Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (25)
  • добавить в избранное
    Добавить в закладки

Могут ли троянцы бояться?

Прочитали: 1841 Комментариев: 87 Рейтинг: 99

Вирусы атакуют – антивирус их уничтожает, а заодно подтормаживают компьютер – пользователь возмущается и мечтает избавиться от антивируса. Вот если бы вредоносные программы просто боялись приблизиться к компьютеру, а попав на него по ошибке, сами делали бы себе харакири! Звучит как фантастика, и все же…

Одним из средств защиты от вредоносных программ является песочница. Это некое изолированное окружение, которое отгораживает ту или иную программу от всех остальных. Например, файл, кликнутый по ссылке, запускается без доступа к основным файлам системы – все необходимое для старта ему предоставляется автоматически, но за пределы того, что ему нужно, его не пускают. Вариантов реализации такого механизма – множество. Например, можно запускать каждый новый файл в отдельной виртуальной машине. Этот способ – самый ресурсоемкий, но если речь идет об анализе вредоносных файлов, его применение вполне оправданно.

Недостаток песочницы – в том, что она имеет свои отличительные признаки (именно поэтому антивирусные лаборатории не рассказывают о своей кухне: узнав об этих особенностях, злоумышленники смогут обходить системы автоматического анализа). Зная эти признаки, вредоносная программа может определить, что она была запущена в песочнице, – и затаиться.

Модуль установки троянца обладает функционалом, позволяющим определить попытку запуска вредоносной программы в отладочной среде или виртуальной машине, чтобы затруднить ее исследование специалистами. Также выполняется проверка на выполнение в изолированной среде «песочницы» Sandboxie — утилиты для контроля за работой различных программ.

http://news.drweb.com/show/?c=5&i=4055

После своего запуска BackDoor.Tishop.122 выполняет проверку окружения на наличие «песочницы» или виртуальной машины...

http://news.drweb.com/show/?c=5&i=5821

И вот появляется идея!

Оригинальным способом защиты от малвари является эмуляция этой самой песочницы на своем ПК.

Что можно сделать, чтобы быть похожим на песочницу:

  1. Изменить Mac адрес сетевой карты на адрес из диапазона VMware. Вреда никакого нет, а малварь подумает, что она внутри виртуальной машины и застрелится.

    HKLMSYSTEMCurrentControlSetControlClass{4d36e972.....}[Папка сетевого адаптера]

    Добавьте ключ NetworkAddress со String переменной 005056XXXXXX

  2. Установить этот скрипт. Он копирует ping.exe из системной папки Windows в TEMP директорию, переименовывает его в десяток разных имен и запускает с ключами "пингуй 1.1.1.1 раз в час".

    Вот список процессов, который вы получите в своей системе на выходе: "WinDbg.exe","idaq.exe","wireshark.exe", "vmacthlp.exe", "VBoxService.exe", "VBoxTray.exe", "procmon.exe", "ollydbg.exe", "vmware-tray.exe", "idag.exe", "ImmunityDebugger.exe"

Процессы сидят в памяти, но памяти и ресурсов не едят почти совсем. Если малварь захочет получить список запущенных процессов на вашей системе – она увидит целый арсенал средств отладки, который способен отпугнуть даже бывалого сисадмина.

http://www.securitylab.ru/blog/personal/itsec/342068.php

Однако в действительности возникает несколько проблем. Самая забавная – в том, что троянцы редко проверяют среду на наличие песочницы: они просто ничего не боятся.

Вторая проблема: вместо самоуничтожения троянцы могут выждать определенное время, пока идет проверка в песочнице, и после этого начать свою вредоносную работу. Довольно часто так поступают троянцы под Android – они действуют с задержкой, чтобы пользователи не связали вредоносную активность со свежескачанной программой.

Ну и последнее: если этот способ найдет массовое применение, то злоумышленники просто будут учитывать еще и этот характерный признак.

Надежной, конечно, такую защиту не назовешь.

http://www.securitylab.ru/blog/personal/itsec/342068.php

#троянец #бэкдор #технологии

Dr.Web рекомендует

Многие полагают, что обойтись без антивируса – вполне реально, полностью изолировав свою машину от Интернета или выключив ее. Вот только через некоторое время выясняется, что управлять можно и выключенным ПК, а на изолированном компьютере завелся троянец. Думаете, такого не бывает? Следите за выпусками проекта «Антивирусная правДА!».

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: