Могут ли троянцы бояться?

Антивирусная неправда

добавить в избранное

Могут ли троянцы бояться?

Прочитали: 4480 Комментариев: 50 Рейтинг: 121

14 августа 2017

Вирусы атакуют – антивирус их уничтожает, а заодно подтормаживают компьютер – пользователь возмущается и мечтает избавиться от антивируса. Вот если бы вредоносные программы просто боялись приблизиться к компьютеру, а попав на него по ошибке, сами делали бы себе харакири! Звучит как фантастика, и все же…

Одним из средств защиты от вредоносных программ является песочница. Это некое изолированное окружение, которое отгораживает ту или иную программу от всех остальных. Например, файл, кликнутый по ссылке, запускается без доступа к основным файлам системы – все необходимое для старта ему предоставляется автоматически, но за пределы того, что ему нужно, его не пускают. Вариантов реализации такого механизма – множество. Например, можно запускать каждый новый файл в отдельной виртуальной машине. Этот способ – самый ресурсоемкий, но если речь идет об анализе вредоносных файлов, его применение вполне оправданно.

Недостаток песочницы – в том, что она имеет свои отличительные признаки (именно поэтому антивирусные лаборатории не рассказывают о своей кухне: узнав об этих особенностях, злоумышленники смогут обходить системы автоматического анализа). Зная эти признаки, вредоносная программа может определить, что она была запущена в песочнице, – и затаиться.

Модуль установки троянца обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить ее исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ.

http://news.drweb.com/show/?c=5&i=4055

После своего запуска BackDoor.Tishop.122 выполняет проверку окружения на наличие «песочницы» или виртуальной машины...

http://news.drweb.com/show/?c=5&i=5821

И вот появляется идея!

Оригинальным способом защиты от малвари является эмуляция этой самой песочницы на своем ПК.

Что можно сделать, чтобы быть похожим на песочницу:

Изменить Mac адрес сетевой карты на адрес из диапазона VMware. Вреда никакого нет, а малварь подумает, что она внутри виртуальной машины и застрелится.
HKLMSYSTEMCurrentControlSetControlClass{4d36e972.....}[Папка сетевого адаптера]
Добавьте ключ NetworkAddress со String переменной 005056XXXXXX
Установить этот скрипт. Он копирует ping.exe из системной папки Windows в TEMP директорию, переименовывает его в десяток разных имен и запускает с ключами "пингуй 1.1.1.1 раз в час".

Вот список процессов, который вы получите в своей системе на выходе: "WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe"

Процессы сидят в памяти, но памяти и ресурсов не едят почти совсем. Если малварь захочет получить список запущенных процессов на вашей системе – она увидит целый арсенал средств отладки, который способен отпугнуть даже бывалого сисадмина.

http://www.securitylab.ru/blog/personal/itsec/342068.php

Однако в действительности возникает несколько проблем. Самая забавная – в том, что троянцы редко проверяют среду на наличие песочницы: они просто ничего не боятся.

Вторая проблема: вместо самоуничтожения троянцы могут выждать определенное время, пока идет проверка в песочнице, и после этого начать свою вредоносную работу. Довольно часто так поступают троянцы под Android – они действуют с задержкой, чтобы пользователи не связали вредоносную активность со свежескачанной программой.

Ну и последнее: если этот способ найдет массовое применение, то злоумышленники просто будут учитывать еще и этот характерный признак.

Надежной, конечно, такую защиту не назовешь.

http://www.securitylab.ru/blog/personal/itsec/342068.php

#троянец #бэкдор #технологии

Антивирусная правДА! рекомендует

Многие полагают, что обойтись без антивируса – вполне реально, полностью изолировав свою машину от Интернета или выключив ее. Вот только через некоторое время выясняется, что управлять можно и выключенным ПК, а на изолированном компьютере завелся троянец. Думаете, такого не бывает? Следите за выпусками проекта «Антивирусная правДА!».

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Денисенко Павел Андреевич
21:23:27 2018-08-04

В наше время все бывает, особенно в IT.

