Вы используете устаревший браузер!

Страница может отображаться некорректно.

СпецНаз (специальные названия)

СпецНаз (специальные названия)

Другие выпуски этой рубрики (40)
  • добавить в избранное
    Добавить в закладки

Вредоносная «прививка»

Прочитали: 2202 Комментариев: 37 Рейтинг: 65

Среднестатистический пользователь знает, что есть файлы (хотя вряд ли сумеет дать определение, что это такое) и документы. Ему неважно, что файл бывает не только исполняемым, а документ – одна из разновидностей файла. Но периодически вселенная дает трещину, и пользователь узнает о неких сущностях помимо файлов и документов, также обитающих на его компьютере.

Почему возникает такое событие?


Станция: …, описание: отсутствует).

Время появления события на станции: …

Процесс с подозрительной активностью: D:\Vtb\Cbp\Services\Vtb.Integration.Mdm.Cabs\Vtb.Integration.MdmCabs.Service.exe (PID: 14016), запущенный от имени: NT AUTHORITY\SYSTEM.

Путь к защищаемому объекту, к которому была осуществлена попытка доступа:

Исполнение неавторизованного кода заблокировано по следующей причине: попытка выполнения подозрительного кода.

Действие, произведенное над подозрительным процессом: запрещен.

Инициатор действия над подозрительным процессом: автоматическая реакция Превентивной защиты (количество запретов: 1).

Перед человеком всплыло уведомление, что была попытка доступа к чему-то, заблокировано исполнение какого-то неавторизованного кода. Что все это значит?

Попробуем разобраться на пальцах на примере запуска исполняемого файла. Когда пользователь или система запускают некий файл, то запуск обычно не означает последовательное исполнение каких-то инструкций, по-хитрому в этом файле сохраненных. Все сложнее. Выделяется оперативная память, и в нее загружаются данные (в т. ч. как сам код, который будет выполняться, так и данные, которые нужны программе для работы). Если программе нужны внешние библиотеки, то загружаются и они. Таким образом, в памяти формируется процесс, чью работу пользователи, собственно, в дальнейшем и наблюдают.

Файл программы обычно подписан, и при его запуске система проверяет эту подпись. Злоумышленники, конечно, могут попытаться изменить содержимое файла, но подпись тогда слетит, и система выдаст предупреждение (антивирус тоже). И у киберпреступников возникает желание немного подправить уже запущенный процесс – добавить туда свой код. Это добавление/изменение кода называется «инжект».

#безопасность #взлом #названия #признаки_заражения #терминология #технологии_Dr.Web

Dr.Web рекомендует

Напомним, что антивирус в лице модуля Превентивной защиты следит за состоянием системы и в частности контролирует попытки доступа к запущенным в системе процессам, обеспечивая их целостность, – чтобы никто не мог изменить их поведение, дополнив или изменив функционал.

Блокируется инжект стороннего не подписанного процесса ("Vtb.Integration.MdmCabs.Service.exe") в системный процесс WmiPrvSE.exe

Инжект - по сути это внедрение в адресное пространство процесса некоего стороннего кода. Это в принципе легитимная процедура, однако может использоваться для своих целей и злоумышленниками.

Такие действия всегда отслеживаются антивирусом, конкретно - поведенческим анализатором модуля «Превентивная защита».

В данном случае процесс не подписан (в нем отсутствует легитимная цифровая подпись для внедряемого кода), отсюда, согласно правилам, возникает блокировка компонентом «Превентивная защита» с выдачей уведомления о блокировке.

Превентивная защита позволяет отразить атаки, если вредоносный код неизвестен сигнатурам вирусных баз (то есть аналитикам еще не попадался). И тогда вредоносная программа выявляется по своим характерным действиям – например, тем же попыткам изменить работу банковского ПО или сайтов.

И превентивная защита всегда должна быть включена.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей