Не умеешь – не берись

СпецНаз (специальные названия)

добавить в избранное

Не умеешь – не берись

Прочитали: 7013 Комментариев: 92 Рейтинг: 116

27 сентября 2017

Активные пользователи Dr.Web наверняка заметили, что некоторые угрозы в нашей вирусной базе называются как-то странно – вместо привычного обозначения вроде, скажем, Android.* или Trojan.* можно наблюдать Tool.*. Что это такое?

Слово tool в переводе с английского означает «инструмент», и инструмент этот может оказаться опасным. Это могут быть, например, майнеры – ПО для добычи криптовалют. С одной стороны, оно вполне легитимно – его можно установить и использовать в разрешенных законом пределах. Но заработать немного биткойнов хотят и злоумышленники – и используют для этого те же самые программы. Но вот устанавливают их на ПК без ведома пользователей.

Следует отметить, что в качестве майнера для добычи криптовалюты злоумышленники используют утилиту другого разработчика, детектируемую Антивирусом Dr.Web как программу из семейства Tool.BtcMine. Создатель этой утилиты распространяет ее на условии оплаты комиссии в размере 2,5% от всей добытой с ее помощью криптовалюты, поэтому вирусописатели автоматически направляют ему часть своей незаконной выручки в качестве комиссионных.

http://news.drweb.com/show/?c=5&i=9554&lng=ru

В качестве приложения для добычи криптовалюты используется программа, известная под именем cpuminer (Tool.BtcMine.130), однако на зараженной системе она работает под именем %APPDATA%\Intel\explorer.exe.

http://news.drweb.com/show/?c=5&i=4169&lng=ru

А еще бывает, что недобросовестные сотрудники устанавливают средства майнинга на серверах своей компании – естественно, не уведомляя об этом руководство.

В качестве угроз с префиксом Tool в нашей антивирусной лаборатории, как правило, отмечают и добавляют в базу специальные утилиты – просмотровщики ресурсов, модификаторы для «тюнинга» системы… Эти программы – потенциально опасные, так как, не зная точно, что вы хотите сделать и как, можно лишь навредить системе. К тому же эти программы сами по себе могут содержать ошибки или в некоторых ситуациях работать нештатно – с плачевным результатом для ОС.

Но известны и более опасные случаи. Например, кейлоггеры («клавиатурные шпионы», записывающие нажатия клавиш, что позволяет узнавать пароли, да и просто следить за человеком) тоже проходят именно как Tool.*. Еще в пример можно привести угрозу Tool.DroidSheep – она анализирует пакеты незашифрованного Wi-Fi на наличие файлов cookie к популярным соцсетям и сервисам, таким как «ВКонтакте», Facebook, Amazon, Google, после чего позволяет преступникам зайти на эти сервисы под аккаунтом жертвы.

В чем же отличие угроз с префиксом Tool от обычных троянцев? Если, скажем, кейлоггер раздают под видом безобидной программы, встраивают в игры и посторонние приложения, то это троянец. А если в раздаче прямо написано, что это кейлоггер и его можно подарить другу, пока тот не видит, тогда это Tool.

«Тулзы» можно, конечно, использовать без вредоносной составляющей – например, один из детектируемых подобным образом файлов может быть простой утилитой, вытаскивающей из браузеров сохраненные пароли и помогающей хозяину бороться с плохой памятью. Но можно использовать их и в сомнительных целях – например, Tool.VkObmen позволяет рассылать массовые запросы и накручивать голоса в социальной сети «ВКонтакте».

Если вы знаете, что делаете, то вполне можете воспользоваться такой программой, добавив ее в белый список антивируса. Главное, чтобы вы помнили об ответственности за возможные последствия ее применения. Иначе такими программами лучше не пользоваться. В конце концов, даже топором можно как рубить дрова, так и совершать преступления – за которые потом придется понести наказание.

