Весь текст ниже выражает мое личное мнение
Добрый день. Ну пусть хоть личное, ничего страшного. Мы здесь чтобы установить истину, а не искать виновных.
Во-первых компоненты RU очень часто используются в ВПО для скрытного управления.
Мы ведем речь про версию 6.8 и 6.9. Сборки на основе 6.3 в 99% случаев нежизнеспособны в настоящий момент, они просто не работают. Но мы не против ваших детектов на старые версии, если вам очень хочется.
Никакая цифровая подпись (даже EV) не решит проблему атаки подмены одноименной системной dll (dll hijacking) или того же vp8decoder.dll, потому что внедрение идет в уже имеющийся процесс, а не изменяется на диске.
Конкретно vp8X.dll и vp8decoder.dll не загружаются в адресное пространство при запуске. Они используются только в специфических режимах, вроде записи сессии в файл или видео-чата. От сторонних "левых" DLL у нас есть защита. Но вообще, способов внедрения в АП процесса масса. Мы закрыли способ внедрения с помощью dll-hijacking, но злоумышленник может написать банальный loader и добьется того же результата.
Да, есть серьезные способы защиты адресного пространства процесса от внешнего вмешательства. Но проблема в том, что реализация даже простейших способов приводит к крайне негативной реакции практически всех антивирусов. Есть такой инструмент VMprotect, который очень хорошо защищает процесс, по сути реализуя индивидуальную виртуальную машину при каждой сборке проекта. Однако на обработанные с его помощью exe антивирусы реагируют крайне агрессивно. Защита exe шифрованием сильно усложняет диалог с антивирусными компаниями, ибо мы им показываем кота в мешке и пытаемся заставить слепо поверить, что это не вредоносный код. Таким образом, продвинутая защита процесса нам просто недоступна, ведь у нас не текстовый редактор. Для эвристики это, по сути, троян, т.к. используется тот же самый набор системных функций - доступ к рабочему столу, работа по сети и т.д.
Решение ситуации, на самом деле, простое. Допустим, некто упаковал легальные файлы Remote Utilities + некую самописную WINSPOOL.DRV/vp8decoder.dll (у которой, конечно же нет ЦП) в некий exe-дроппер, который тоже без ЦП. Почему бы эвристике или файловому анализатору не пресекать момент, когда некий неопознанный exe распаковывает некий PE файл, без ЦП да еще и с именем системной библиотеки WINSPOOL.DRV ? Более того, существующая эвристика DrWeb возможно уже пресекает такие действия.
Но тогда почему "под раздачу" попадает Remote Utilities, у которого есть ЦП, к тому же Extended Validation? Ведь любой системник понимает, что внедрить все что угодно можно хоть в notepad.exe - это не сложно и это не повод блокировать notepad.exe, если в него ничего не внедрено. Сборки того же тимвьювера устроены похожим способом - есть некий "инжектор", который внедряет в АП тимвьювера все что требуется злоумышленнику. В любом случае, все без исключения вредоносные сборки Remote Utilities используют некий самописный "дропер", почему бы не блокировать именно его?
