Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (67)
  • добавить в избранное
    Добавить в закладки

Чего нет, того не видим

Прочитали: 4998 Комментариев: 118 Рейтинг: 288

2 – 2 = 0
3 – 3 = 0
2 – 2 = 3 – 3
2 = 3

Алгебраический софизм

Софизм — сложное рассуждение с намеренной целью запутать или ввести в заблуждение.

Что есть вирус? По сути, это некий программный файл, выполняющий нужную для злоумышленника работу.

Файлы отслеживаются файловым антивирусом (в Dr.Web это Dr.Web SpIDer Guard).

Компонент Dr.Web SpIDer Guard присутствует в Антивирусе Dr.Web.

Значит, для защиты от вирусов этого продукта достаточно.

Антивирусный софизм

Логика железная — и неправильная. Да, большинство представителей вредоносного ПО существует в виде файлов. Большинство — но не все.

Черви, с которых началось вирусописательство. Руткиты. Вредоносное ПО для BIOS. Злоумышленники постоянно пытаются скрыться от внимания компонента, который присутствует во всех антивирусах.

Среди современных вредоносных программ имеется особая категория троянцев, которых специалисты по информационной безопасности называют «бестелесными». Они не присутствуют на инфицированном компьютере в виде отдельного файла, а работают непосредственно в оперативной памяти, используя для своего хранения различные контейнеры, например системный реестр Windows.

Так, полиморфный троянец Trojan.Kovter.297 создает в системном реестре несколько записей: одна содержит само тело троянца в зашифрованном виде, вторая — скрипт для его расшифровки и загрузки в память компьютера. Имена этих записей включают специальные нечитаемые символы, поэтому стандартная программа regedit не может их показать.

#drweb

Фактически Trojan.Kovter работает в оперативной памяти инфицированного компьютера, не сохраняя собственную копию на диске в виде отдельного файла, что в определенной степени затрудняет его поиск и удаление.

http://news.drweb.ru/show/?c=5&i=10003&lng=ru

Отметим, что, хотя размещение вредоносной программы в реестре в виде нескольких частей затрудняет ее обнаружение файловым антивирусом, работающим на основе сигнатур, но технологии, используемые в решениях Dr.Web, не делают эту задачу безнадежной.

Есть и иной вариант. Как известно, современные программы (решения Adobe, браузеры, Microsoft Office) позволяют использование макросов, скриптов и т. д. — по сути микропрограмм. Также многие сайты используют для оформления представляемой информации JavaScript. Эти скрипты исполняются в среде программы (браузера, офисной программы...), и сохранение на диск для них не обязательно.

Шифровальщик Trojan.Encoder.4860 полностью написан на JScript и распространяется в виде JS-файла. Для затруднения анализа код троянца обфусцирован — использовалась техника перемешивания кусков кода, что затрудняет обнаружение вредоносной программы путем сигнатурного анализа. Для отвлечения внимания троянец создает специальный файл Word, содержащий обрывки других файлов, и открывает его для того, чтобы убедить пользователя в том, что документ поврежден. Шифрование файлов компьютера происходит с помощью библиотеки CryptoJS.

#drweb

Пока Trojan.Encoder.4860 шифрует только 16 типов файлов (.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar и .csv) и меняет их расширение на .locked. Злоумышленники требуют у жертвы выкуп в размере 0,39 биткоина (около $250 по текущему курсу).

#drweb

Распространение Trojan.Encoder.4860 злоумышленниками производится путем спамерской рассылки, содержащей файл с расширением .js, замаскированный под документ Office, в надежде на то, что пользователь откроет файл фишеров. При этом на большинстве компьютеров код исполняется посредством Windows Script Host, что позволяет вредоносному скрипту получить доступ ко всем системным утилитам.

https://xakep.ru/2016/06/15/raa-ransomware

#полиморфный_троянец #троянец #шифровальщик #проверка_трафика #ScriptHeuristic

Dr.Web рекомендует

  • Использование компонентов проверки трафика Dr.Web SpIDer Gate и Dr.Web SpIDer Mail, присутствующих в Dr.Web Security Space, позволяет проверить почтовый и интернет-трафик до их попадания в клиентские приложения.

    Для доступа к настройкам веб-антивируса SpIDer Gate кликните на значок #drweb в системном меню, затем в открывшемся меню последовательно нажмите на #drweb ( Режим администратора) и появившийся значок #drweb ( Настройки). В открывшемся окне Настройки выберите пункт Компоненты защиты и далее SpIDer Gаte.

    Внимание! Доступ к изменению настроек антивируса может быть защищен паролем.

    #drweb

  • Продукты Dr.Web используют технологию эвристического анализа Dr.Web ScriptHeuristic, что позволяет находить обфусцированные эксплойты в HTML- и PDF-файлах, написанные на JavaScript. Технология ScriptHeuristic предотвращает исполнение любых вредоносных скриптов в браузере и PDF-документах, не нарушая при этом функциональности легитимных скриптов. Защищает от заражения неизвестными вирусами через веб-браузер. Работает независимо от состояния вирусной базы Dr.Web совместно с любыми веб-браузерами.

  • Отключите возможность пересылки в почтовых сообщениях исполняемых файлов. Так, в Microsoft Outlook по умолчанию запрещено получение файлов определенных типов (например, EXE-файлов) в виде вложений, поскольку они могут содержать вирусы, представляющие опасность для компьютера. По умолчанию программа Outlook блокирует такие файлы. Со списком блокируемых типов файлов можно ознакомиться здесь.
  • Если вам для работы не требуется запуск скриптов и макросов — отключите эту возможность в офисных приложениях и вьювере PDF-файлов. Инструкцию для MS Office можно получить, например, здесь.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: