Сначала подумай, затем устанавливай
29 марта 2018
Очередная новость о «неуловимом Джо»: снова обнаружен вредоносный файл, который антивирусы упрямо не замечают.
Coldroot RAT умудряется оставаться невидимым для антивирусов.
Coldroot продается на киберкриминальных площадках уже больше года (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Ни один из антивирусных движков VirusTotal не отмечает Coldroot как вредоносную программу.
http://safe.cnews.ru/news/top/2018-02-22_sozdan_virusnevidimyj_dlya_antivirusov_i_mac
Не иначе это какой-то всемирный заговор! Тем временем паника среди пользователей растет, эксперты рекомендуют соблюдать осторожность.
«То, что этот код был широко доступен в течение года, но при этом антивирусные движки до сих пор не реагируют на Coldroot, — это очень странно,» — говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Остается надеяться, что скоро ситуация изменится. Пока же пользователям рекомендуется с удвоенным вниманием отслеживать, какие программы запрашивают разрешения на установку в систему, и использовать фаерволлы, которые будут предупреждать о попытках устанавливать исходящие соединения с неизвестными удаленными серверами».
Что же это за очередной «неуловимый Джо»?
Coldroot RAT, атакует компьютеры под управлением Mac OS X. Помимо Mac OS, программа может атаковать Windows и Linux.
Установщик Coldroot под Mac OS X маскируется под аудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователю выводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Таким образом, пользователи невольно сами способствуют установке вредоноса на компьютеры.
Совершенно незаметная вредоносная программа. Ее устанавливают сами пользователи и не замечают, что делают что-то странное. И это длится уже больше года!
Обнаружил вредоносный файл эксперт по безопасности Патрик Уордл (Patrick Wardle).
Уордл отметил, что файл com.apple.audio.driver2.app привлек его внимание наличием отсылки к TCC.db — локальной базе данных, которая отслеживает все установленные приложения и уровень их доступа к функциям операционной системы. Вытянув у пользователя локальные логин и пароль, RAT модифицирует TCC.db и пытается обеспечить себе возможность универсального доступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А, возможно, и не только перехватывать.
«Прямое внесение изменений в базу данных позволяет обходить надоедливые системные предупреждения, которые обычно выводятся пользователю», — написал Уордл.
Попав в систему, RAT инсталлируется как «демон» запуска (launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие.
В общем и целом – да, это вредоносная программа. Но описание программы показывает, что никаких средств сокрытия от антивирусов она не содержит.
Почему же вредоносную программу не видят антивирусы? Все очень просто. Антивирус определяет лишь то, что позволяют его алгоритмы. Нет знаний – нет и «детекта». Если некую новейшую разработку вирусописателей никто не прислал ни в одну антивирусную компанию, ее, вполне возможно, никто и не будет обнаруживать.
#вредоносное_ПО #OS_X #Linux #WindowsАнтивирусная правДА! рекомендует
Антивирус Dr.Web обнаруживает этого «ковбоя» под именем Java.CrossRat.1. А за то, что вредоносная программа долго оставалась неизвестной, надо «благодарить» пользователей, устанавливавших ее и не видевших в этом ничего странного. Будьте внимательны! Если у вас возникли подозрения, отправляйте образцы программ на анализ вендорам.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
12:51:56 2018-08-03
Неуёмный Обыватель
15:57:00 2018-06-12
Lia00
02:51:38 2018-04-05
Littlefish
18:12:26 2018-03-30
Ruslan
16:37:45 2018-03-30
Владимир
07:55:40 2018-03-30
razgen
22:15:44 2018-03-29
Геральт
21:53:40 2018-03-29
razgen
21:40:09 2018-03-29
Спасибо за напоминание. Так же посмотрел рейтинг. Меня немного удивила подкатегория мобильные антивирусы для платформы Android. Где Dr.Web Security Space и Dr.Web Light имеют разный процент голосов. Предполагаю, что часть пользователей и может быть значительная, голосовала за один из этих двух антивирусов. Хотя функционал этого раздела принимает голоса одновременно за три антивируса по вашему выбору. Так что голосовать одновременно за два антивируса от DrWeb в этой подкатегории можно без проблем.
vla_va
21:36:15 2018-03-29
В...а
21:20:11 2018-03-29
orw_mikle
21:11:04 2018-03-29
МЕДВЕДЬ
20:59:35 2018-03-29
НинаК
20:58:15 2018-03-29
anatol
20:37:30 2018-03-29
ek
20:20:42 2018-03-29
Marsn77
20:16:39 2018-03-29
Сергей
20:00:04 2018-03-29
kva-kva
19:58:07 2018-03-29
Dvakota
19:43:49 2018-03-29
swa1
19:39:02 2018-03-29
Toma
19:14:37 2018-03-29
Masha
19:05:07 2018-03-29
zsergey
18:51:09 2018-03-29
GREII
18:42:19 2018-03-29
Шалтай Александр Болтай
18:35:44 2018-03-29
Дмитрий
18:20:56 2018-03-29
Damir
16:59:21 2018-03-29
mk.insta
16:22:47 2018-03-29
Oleg
15:49:23 2018-03-29
La folle
15:41:27 2018-03-29
Татьяна
15:41:19 2018-03-29
Alexander
15:37:22 2018-03-29
Два года назад появилось нечто со звучным названием ColdRootRAT. Это нечто в течение года показало свой нордический характер (Cold), продемонстрировало умение докопаться до самых основ цели (root), юркость и всеядность (rat) в решении поставленной задачи. Это было замечено, стало востребованным, и Оно (ColdRootRAT) стало предлагать себя за конвертируемую валюту. И вот вдруг появляется гуру Патрик Уордл, который наконец-то открывает интернет сообществу "прелести" ColdRootRAT. Публикуются статьи, идет бурное обсуждение. Dr.Web вносит Java.CrossRat.1 в свою базу данных. Утверждается, что шпионская малварь CrossRAT является частью платформы Dark Caracal, которая используется для слежки за пользователями и хищения персональных данных (http://www.comss.info/page.php?al=CrossRAT). Заказчики есть, но где же потерпевшие?! Они имеются? Сколько их, какова их дислокация? Или этот зловред имеет узкую аудиторию, члены которой не стремятся к публичности?
В рекомендациях, вроде как, все понятно. Есть вредонос, но у Dr.Web есть и противоядие. Надо быть внимательным. Вот только как отделить "то", что не вызывает подозрение, но подлежит отправке к Dr.Web на анализ, от того, что отправлять не обязательно?! Одно ясно с полной уверенностью, - в интернете столько "спящей" нечисти, что без Dr.Web Security Space туда соваться не стоит.
Альфа
14:30:33 2018-03-29
Пaвeл
14:29:23 2018-03-29
Не хочу навязывать Вам свое мнение или делать рекламу, но у меня к Dr.Web никаких нареканий уже лет 10-ть.
Пaвeл
14:24:54 2018-03-29
Подробнее: https://www.securitylab.ru/news/492346.php
Вот тебе и раз! Эх! Значит компания Boeing не использует Dr.Web?
Dr.Web рекомендует: Сначала подумай, затем устанавливай!
Andromeda
14:06:26 2018-03-29
Пaвeл
13:47:08 2018-03-29
https://www.comss.ru/page.php?id=4739
Странно, что процентное отношение за 3-и месяца практически не изменилось. Жаль, что Dr.Web Security Space на 3-ем месте.
Это какие-то неправильные пользователи. И они делают неправильный рейтинг!
vinnetou
13:17:55 2018-03-29
troimatsch
13:06:33 2018-03-29
Капсперский когда - то пропустил "китайца"; пришлось менять операционку.
Вячeслaв
12:52:23 2018-03-29
И для понимания
Достаточно часто исходные коды вредоносных программ утекают в сеть. В качестве примера можно привести Зевс. Выкладка вредоносного кода в сеть Интернет приводит к появлению новых образцов, похожих,но не идентичных исходному. Поэтому то, что мы занесем к себе сигнатуру - не гарантирует от заражения образцами, построенными на измененном коде
И для понимания ситуации 2. Свежая новость. Компания Боинг заразилась ВаннаКраем. Год прошел с эпидемии, заплатки до сих пор не поставлены. А вы говорите - антивирусы
EvgenyZ
12:30:05 2018-03-29
Уже здесь должны были возникнуть подозрения.
robot
12:23:34 2018-03-29
alex-diesel
12:09:46 2018-03-29
ну да, а вышла статья - сразу обнаруживается, то есть в базу включили хлам исключительно вследствии успешной PR компании этого хлама ))
зы я давний поклонник DrWeb, ничего против не имею, я лишь о некоторой двухсмысленности нынешней новости.
alex-diesel
12:04:18 2018-03-29
То есть существует некоторое множество потенциально или реально вредоносных программ, которые не были присланы пользователями в антивирусную лабораторию. Все это множество не будет детектироваться (не включается в базу для экономии ее размера) до обращения первого заподозрившего что-то пользователя, так? Независимо от реальности угрозы? Впечатление, что вы что-то недоговариваете ))
Неужто нет мониторинга наиболее известных ресурсов подобных упомянутому, хотя бы для отслеживания действительно новых угроз, возможных новых принципов действия, маскировки и прочего? Ну не верю, что компании полагаются только на внимательность и ответственность своих пользователей.
razgen
12:01:16 2018-03-29
Natalya_2017
11:57:07 2018-03-29
razgen
11:53:14 2018-03-29
sanek-xf
11:53:06 2018-03-29
razgen
11:50:15 2018-03-29