Неуёмный Обыватель Собкор
23:31:31 2018-06-28

Полностью полагаться на подручные способы защиты вряд ли уж буду.

vasvet
14:31:27 2018-03-26

Какие они оказывается смелые твари:)

Toma
18:42:51 2017-12-04

Эмуляция песочницы на своем ПК - интересный подход.

сергей
18:47:55 2017-08-20

все ништяк !!!!!!!!!!

achemolganskiy
19:16:59 2017-08-18

Песочница, облако- ещё что? А без Dr.Web ни как нельзя.

AxooxA
23:37:11 2017-08-16

почитываем

Александр
20:39:16 2017-08-16

Есть антивирусная защита и мне кажется ничего пока умнее не создадут в защите.А с Доктором Веб песочницы это лишнее.

kozinka.ru Собкор
17:50:49 2017-08-16

Хлопотное это дело - эмуляция песочницы. Если кто и попробует, то это будут единицы.
А что в итоге? - "_Надежной, конечно, такую защиту не назовешь._"

MiguSan
17:32:43 2017-08-15

Троянцы не боятся
защитников на станции.
Троянцы мониторят
процессы-иностранцев.

Тихонечко таятся
троянцы в информации,
И делают бесшумно
программу махинации

sapfira
08:42:35 2017-08-15

Без "Доктора" ни шагу не ступнуть))

GREII Собкор
23:55:05 2017-08-14

"и троян заведется тк и палка может стрельнуть" ...спасибо

vla_va
23:12:12 2017-08-14

Идеи всегда появляются

В...а
22:28:04 2017-08-14

Разные они все

Леонид
21:58:40 2017-08-14

Весело

Dvakota
21:44:24 2017-08-14

Антивирус нужен - вот это реально .

НинаК
21:24:01 2017-08-14

хм... действуют с задержкой...

Mehatronik
21:16:12 2017-08-14

Интересная статья) Спасибо)

ek
21:00:13 2017-08-14

Торопятся троянцы

orw_mikle
20:42:05 2017-08-14

Скоро в электрочайнике вирусы будут заводиться.

kva-kva
19:25:49 2017-08-14

Это умные троянцы!

Марина
19:06:11 2017-08-14

Веселая статья, понравилось.

mk.insta
16:42:33 2017-08-14

"программа может определить, что она была запущена в песочнице, – и затаиться" - функционал особенный!

Вячeслaв Собкор
16:14:06 2017-08-14

@bromb, как таковых на именно захват виртуальных машин - не припомню. смысла нет видимо. особых отличий виртуальной машины от реальной с точки зрения вируса нет - и там и там данные, которые интересуют злоумышленников.
Есть несколько специфичных вредоносных программ, использующих уязвимости для выхода за пределы виртуальных машин. Но их крайне мало.
Ну и есть вредоносные программы, отслеживающие, что их запустили на виртуальной машине. Тут от их создателей требуется мастерство - отличить ловушку от реальной машины

Влад
15:45:52 2017-08-14

С защитой как-то спокойней ну и самому не тупить.

bromb
15:41:58 2017-08-14

А разве нет зловредов нацеленных на "угон / захват" VM пользователя?

Шалтай Александр Болтай Собкор
14:21:12 2017-08-14

Самый неприятный выбор — это когда приходится выбирать: чего бояться больше?

Alexander Собкор
12:52:55 2017-08-14

Верно подмечено в статье - "песочница" имеет свои отличительные признаки. Так же как и "железо", из которого собран компьютер, и BIOS (UEFI), и установленная операционная система, и прикладные программы, и антивирусник. Вирусы не имеют человеческого сознания, это всего лишь алгоритм, код, программа, придуманные человеком. Разных "дверей" в системе много, - без них была бы невозможна собственно сама созидательная работа пользователя на компьютере. Просто надо понимать, что на компьютере одновременно работают несколько "игроков", в их числе OS, установленные программы, человек и еще "кое-что" ("кое-кто"). Все их "отличительные признаки" и заложенный в них функционал перемешаны и взаимодействуют друг с другом по разному, - и нейтрально (в лучшем случае), и конкурируют (часто ослабляя каждого), иногда дополняют в части защиты системы (очень редко). В "песочнице" имеются положительные качества, но нередко они мешают антивирусу делать профессионально свою работу. На мой взгляд, Dr.Web Security Space - это надежнее и спокойнее.

