с семантическим описанием. универсальный антивирус не поэтому не может быть создан, а потому что невозможно заранее определить какой код является вредоносным, а какой нет. это уже вопрос эвристического анализа, а он действительно может давать ложные срабатывания.

интересно было бы взглянуть

Вот тебе про простых пользователей: http://www.ubuntu.com/usn/usn-853-1 - даже компилировать ничего не надо, дыры есть, и обновления делают не все (что, впрочем, не спасает от новых дыр) - так что всё что нужно, это броузер и ссылочка на нужное место.
И не говори больше, что убунту - непробиваемый в принципе.

Если код зашифрован, зажат неизвестным методом, активируется не сразу а через время, etc - семантический анализ бесполезен - он до него не доберется. Хотя этот метод, всё же, всего лишь вариация масочного анализа - есть нечто и есть маска (которую ты называешь семантических описанием). Совсем другое дело - поведенческий анализ - куда лезет и что делает - тут уже проще защищаться (но не обнаруживать) - достаточно ограничить доступ к чему-то для неизвестных программ (это делает ряд антивирусов, хотя далеко не все), и не заморачиваться - всё равно ничего не сделает, если что.

Пороюсь в архивах - может найду ссылку. Сам руткит я тоже хотел получить - увы, вживую не нашел.

если код зашифрован, то вначале вируса будет расшифровщик в открытом виде, с этим тоже давно антивирусы справляются. а руткит вживую ты еще не скоро получишь, не думаю что он когда-нибудь покинет лабораторию

Какое отношение имеет уязвимость опубликованная полгода назад и тогда же закрытая к проблеме с вирусами?
Давай я тебе разжую, объясню на пальцах, раз уж ты упорно подменяешь понятия. Есть виндовс. Под виндовс сейчас известно около поллумиллиона вирусов. Из них действующих активно сейчас - несколько тысяч. Есть линукс. Под него известно сотня-две вирусов. Всё это количество - лабораторные вирусы. Из них действующих сейчас - ровно ноль. А может, не ноль, а один или два. Также, под виндовс сейчас и в ближайшем будующем активно разрабатываются новые вирусы и модифицируются для сокрытия от антивирусов существующие. Под линуксом такая работа не ведётся. И никого не ебёт, что будет "если бы". Нету и точка. Сейчас нет и через год не будет. Любая домохозяйка поставив линукс освободится от проблем с вирусами. И тот идиотский гипотетический случай, когда эта домохозяйка сделает sudo rm -rf / или умудрится найти, скачать, собрать и запустить имеющийся вирус не означает ровным счётом ничего. Также есть так называемые уязвимости. Они есть везде. Уязвимости в виндовсе приводят к появлению вирусов использующих эти уязвимости. В лимнуксе так не происходит. А причины этого совершенно не важны, потому, что:
ни сейчас, ни через год ничего не изменится. Как нет эпидемий вирусов, так их и не будет. А в виндовсе есть и будут.
Если ты чего-то не понял, я могу помедленнее, а то смотрю - не доходит, я про Фому, а ты про Ерёму.

С чего он там будет в открытом виде? Я уже упомянул выше - есть вполне невинный код, который даже что-то полезное может делать (или не делать ничего подозрительного), и только через некоторое время после запуска активируется зашифрованная часть. Всё - антивирус отдыхает, ибо единственный способ что-то сделать в данном случае - это симулирование выполнения и ожидание на тему "а вдруг?".
Существует масса способов скрыть реальную активность - и только один надежный способ её обнаружить - дать коду возможность выполняться, наблюдая за действиями в течение довольного длительного времени. Большинство вирусов и троянов этим не заморачиваются, потому и ловятся, но всё равно остается масса тех, которые не ловятся.

Интересно, почему ты так не думаешь? Технология отлично известна, даже исходники есть в сети - причём от разных авторов. Что мешает виросописателям их использовать?
В конце концов, есть же навороченные вещи вроде TDSS - а это в какой-то мере даже проще.

извини, это уже элементарные вещи, странно, что возникают такие вопросы. наверное ты не в курсе, что все программы на компьютере работают в машинном коде и могут быть исполнены только в открытом виде. стало быть если есть часть кода, которая зашифрована, то должен быть и открытый код который эту часть кода расшифрует. также элементарно что изучив код программы можно сделать вывод о ее алгоритме работы и вовсе необязательно заставлять ее работать в симуляторе. А что касается исходников виртуальных машин, то я очень сомневаюсь что ты сможешь показать мне когда-нибудь их исходники. сами разработчики их распространением в интернете не страдают, а сложность создания подобных систем по утверждению тех же разработчиков сопоставима со сложностью изготовления самого виндовс. что касается tdss то это обычный руткит на уровне драйвера, не имеющий ничего общего с виртуальными машинами

освободиться от вирусов и от всего остального ..Вот почему так мало домохозяек ставят себе линкус ?? А потому что .. многие домохозяйки , кроме выхода в инет , еще играют в различные компьютерные игры , а вы видели игру , которая бы шла под линкус ?
поэтому линкус даром не нужен , пусть даже он будет сто крат замечательный ..

Ты, вероятно, удивишься - но я очень даже в курсе. Ещё в 1989 году сам писал антивирусы (поскольку вирусы были, а найти антивирусы в бСССР было трудно в то время), и занимался защитой от отладки, и ещё массой других вещей - даже страшно вспомнить.

Безусловно. Вопрос в том, когда именно он начнёт выполняться после запуска. Представь, есть код, который после запуска тупо в цикле что-то делает (назовем это "отвлекает внимание"), и через N циклов переходит к следующему участку такого же типа. И только через X минут выполнения (в зависимости от процессора, или каких-то внешних событий - типа проверки времени etc), переходит к расшифровщику. И как ты это поймаешь без реального выполнения кода (в симуляторе или VM)?

Да - изучив вручную. Под отладчиком. Потратив на это кучу времени. С учётом того что одна и та же задача может быть выполнена бесконечным количеством вариаций машинного кода - никакой автоматический анализ, хотя бы без частичной симуляции, не даст результата - в противном случае, как я уже сказал - был бы уже создан универсальный антивирус (вот как раз в этом моменте ты постоянно себе противоречишь).

Да нууууу? Но посмотри на Xen - всё в исходных кодах. Или VirtualBox, Bochs etc - всё в открытом виде. Bluepill - пожалуйста: http://bluepillproject.org/. Подробное описание методик, сделанное микрософтом: http://research.microsoft.com/pubs/67911/subvirt.pdf.

Ты бы хоть по сети пробежался, прежде чем такие утверждения делать. Несложно это вовсе - с учётом уже имеющихся наработок. Бери, модифицируй и делай своё - никаких проблем.

хотя я и не пользуюсь линуксом, видел достаточно таких игр.
но всёже прошу не превращать ветку в очередной спор виндовс vs линукс.