Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (32)
  • добавить в избранное
    Добавить в закладки

Превентивно – эффективно!

Прочитали: 1803 Комментариев: 79 Рейтинг: 95

На WikiLeaks опубликовали очередную порцию информации об инструментах (читай: вредоносных программах) ЦРУ для получения данных с ПК под управлением Windows XP и 7. В числе этих «помощников» – пара весьма интересных.

Компонент BadMFS представляет собой файловую систему для хранения остальных компонентов вредоноса в зашифрованном и обфусцированном виде.

Пятый компонент – это Windows Transitory File System. Согласно WikiLeaks, файловая система разработана в качестве альтернативы утилите BadMFS. Компонент использовал временные файлы и не полагался на локальную файловую систему.

http://www.securitylab.ru/news/488176.php

Казалось бы, зачем вредоносным программам нужны собственные файловые системы? Они же всегда могут записать данные в обычный файл или передать их через Интернет.

Дело в превентивной защите: даже если вредоносная программа сумела запуститься (скажем, из-за того, что пользователь исключил из проверки полностью диски или трафик приложений), то после старта работа его процесса будет отслеживаться именно этим компонентом антивируса. Активность новой программы вызовет у превентивной защиты явный интерес. И злоумышленники придумали, как это обойти.

Можно создать всего лишь один файл, а в нем – собственную файловую систему. В ОС Linux отформатировать пространство внутри файла можно с помощью стандартных утилит, обычно использующихся для форматирования жесткого диска. В ОС Windows создать собственный виртуальный диск несколько сложнее, но, опять же, для специализированной утилиты ничего невозможного нет.

В результате превентивная защита просто не заметит действия злоумышленников, так как по большей части они будут совершаться внутри файла и интерпретироваться как работа с ним.

В такие хранилища можно спрятать и компоненты вредоносной программы, и украденную информацию.

Trojan.Bolik.1 использует унаследованную от Carberp виртуальную файловую систему, которая хранится в специальном файле. Этот файл троянец размещает в одной из системных директорий или в папке пользователя. Виртуальная файловая система позволяет вредоносной программе скрыто хранить на зараженном компьютере нужную ей для работы информацию.

http://news.drweb.com/show/?c=5&i=9999&lng=ru

Дополнительно злоумышленники могут зашифровать свою файловую систему, и в результате все попытки получить информацию из их хранилища окажутся напрасными. Так делал Regin, создававший собственную зашифрованную виртуальную файловую систему (EVFS). В качестве метода шифрования EVFS использовался вариант блочного шифра RC5. Или можно разместить созданное хранилище за пределами файловой системы, уменьшив ее размер (т. е. подвинув границу раздела). Скажем, руткиты TDL 3/4 создавали файловую систему TDLFS в последних секторах жесткого диска.

#Windows #вредоносное_ПО #троянец #превентивная_защита

Dr.Web рекомендует

У киберпреступников и их «творений» есть много разных методов сокрытия от антивируса. Тем не менее найти и обезвредить вредоносные программы можно.

  1. Ни один вредоносный файл не может запуститься, предварительно не проникнув в систему, – чудес не бывает. Поэтому нужно устанавливать обновления безопасности и компоненты антивируса, ответственные за проверку всего, что проникает на компьютер. В частности, веб-антивирус Dr.Web SpIDer Gate и почтовый монитор Dr.Web SpIDerMail.
  2. Как бы ни скрывалась вредоносная программа, ее активность будет выявлена. Так что обязательно использование и превентивной защиты. В продуктах Dr.Web для защиты Windows она есть в Dr.Web Security Space, в Антивирусе Dr.Web и в Dr.Web KATANA.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: