Борьба со скрытностью
20 марта 2017
Как вредоносные программы усыпляют бдительность антивирусов и обычных пользователей? Возможностей у них много, но на деле чаще всего используется два способа:
- Запуск вируса с последующим контролем за действиями пользователя и операционной системы. Вредоносная программа на лету перехватывает обращения пользователя и программ к определенным ресурсам и в ответ возвращает данные в отредактированном виде.
Первым стелс-вирусом принято считать вирус Frodo (он же RCE-04096), разработанный в Израиле в 1989 году. Вирус в момент заражения сохранял загрузочный сектор и в момент обращения к нему показывал вместо зараженного загрузочного сектора – чистый.
Сокрытие вредоносного файла и его данных в отдельной области жесткого диска, служебных областях или специально созданных файлах. Например, в момент заражения троянец создает файл и специальным образом его размечает, создавая в нем базу данных или даже особую файловую систему (да, файловую систему можно создать и в файле: грубо говоря, с точки зрения утилит разметка файла ничем не отличается от разметки диска и представляет собой последовательность областей для записи данных). При этом доступ к файлу, разделу диска или специальным областям для антивируса закрывается путем установки пароля, шифрования или использования специфических операционных систем. Пример такого троянца – самораспространяющийся полиморфный банковский вирус Bolik.
Но укрыться – это еще полдела: злоумышленникам нужно обеспечить запуск вредоносной программы. Это можно сделать с помощью вполне легальных программ, прописав, например, в реестр задачу (естественно, с логином и паролем) извлечения определенного файла из хранилища.
Вирус взамен настоящей информации производит передачу данных незараженного файла. Отсюда следует, что программа-антивирус не способна обнаружить никакие изменения в файле.
Справочник вирусолога. Автор manager
http://voleyko.ru/spravochnik-virusologa-stels-virusy
Естественно, это не совсем так. Если бы антивирус был обычной программой, то он, конечно, не мог бы обнаруживать подмену.
Чтобы избежать обмана, антивирусы сами встраиваются в операционную систему, устанавливая в нее свой драйвер так, чтобы никакие вредоносные программы не могли фильтровать данные до попадания в него.
Но за все приходится платить – для обновления драйвера операционные системы требуют перезагрузки. Такова цена получения новых знаний антивирусом. За что нас очень часто ругают наши пользователи и даже пишут угрозы отказаться от использования Dr.Web из-за этого☹
В идеале хорошо сработанный стелс-вирус обнаружить невозможно, и для того, чтобы его уничтожить (если, конечно, удастся обнаружить его присутствие по косвенным признакам), приходится минимум переустанавливать операционную систему, а чаще всего – менять память.
Успокоим сразу: ничего менять не нужно.
Антивирус умеет очищать память от вредоносных файлов, именно для этого в его составе действует антируткитный модуль.
Как мы уже говорили, стелс-вирусы как таковые сейчас в новостях не упоминаются. Вместо них чаще всего говорят о руткитах (rootkit) и буткитах (bootkit).
#вирус #антивирус #обновления_безопасностиАнтивирусная правДА! рекомендует
- Поскольку до момента попадания к вирусным аналитикам новые вредоносные файлы остаются неизвестны антивирусу, их внедрение вполне возможно. Вот почему не следует тянуть с получением обновлений и перезагрузкой после их получения, если это требует антивирус. До завершения обновления вы можете не подозревать о наличии вредоносной программы.
- Не стоит благодушно относиться к неожиданному появлению на вашем компьютере новых программ, файлов, процессов и так далее. Да, Антируткит Dr.Web может очистить процессы от запущенных вредоносных программ, но вот, скажем, удаление разделов, созданных вредоносной программой, – не его задача. Он просто не знает, кем и когда создавался раздел.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
ka_s
20:22:41 2018-10-02
Денисенко Павел Андреевич
14:38:16 2018-07-26
alex-diesel
16:29:09 2018-04-04
vasvet
15:34:12 2018-04-01
Toma
12:30:04 2018-03-15
Вячeслaв
10:46:17 2017-06-19
Littlefish
00:45:40 2017-06-17
Что? Серьёзно? Отказаться от использования Dr.Web из-за того, что он просит перезагрузку? В таком случае нужно отказываться и от Windows, т.к. винда тоже после установки обновлений перезагрузку просит, а иногда даже и без спроса перезагружается, не сохраняя открытые файлы, документы и т.д., о чём многие жаловались.
Да и самоиздевательство какое-то не перезагружаться, зная, что после перезагрузки обновятся компоненты Dr.Web и улучшится защита компьютера от текущих и новых угроз. Но конечно гораздо проще принципиально не перезагружаться, подхватить какую-нибудь "гадость", которая как раз и "пролезет" из-за не обновлённых компонентов (подумаешь, что сотрудники компании как раз и трудились над обновлением компонентов и выпустили их чтобы предотвратить именно такую ситуацию) и потом винить компанию Dr.Web, угрожать, закидывать тех поддержку бессмысленными тикетами, отвлекая сотрудников от их работы и помощи тем пользователям, которые действительно нуждаются в ней.
@admin, @Людмила, @Вячeслaв, Хочется пожелать всем сотрудникам компании Dr.Web побольше адекватных пользователей, физического и душевного здоровья, терпения, чтобы ощущение тепла и радости в душе никогда не покидало вас и не принимать близко к сердцу угрозы, нападки и злые высказывания. Спасибо за ваш нелёгкий труд и что вы терпите нас, не всегда адекватных, иногда на эмоциях, но вы всё равно стараетесь нам помочь. Спасибо.
Ник
08:29:36 2017-04-21
Natalya_2017
15:08:25 2017-03-30
Вячeслaв
12:24:36 2017-03-24
philosoph
12:11:25 2017-03-24
a13x
11:13:54 2017-03-21
Помимо того, что Dr.Web сообщает о необходимости перезагрузки - здорово то, что он обо всём сообщает, что происходит, все уведомления всегда отображает и он достаточно гибкий в настройках. У него функционал в некоторых областях ограничен и не столь мощный, но в остальном - да. Скажем так: один из гибко настраиваемых продуктов - это большой плюс. Конечно хотелось бы доп.функционал, чтобы был, но... Плюсы тоже есть и их не мало.
udginvr
10:11:45 2017-03-21
Неуёмный Обыватель
09:51:09 2017-03-21
eaglebuk
09:02:07 2017-03-21
К счастью, это нечасто случается, но пару раз за год было. Обычно после появления окошка о просьбе перезагрузки выставляю "через 4 часа", и на ночь планирую перезагрузку, но один раз сервер перезагрузился сам в рабочее время и в логах было написано, что вызвал перезагрузку DrWeb. Ничего страшного не случилось, но это немного удивило. Ночная перезагрузка тем более проблем не доставила, просто факт, что сервер перезагружается не по твоей команде, слегка напрягает.
Неуёмный Обыватель
00:14:51 2017-03-21
На что я в 22:32:33 2017-03-17 скептически предположил "вероятность, что мошенники таким образом воруют деньги с банкоматов, достаточно высока". В общем-то, так и оказалось, тырят не с карт, а с банкоматов. А то некоторые товарищи даже подходить к банкоматам уже начинали бояться.
Очень жаль, что существуют множество таких сайтов, которые подают непроверенную информацию. В том числе в пятницу именно под таким соусом выдал новости даже ТАСС не говоря уже про множество более мелких сайтов и информагентств. При этом большинство из них не удосужились до сих пор исправить ошибку либо выпустить опровержения. Так и панику создать можно.
solec
00:14:48 2017-03-21
Б...а
00:11:21 2017-03-21
Luger
23:58:00 2017-03-20
razgen
23:24:20 2017-03-20
**********
"Смешались в кучу кони, люди"….. отделяем мух от котлет.
Заместитель начальника главного управления безопасности и защиты информации Центробанка Артема Сычева среди прочего в пятницу сообщил о следующих двух абсолютно разных событиях и обнаруженных в разных местах (Европа, Россия):
1. О том что, Интерпол уведомил Центробанк РФ о похищении большого объема данных банковских карт россиян, отдыхавших заграницей.
Эти данные были похищены в Европе с помощью скимминга.
2. Сычев также рассказал об используемом злоумышленниками новом дистанционном способе похищения средств из банкоматов. Злоумышленники начали использовать новый способ хищения средств из банкоматов - беспроводной.
Но это уже на территории России.
http://www.securitylab.ru/news/485611.php
http://www.securitylab.ru/news/485606.php
Леонид
23:04:24 2017-03-20
Б...м
22:13:09 2017-03-20
В...а
22:10:18 2017-03-20
vla_va
22:07:13 2017-03-20
Б...а
22:05:16 2017-03-20
Andromeda
22:03:20 2017-03-20
orw_mikle
21:55:57 2017-03-20
aleks_ku
21:53:25 2017-03-20
С...й
21:46:31 2017-03-20
Альфа
21:40:22 2017-03-20
Х...р
21:39:51 2017-03-20
Любитель пляжного футбола
21:35:56 2017-03-20
К...н
21:30:03 2017-03-20
mk.insta
21:11:07 2017-03-20
Р...й
21:09:46 2017-03-20
Роза
21:06:15 2017-03-20
GREII
20:55:45 2017-03-20
imi
20:52:13 2017-03-20
Dvakota
20:17:43 2017-03-20
НинаК
20:04:26 2017-03-20
iAFC
20:03:46 2017-03-20
ai
20:03:03 2017-03-20
Геральт
19:40:10 2017-03-20
Неуёмный Обыватель
19:34:04 2017-03-20
Шалтай Александр Болтай
17:12:17 2017-03-20
mariana
17:07:49 2017-03-20
iiwanc
15:44:24 2017-03-20
Вячeслaв
15:12:54 2017-03-20
gjhz27
15:09:25 2017-03-20
Вячeслaв
15:03:38 2017-03-20