Превентивно – эффективно!
3 октября 2017
На WikiLeaks опубликовали очередную порцию информации об инструментах (читай: вредоносных программах) ЦРУ для получения данных с ПК под управлением Windows XP и 7. В числе этих «помощников» – пара весьма интересных.
Компонент BadMFS представляет собой файловую систему для хранения остальных компонентов вредоноса в зашифрованном и обфусцированном виде.
Пятый компонент – это Windows Transitory File System. Согласно WikiLeaks, файловая система разработана в качестве альтернативы утилите BadMFS. Компонент использовал временные файлы и не полагался на локальную файловую систему.
Казалось бы, зачем вредоносным программам нужны собственные файловые системы? Они же всегда могут записать данные в обычный файл или передать их через Интернет.
Дело в превентивной защите: даже если вредоносная программа сумела запуститься (скажем, из-за того, что пользователь исключил из проверки полностью диски или трафик приложений), то после старта работа его процесса будет отслеживаться именно этим компонентом антивируса. Активность новой программы вызовет у превентивной защиты явный интерес. И злоумышленники придумали, как это обойти.
Можно создать всего лишь один файл, а в нем – собственную файловую систему. В ОС Linux отформатировать пространство внутри файла можно с помощью стандартных утилит, обычно использующихся для форматирования жесткого диска. В ОС Windows создать собственный виртуальный диск несколько сложнее, но, опять же, для специализированной утилиты ничего невозможного нет.
В результате превентивная защита просто не заметит действия злоумышленников, так как по большей части они будут совершаться внутри файла и интерпретироваться как работа с ним.
В такие хранилища можно спрятать и компоненты вредоносной программы, и украденную информацию.
Trojan.Bolik.1 использует унаследованную от Carberp виртуальную файловую систему, которая хранится в специальном файле. Этот файл троянец размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию.
Дополнительно злоумышленники могут зашифровать свою файловую систему, и в результате все попытки получить информацию из их хранилища окажутся напрасными. Так делал Regin, создававший собственную зашифрованную виртуальную файловую систему (EVFS). В качестве метода шифрования EVFS использовался вариант блочного шифра RC5. Или можно разместить созданное хранилище за пределами файловой системы, уменьшив ее размер (т. е. подвинув границу раздела). Скажем, руткиты TDL 3/4 создавали файловую систему TDLFS в последних секторах жесткого диска.
#Windows #вредоносное_ПО #троянец #превентивная_защитаАнтивирусная правДА! рекомендует
У киберпреступников и их «творений» есть много разных методов сокрытия от антивируса. Тем не менее найти и обезвредить вредоносные программы можно.
- Ни один вредоносный файл не может запуститься, предварительно не проникнув в систему, – чудес не бывает. Поэтому нужно устанавливать обновления безопасности и компоненты антивируса, ответственные за проверку всего, что проникает на компьютер. В частности, веб-антивирус Dr.Web SpIDer Gate и почтовый монитор Dr.Web SpIDerMail.
- Как бы ни скрывалась вредоносная программа, ее активность будет выявлена. Так что обязательно использование и превентивной защиты. В продуктах Dr.Web для защиты Windows она есть в Dr.Web Security Space, в Антивирусе Dr.Web и в Dr.Web KATANA.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
23:17:43 2018-08-02
Неуёмный Обыватель
13:58:14 2018-06-23
vasvet
19:04:26 2018-04-04
Volidol
15:55:25 2017-10-04
Вячeслaв
11:05:54 2017-10-04
razgen
23:09:46 2017-10-03
08:47:06 2017-10-03
Опять же после установки обновлений антивируса и ОС нужно не забывать перезагрузить ОС иначе смысла в том, что обновили антивирус или ОС не будет.
------
В зависимости от настроек обновление антивируса может быть до 48 раз в сутки, перезагружать же компьютер антивирус просит очень редко в среднем один раз в неделю. Т.е. один раз из нескольких сотен обновлений. Видимо всё таки есть смысл значительного большинства обновлений и без перезагрузки.
andylew
22:43:27 2017-10-03
В...а
22:03:01 2017-10-03
iAFC
21:57:53 2017-10-03
vla_va
21:50:07 2017-10-03
Andromeda
21:19:46 2017-10-03
Zserg
21:09:06 2017-10-03
НинаК
21:04:37 2017-10-03
Альфа
20:48:42 2017-10-03
kozinka.ru
20:30:55 2017-10-03
Сотрудникам WikiLeaks надо дать Нобелевскую премию, вот только номинацию под них придумать надо.
=========
@sapfira, с Днём рождения!
orw_mikle
20:17:05 2017-10-03
1milS
20:03:03 2017-10-03
Mehatronik
19:55:37 2017-10-03
ek
19:32:30 2017-10-03
Сергей
19:31:48 2017-10-03
kva-kva
18:33:15 2017-10-03
Damir
17:49:55 2017-10-03
Шалтай Александр Болтай
17:44:35 2017-10-03
Геральт
17:42:02 2017-10-03
Lia00
17:31:35 2017-10-03
Toma
17:09:38 2017-10-03
La folle
16:57:32 2017-10-03
mk.insta
16:16:27 2017-10-03
zsergey
15:54:29 2017-10-03
Voin sveta
15:30:50 2017-10-03
sapfira
15:10:56 2017-10-03
Ruslan
14:40:13 2017-10-03
Masha
14:35:57 2017-10-03
SGES
14:04:13 2017-10-03
Вячeслaв
13:45:31 2017-10-03
Да
Dobriy
13:41:27 2017-10-03
Alex_1774
13:32:12 2017-10-03
eaglebuk
13:30:06 2017-10-03
AxooxA
13:10:54 2017-10-03
Татьяна
13:10:38 2017-10-03
Ж...ч
12:57:31 2017-10-03
Дмитрий
12:53:19 2017-10-03
Вячeслaв
12:22:52 2017-10-03
Вячeслaв
12:17:51 2017-10-03
В цитате статьи говорится о том, что используя файл (или например специально созданный раздел на диске), как место хранения ресурсов - вредоносная программа избегает необходимости размещать свои ресурсы открыто на диске. Ну например можно поместить свои ресурся в контейнер и давать в него доступ по симлинкам. Симлинки будут срабатывать только при условии доступности контейнера для проверки - а эту доступность можно регулировать, открывая контейнер только для определенных действий
Alexander
11:48:30 2017-10-03
Превентивность - это как раз работа на опережение. Работа творческая, изыскательная, открытие "недокументированных" приемов цифрового алгоритмического мира и свойств мира "железа" в компьютерах. Спешить не получится, но опоздать непозволительно, - вирусописатели подпирают. В компании Dr.Web это хорошо получается. Пользуюсь Dr.Web Security Space, - прекрасный продукт, по максимуму использующий передовые технологии чудесного мира цифры и алгоритмов.
МЕДВЕДЬ
11:46:14 2017-10-03
Vlad
11:44:27 2017-10-03
Марина
11:04:00 2017-10-03
Выходит, превентивно - не так уж эффективно?
Dmur
10:56:40 2017-10-03
vinnetou
10:48:08 2017-10-03