#антивирус #Dr.Web #вредоносное_ПО

Антивирусная правДА! рекомендует

Защищайте настройки антивируса паролем. Так вы оградите себя от тех, кто мог бы «пронести» на ваш компьютер потенциально вредоносную программу вида Tool и превратить ее уже в реальную угрозу.
Если антивирус называет какую-то программу угрозой, хотя вы другого мнения – лучше доверьтесь антивирусу.
Если вы абсолютно уверены, что хотите использовать программу, обнаруживаемую нашими продуктами как Tool.*, и точно знаете, что хотите сделать, – действуйте, внеся ее в белый список, но держите в уме все возможные последствия.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Вячeслaв Собкор
03:47:28 2018-09-13

@tataku, не разу не видел, чтобы punto switcher использовался как хакерская утилита. Уж больно он не скрытно работает

tataku
19:17:00 2018-09-12

А Вы punto switcher как tool определяете?
Он тоже может все нажатия клавиатуры напару с буфером обмена - в файл...

Денисенко Павел Андреевич
17:10:00 2018-08-03

Все всегда нужно держать под паролем.

Неуёмный Обыватель Собкор
22:24:14 2018-06-23

"Tool.VkObmen позволяет рассылать массовые запросы и накручивать голоса в социальной сети «ВКонтакте»."
Ну вот, научили, спасибо :)

vasvet
20:15:50 2018-04-03

А я то думал ,что Tool это добавочная панель в браузере:(

eaglebuk
13:04:30 2017-10-03

Всё собираюсь в техподдержку Веба написать насчёт программы FreeFileSync https://www.freefilesync.org/ - чем она провинилась и за что её антивирус блокирует. Удобная штука, синхронизирую папку "обмен" с сервера на резервный диск.

Пaвeл Собкор
07:19:31 2017-10-03

Чиновников уличили в майнинге криптовалюты на рабочем месте
Подробнее: http://www.securitylab.ru/news/488824.php
Ох как всем хочется подзаработать криптовалюты!

Вячeслaв Собкор
16:21:37 2017-09-29

@Инквизитор, если бы так все было просто
1. многие майнеры не жрут 100 процентов ресурсов. Их так просто не выявить
2. многие майнеры маскируются в системе, скрывают свое присутствие
3. многие майнеры используют видеокарты. Тут вы ничего не увидите, только подозрение, что видеокарта работает
Поэтому не панацея, увы. Вирусописатели они умные и тоже экспертов читают.
В принципе диспетчера виндовс достаточно для первичного анализа загрузки. Для подробного анализа можно использовать утилиты Руссиновича

Вячeслaв Собкор
16:16:53 2017-09-29

@1milS,
1. Если вы подозреваете, что кто-то менял настройки антивируса - обращайтесь в техподдержку, сотрудники проверят логи событий и вынесут вердикт
2. вход в настройки антивируса - не взлом. Это штатная функция, которую вы можете разрешить или запретить.

Геральт Собкор
19:51:07 2017-09-28

Всесторонне доверяю своему антивирусу Доктор Веб, чего и другим желаю.

Людмила
08:50:07 2017-09-28

@Иваныч,
О продлении. Можно приобрести новую лицензию за полную стоимость, при ее активации указать предыдущую и тогда срок вашей лицензии будет увеличен на + 150 дней.
Если хотите получить не + 150 дней, а скидку 40% (т.е. те же 5 месяцев), тогда зайдите в Мастер продления https://estore.drweb.ru/renew/

AxooxA
00:59:54 2017-09-28

Необходимости в добавлении тулзов в списки не испытываю

Lia00 Собкор
23:55:12 2017-09-27

какой-то пользователь drweb внес Tool в белый список? О_о

razgen Собкор
23:40:57 2017-09-27

@1milS, если у вас Dr.Web Security Space 11, то не волнуйтесь. Случаев взлома этого антивируса, даже без пароля, ещё не было зафиксировано ни разу.

Littlefish Собкор
23:33:07 2017-09-27

@dyadya_Sasha, @Karpensky, была у меня проблема с "дровами" на принтер HP (правда он уже староват). Устанавливал драйвера, пытался печатать, вроде начинало печатать, но в следующий раз принтер уже не печатал. Переустанавливал дрова несколько раз и каждый раз одно и тоже. Подумывал на антивирус, но оказалось, что проблема была в майкрософт офисе, после переустановки которого проблема исчезла.