Oleg
11:02:02 2017-08-14

Спасибо,за интересный выпуск.

Вячeслaв Собкор
10:32:02 2017-08-14

@Littlefish, из своего компьютера не стоит, но вот иметь виртуальную машину, на которую можно скачать подозрительное или открыть ссылку - можно

samos
10:03:20 2017-08-14

Понятно. Спасибо.

Кирилл69
09:47:33 2017-08-14

Многие пользователи интернета, считают что антивирус только нагружает систему, а вирусы, не обнаруживает. Я с этим не согласен! Я считаю лучшим антивирусом Dr.Web!

Родриго
09:36:11 2017-08-14

ну-с, слежу, но мне интереснее тема завтрашнего дня, жду с нетерпением :)

Пaвeл Собкор
09:05:29 2017-08-14

Опасности на каждом шагу. Без Антивируса никуда!

user
09:04:22 2017-08-14

Как в известном мультфильме

Пятачок: А как ты думаешь, а пчёлы не заметят под шариком… тебя!
Винни-Пух: Я притворюсь, будто я маленькая чёрная тучка.

dyadya_Sasha Собкор
08:48:31 2017-08-14

"...Многие полагают, что обойтись без антивируса – вполне реально..."
Тратить время на поиск доказательств опровержения того, что давно стало очевидным не разумно.

ka_s
08:12:41 2017-08-14

Без антивируса не обойтись.

Maat
08:09:54 2017-08-14

"Костыли" не заменят антивирус. Спасибо за интересную статью.

Littlefish Собкор
08:04:48 2017-08-14

@Mefch, "Сейчас "железо" не так дорого стоит"
Смотря какое, думаю, что GeForce GTX 1080 Ti и Intel Core i9 с Вами не согласятся :-)

Littlefish Собкор
07:53:36 2017-08-14

@admin, Как единственный метод защиты (без антивируса)надёжной, естественно, такую защиту не назовешь.
А как дополнение к установленному Dr.Web Security Space "изображать" из своего компьютера "песочницу" имеет смысл или нет (до того момента как злоумышленники будут учитывать еще и этот характерный признак)?

Littlefish Собкор
07:43:51 2017-08-14

Понятное дело, что сейчас без антивируса обойтись крайне сложно.

Mefch
07:42:25 2017-08-14

Сейчас "железо" не так дорого стоит, чтобы в ущерб безопасности улучшать производительность.

tigra Собкор
07:16:44 2017-08-14

Для проверки программы или её отладки я собираю систему на лабораторной машине. И всё. Там можно крутить как угодно. И не беспокоиться.

Sasha50 Собкор
07:06:00 2017-08-14

Главная фишка - " ..управлять можно и выключенным ПК, а на изолированном компьютере завелся троянец.."

marisha-san Собкор
06:50:22 2017-08-14

Лучше не рисковать.

Любитель пляжного футбола Собкор
06:03:25 2017-08-14

Без антивируса никак, а то что троянцы могут проверять, запущены ли они в виртуальной среде, уже говорилось в более ранних выпусках АВП.

Morpheus Собкор
05:57:42 2017-08-14

Интересный способ, в каких-то случаях может и выручить, наверное.

SGES Собкор
04:56:05 2017-08-14

Лишние догадки на худое падки.

a13x Собкор
04:28:24 2017-08-14

И такие советы по превращению в псевдо-песочницу дает какой-нибудь хакер, хитро управляя сознанием масс для большего заражения своим троянцем :)

A1037
03:19:28 2017-08-14

Как всегда, интересно.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Могут ли троянцы бояться?

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей