-
добавить в избранное
Вредоносная «прививка»
7 октября 2020
Среднестатистический пользователь знает, что есть файлы (хотя вряд ли сумеет дать определение, что это такое) и документы. Ему неважно, что файл бывает не только исполняемым, а документ – одна из разновидностей файла. Но периодически вселенная дает трещину, и пользователь узнает о неких сущностях помимо файлов и документов, также обитающих на его компьютере.
Почему возникает такое событие?
Станция: …, описание: отсутствует).
Время появления события на станции: …
Процесс с подозрительной активностью: D:\Vtb\Cbp\Services\Vtb.Integration.Mdm.Cabs\Vtb.Integration.MdmCabs.Service.exe (PID: 14016), запущенный от имени: NT AUTHORITY\SYSTEM.
Путь к защищаемому объекту, к которому была осуществлена попытка доступа:
Исполнение неавторизованного кода заблокировано по следующей причине: попытка выполнения подозрительного кода.
Действие, произведенное над подозрительным процессом: запрещен.
Инициатор действия над подозрительным процессом: автоматическая реакция Превентивной защиты (количество запретов: 1).
Перед человеком всплыло уведомление, что была попытка доступа к чему-то, заблокировано исполнение какого-то неавторизованного кода. Что все это значит?
Попробуем разобраться на пальцах на примере запуска исполняемого файла. Когда пользователь или система запускают некий файл, то запуск обычно не означает последовательное исполнение каких-то инструкций, по-хитрому в этом файле сохраненных. Все сложнее. Выделяется оперативная память, и в нее загружаются данные (в т. ч. как сам код, который будет выполняться, так и данные, которые нужны программе для работы). Если программе нужны внешние библиотеки, то загружаются и они. Таким образом, в памяти формируется процесс, чью работу пользователи, собственно, в дальнейшем и наблюдают.
Файл программы обычно подписан, и при его запуске система проверяет эту подпись. Злоумышленники, конечно, могут попытаться изменить содержимое файла, но подпись тогда слетит, и система выдаст предупреждение (антивирус тоже). И у киберпреступников возникает желание немного подправить уже запущенный процесс – добавить туда свой код. Это добавление/изменение кода называется «инжект».
#безопасность #взлом #названия #признаки_заражения #терминология #технологии_Dr.Web
Антивирусная правДА! рекомендует
Напомним, что антивирус в лице модуля Превентивной защиты следит за состоянием системы и в частности контролирует попытки доступа к запущенным в системе процессам, обеспечивая их целостность, – чтобы никто не мог изменить их поведение, дополнив или изменив функционал.
Блокируется инжект стороннего не подписанного процесса ("Vtb.Integration.MdmCabs.Service.exe") в системный процесс WmiPrvSE.exe
Инжект - по сути это внедрение в адресное пространство процесса некоего стороннего кода. Это в принципе легитимная процедура, однако может использоваться для своих целей и злоумышленниками.
Такие действия всегда отслеживаются антивирусом, конкретно - поведенческим анализатором модуля «Превентивная защита».
В данном случае процесс не подписан (в нем отсутствует легитимная цифровая подпись для внедряемого кода), отсюда, согласно правилам, возникает блокировка компонентом «Превентивная защита» с выдачей уведомления о блокировке.
Превентивная защита позволяет отразить атаки, если вредоносный код неизвестен сигнатурам вирусных баз (то есть аналитикам еще не попадался). И тогда вредоносная программа выявляется по своим характерным действиям – например, тем же попыткам изменить работу банковского ПО или сайтов.
И превентивная защита всегда должна быть включена.
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Zserg
08:56:38 2020-10-12
wolfie_nj
18:41:01 2020-10-11
Опечатка в третьем абзаце белого прямоугольника в зеленом прямоугольнике "Dr.Web рекомендует" -
"для внедряемого >>>кого<<< ), отсюда, "
Karnegi
16:59:02 2020-10-08
GM.
14:11:56 2020-10-08
Неуёмный Обыватель
00:46:15 2020-10-08
Lia00
00:39:12 2020-10-08
Альфа
23:40:21 2020-10-07
Кто же с этим спорит? Никто не спорит!
Masha
21:23:28 2020-10-07
tigra
21:01:50 2020-10-07
Hacen Debbab
20:35:40 2020-10-07
Dvakota
20:07:27 2020-10-07
Old Fellow
19:30:14 2020-10-07
Геральт
19:19:01 2020-10-07
Татьяна
17:18:30 2020-10-07
ka_s
17:11:09 2020-10-07
ixtiyor10
16:21:03 2020-10-07
anatol
15:36:31 2020-10-07
achemolganskiy
13:41:07 2020-10-07
Любитель пляжного футбола
12:05:53 2020-10-07
GREEN
12:03:13 2020-10-07
L1t1um
11:47:48 2020-10-07
Денисенко Павел Андреевич
11:38:32 2020-10-07
Alexander
10:54:48 2020-10-07
Стандартная ситуация, подход один и тот же, - вбросить что-нибудь вредоносное. Только "поварята" меняются и новые экзотические приправы появляются... Как же в таком "бытовом" окружении выжить без превентивной защиты?!
Dr.Web Security Space выявит и высветит попытку неизвестного подозрительного "inject" и отправит эту "добавку" на "цугундер"... Да, такие вот дела...
P.S. "Светить всегда, светить везде, до дней последних донца, светить - и никаких гвоздей! Вот лозунг..." компании "Доктор Веб". Это радует и успокаивает.
DrKV
10:47:24 2020-10-07
orw_mikle
10:17:51 2020-10-07
admin_29
09:54:12 2020-10-07
Alexey
09:40:32 2020-10-07
vinnetou
09:30:42 2020-10-07
maestro431
08:58:00 2020-10-07
dyadya_Sasha
08:37:33 2020-10-07
SGES
08:27:14 2020-10-07
Vlad X
08:22:54 2020-10-07
Иногда приходится выбирать разрешения.
vkor
07:41:27 2020-10-07
Пaвeл
07:24:36 2020-10-07
Sergey
06:33:49 2020-10-07
Slava90
05:55:16 2020-10-07
Drweb справляется со своими задачами отлично.
Morpheus
04:47:18 2020-10-07