Littlefish Собкор
23:26:42 2017-09-27

@1milS, если Вы замечали, при каждом обновлении вирусных баз происходит проверка целостности компонентов антивируса, и даже если какое-либо вредоносное ПО не известное на определённый промежуток времени антивирусу нарушит целостность компонентов, то при следующем обновлении произойдёт восстановление целостности антивируса.

dyadya_Sasha Собкор
23:00:51 2017-09-27

@Karpensky, "...не показало никакой угрозы..."
У меня тоже сканер Веба ничего не показывал, поэтому даже не сразу нашел причину тормозов работы родной утилиты эпсоновского сканера. Даже стал грешить на оборудование (сканер-то новый был). Взял новый сканер, в том числе и для увеличения скорости сканирования, а тут тормоза невыносимые. Для определения пришлось рекомендации АПравды нарушить и отключить на время часть компонентов защиты.)) Вот тут причина и обнаружилась.

iAFC
22:46:01 2017-09-27

Если антивирус говорит что программа представляет угрозу - лучше послушаться. В таких случаях риск не имеет отношение к благородству.

dyadya_Sasha Собкор
22:25:09 2017-09-27

На ПК простых пользователей и toolsы и нежелательное ПО, найденное DrWeb, удаляю. В случаях проверки ПК продвинутых пользователей или ПК, которые обслуживал кто-то другой смотрю более пристально для чего какой инструмент с чёрной меткой DrWebа использовался.

1milS
22:23:26 2017-09-27

У меня антивирус без пароля. Как узнать взломан ли он?

DrKV Собкор
22:17:25 2017-09-27

Вспомнил производителя проблемной web-камеры - OKLICK.

В...а
22:13:14 2017-09-27

Кто что задумал, тот и возится с тем.

DrKV Собкор
22:12:58 2017-09-27

@Littlefish, @dyadya_Sasha, нет, не посылал. На тот момент были совсем другие цели и задачи, которые надо было оперативно решить и поэтому весь ресурс моего времени был направлен на это. Но что самое интересное, спустя может быть неделю после установки, полное сканирование системы не показало никакой угрозы, связанной с этим оборудованием и его программным обеспечением.

dyadya_Sasha Собкор
21:59:19 2017-09-27

@Karpensky,@Littlefish
У меня похожая ситуация с драйверами на эпсоновский сканер была. Отправлять на обследование не отправлял, но видимо отправили другие, так как, через полгода при установке драйверов (менял систему)белые списки уже не понадобились.

Dvakota
21:53:55 2017-09-27

Давно уже установил пароль .

vla_va
21:49:59 2017-09-27

Всегда внимательно читать и думать, и опять почитать в другом источнике, сравнить..

Х...р
21:31:58 2017-09-27

Белый список может сыграть черную шутку.

Игорь
21:25:09 2017-09-27

Здравствуйте. Пользуюсь Вашими рекомендациями, и естественно, антивирусом, уже 4 год. Спасибо большое компании Dr.Web.Интересный случай произошёл на днях: только прошло обновление, перезагрузка и включил сканер.. и вдруг обнаруживается в Гугле две программы взлома: сначала шок, ведь я там работаю с банком. Потом, когда прошло лечение, удалил гугл с хромом и перешёл на яндекс. Вот так. И ещё у меня через 82 дня заканчивается лицензия. Можно будет купить продление? Спасибо. Игорь Андреев.

Marsn77
21:21:47 2017-09-27

Приложения, вызывающие срабатывание антивируса, можно использовать только в крайних случаях, когда "плюсы" от такой программы значительно превосходят потенциальные "минусы"

orw_mikle
20:42:29 2017-09-27

Dr.Web стоит доверять, но не всегда. Уже несколько программ и Web-сайтов пришлось включать в белый список, из-за неверного обнаружения Dr.Web этих ресурсов как угроза.

НинаК
20:41:06 2017-09-27

Пролезут, а там уж придумают как раскрутить жертву

Сергей
19:47:33 2017-09-27

Всё верно,своему антивирусу стоит доверять.

Andromeda
19:44:42 2017-09-27

Не было необходимости менять настройки по умолчанию. Пароль есть с момента установки Dr. Web.

zsergey
19:09:05 2017-09-27

С Tool встречался, антивирусу доверяю.

Альфа
18:51:05 2017-09-27

Пока не было оснований не доверять своему антивирусу.

Инквизитор
18:50:53 2017-09-27

Неплохо было бы добавить в ДрВеб монитор, который мог бы отслеживать подозрительно высокую нагрузку на ресурсы системы. Только не просто "процесс бла-бла-бла потребляет подозрительно много", а с полным набором сведений - что за процесс, кем запущен (в виде дерева процессов-предков, например), когда, а также с кнопочкой "остановить и отправить на исследование", которая бы, соответственно, грохала процесс и отправляла на анализ в ДрВеб файл процесса... ну, как-то так.

Damir Собкор
17:52:07 2017-09-27

Узнал много нового, спасибо.Особенно интересны рекомендации.

Toma
17:43:26 2017-09-27

В определении угроз доверяю антивирусу Dr.Web!

ek
17:40:11 2017-09-27

Раньше называлось такое - обоюдоострое оружие

vinnetou
17:39:21 2017-09-27

Спасибо за выпуск!!!Лучше пусть антивирус проверит,спокойнее будем спать.Недавно была взломана программа CCleaner!Так,что пусть Доктор Веб проверит всё!!!

Шалтай Александр Болтай Собкор
17:30:56 2017-09-27

Никогда не бойся делать то, что ты не умеешь.
Помни, ковчег был построен любителем. — Профессионалы построили «Титаник».

kva-kva
17:06:00 2017-09-27

Майниниг нынче везде будут прикручивать!

Littlefish Собкор
16:34:14 2017-09-27

@Karpensky, "Однажды у клиента только-что купленная web-камера не устанавливалась. Dr.Web не давал становиться драйверам".
А "дрова" посылали аналитикам как ложное срабатывание для повторной проверки?

mk.insta
16:32:16 2017-09-27 Именинник

эпидемия майнинга добралась до рабочих мест - печально!

Littlefish Собкор
16:30:29 2017-09-27

@Nikolas, я бы Вам советовал установить (если у Вас ещё не установлен) Link Checker -
https://free.drweb.ru/linkchecker/?lng=ru
Обновить вручную вирусные базы и запустить полную проверку компьютера (можно на ночь).
Также, советую Вам не нажимать на кнопку отказать, т.к. при любом нажатии на баннер (не важно нажимаете Вы разрешить или отказать), если это вредоносный баннер, то любое нажатие на него может приводить к загрузке вредоносного ПО на Ваш компьютер.

Littlefish Собкор
16:21:13 2017-09-27

И, между прочим, если добавленная в исключение программа вместе с очередным обновлением на самом деле получит вредоносный код (или вредоносную программу "в подарок") и файлы пользователя зашифруются (если вредоносная программа относится к классу шифровальщиков), то служба поддержки откажет в бесплатном восстановлении файлов, согласно пункту: "Произведенные пользователем настройки инструктировали Dr.Web не проверять файлы вредоносного ПО или приложения, в которых содержались уязвимости, позволившие вредоносному ПО активироваться или совершать действия" - https://products.drweb.ru/decryption_from_ransomware/disclaimer

Дмитрий
16:15:24 2017-09-27

такими программами стараюсь не пользоваться. антивирусу доверяюсь.

Littlefish Собкор
16:04:03 2017-09-27

Т.е. довольно рискованно добавлять в исключения или белый список даже первоначально "чистые" и "хорошие" программы (которые при каждом следующем обновлении могут стать "плохими").
А что уж тогда говорить про программы, которые уже детектируются как Tool или Program.Unwanted - это вообще высоченный риск (даже если пользователь знает, что делает). Надёжнее будет искать альтернативные программы, которые не детектируются антивирусом и которые не нужно добавлять в исключения.

Littlefish Собкор
15:55:03 2017-09-27

Опираясь на предыдущие выпуски Антивирусной правды можно утверждать, что очень рискованно добавлять в исключения или белые списки даже те программы, которые скачаны с официальных сайтов и которые на данный момент времени не детектируются антивирусом, так как вместе с очередным обновлением программы может дополнительно загрузиться вредоносная программа в довесок и, если программа не добавлена в исключения или белые списки, то антивирус сможет детектировать и обезвредить вредоносную программу. В противоположном же случае (если программа добавлена в исключения или белый список) у антивируса "связаны руки", антивирус не сможет помочь и может произойти заражение компьютера и/или потеря информации.

La folle
15:52:38 2017-09-27

Полезная информация, спасибо за статью!

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Не умеешь – не берись

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей