Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (97)
  • добавить в избранное
    Добавить в закладки

Сначала подумай, затем устанавливай

Прочитали: 9744 Комментариев: 93 Рейтинг: 119

29 марта 2018

Очередная новость о «неуловимом Джо»: снова обнаружен вредоносный файл, который антивирусы упрямо не замечают.

Coldroot RAT умудряется оставаться невидимым для антивирусов.

Coldroot продается на киберкриминальных площадках уже больше года (с 1 января 2017 г.). Черновик лежит на GitHub почти два года. Ни один из антивирусных движков VirusTotal не отмечает Coldroot как вредоносную программу.

http://safe.cnews.ru/news/top/2018-02-22_sozdan_virusnevidimyj_dlya_antivirusov_i_mac

Не иначе это какой-то всемирный заговор! Тем временем паника среди пользователей растет, эксперты рекомендуют соблюдать осторожность.

«То, что этот код был широко доступен в течение года, но при этом антивирусные движки до сих пор не реагируют на Coldroot, — это очень странно,» — говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Остается надеяться, что скоро ситуация изменится. Пока же пользователям рекомендуется с удвоенным вниманием отслеживать, какие программы запрашивают разрешения на установку в систему, и использовать фаерволлы, которые будут предупреждать о попытках устанавливать исходящие соединения с неизвестными удаленными серверами».

Что же это за очередной «неуловимый Джо»?

Coldroot RAT, атакует компьютеры под управлением Mac OS X. Помимо Mac OS, программа может атаковать Windows и Linux.

Установщик Coldroot под Mac OS X маскируется под аудиодрайвер Apple com.apple.audio.driver2.app. При установке пользователю выводится запрос на разрешение, требующий ввода логина и пароля к MacOS. Таким образом, пользователи невольно сами способствуют установке вредоноса на компьютеры.

Совершенно незаметная вредоносная программа. Ее устанавливают сами пользователи и не замечают, что делают что-то странное. И это длится уже больше года!

Обнаружил вредоносный файл эксперт по безопасности Патрик Уордл (Patrick Wardle).

Уордл отметил, что файл com.apple.audio.driver2.app привлек его внимание наличием отсылки к TCC.db — локальной базе данных, которая отслеживает все установленные приложения и уровень их доступа к функциям операционной системы. Вытянув у пользователя локальные логин и пароль, RAT модифицирует TCC.db и пытается обеспечить себе возможность универсального доступа, так, чтобы перехватывать все сигналы от клавиатуры и мыши. А, возможно, и не только перехватывать.

«Прямое внесение изменений в базу данных позволяет обходить надоедливые системные предупреждения, которые обычно выводятся пользователю», — написал Уордл.

Попав в систему, RAT инсталлируется как «демон» запуска (launch daemon) Mac OS X и тем самым обеспечивает себе постоянное присутствие.

В общем и целом – да, это вредоносная программа. Но описание программы показывает, что никаких средств сокрытия от антивирусов она не содержит.

Почему же вредоносную программу не видят антивирусы? Все очень просто. Антивирус определяет лишь то, что позволяют его алгоритмы. Нет знаний – нет и «детекта». Если некую новейшую разработку вирусописателей никто не прислал ни в одну антивирусную компанию, ее, вполне возможно, никто и не будет обнаруживать.

#вредоносное_ПО #OS_X #Linux #Windows

Антивирусная правДА! рекомендует

Антивирус Dr.Web обнаруживает этого «ковбоя» под именем Java.CrossRat.1. А за то, что вредоносная программа долго оставалась неизвестной, надо «благодарить» пользователей, устанавливавших ее и не видевших в этом ничего странного. Будьте внимательны! Если у вас возникли подозрения, отправляйте образцы программ на анализ вендорам.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: