Расставим точки над майнерами
23 апреля 2018
Я бы вообще сказал, что это ложное срабатывание:
майнер — не вредоносная программа.
С сайта «Хабрахабр»
Тема майнинга недостаточно раскрыта. КАК, например, настраивать антивирус чтобы он ловил майнеры? Это происходит автоматически? Где-то на форумах Др Веб видел совет настраивать антивирус на перемещение вирусов в карантин, мол иначе он майнеры не удаляет и не блокирует. Вроде как такова особенность работы его антивирусных модулей. Правда ли это?
Из комментариев к выпуску «Майнеры против майнеров»
Давайте разберемся по пунктам.
Что такое майнер?
Майнер – программа, предназначенная для добычи криптовалют на зараженных компьютерах и устройствах.
Многие отмечают, что заработать на майнерах не так-то просто.
10-20 активных майнеров на веб-сайте могут получать ежемесячную прибыль в размере 0,3 XMR - или 97 долларов США (по состоянию на 22 февраля 2018 года).
https://www.anti-malware.ru/analytics/Threats_Analysis/cryptojacking-new-threat
Прямо скажем, суммы не такие уж и значительные. Тем не менее, реклама делает свое дело и среди злоумышленников заработок на криптовалютах очень популярен.
Относятся ли майнеры к вредоносным программам?
Однозначно. Разве может не быть вредоносной программа, которая использует ваши ресурсы без вашего разрешения и при этом еще и затрудняет (а то и делает невозможной) вашу работу на компьютере?
Те, кто считает майнеры невредоносными, часто приводят следующий аргумент: такие программы не делают ничего разрушительного. Но это как сказать!
Компания Synopsys раскрыла причины отключения сервиса Coverity Scan, который на протяжении 4 недель был недоступен для пользователей.
Злоумышленники смогли получить неавторизированный доступ к серверам в инфраструктуре Coverity Scan и организовали на них выполнение кода для майнинга криптовалюты.
Если такой майнер заразит сервер какого-нибудь завода, мало не покажется!
Забавно, кстати, что «сервис (Coverity Scan) был создан в 2006 году по инициативе Министерства национальной безопасности США для обеспечения и усиления безопасности информационной инфраструктуры Соединенных Штатов». Опять сапожник без сапог!
Может ли антивирус защищать от майнеров?
Естественно, ведь антивирус предназначен для защиты от любых типов вредоносных программ.
Небольшое отступление:
- Недавно коллега прислал мне файл с просьбой проверить его в нашей песочнице Cisco Threat Grid. У него было подозрение относительно этого файла, а имеющийся у него антивирус никак не реагировал на файл. Через несколько минут после начала анализа Cisco Threat Grid выдал вердикт — троянец ZBot. Но ведь это достаточно известный и старый вредонос. Почему же антивирус его не ловил? Ключевое слово — “старый”. Оказывается, для уменьшения объема базы сигнатур, которая “заливалась” на каждый персональный компьютер, антивирусный вендор решил старые сигнатуры отключить. И его можно понять. Число сигнатур постоянно растет и измеряется уже сотнями миллионов и даже миллиардами — никакого жесткого диска не хватит, чтобы хранить весь этот объем информации. Приходится делать выбор и он может приводить к плачевным последствиям.
- Этож кто такой?
- Название антивируса не назову, но это один из лидеров рынка.
«И его можно понять…». Нет, такого мы не понимаем. Антивирус должен ловить все, и мы к этому стремимся, равно как стремимся знать обо всех возможных вредоносных программах.
Нужны ли особые настройки антивируса для защиты от майнеров?
С точки зрения антивируса майнеры – обычные вредоносные файлы.
Ловит ли их ваш антивирус, можно проверить, выполнив действия, описанные в нашем Информационном бюллетене о майнерах.
Основные ошибки пользователей:
- отказ от установки ряда модулей, в первую очередь – модуля проверки трафика;
- внесение в список исключений слишком большого числа программ, папок и дисков;
- неправильная настройка действия Игнорировать: майнеры могут классифицироваться не только как троянцы, но и как потенциально опасные программы. Применение действия Игнорировать для потенциально опасных программ недопустимо.
Какое действие нужно использовать для защиты от майнеров: Лечить или Перемещать в карантин?
Большой разницы нет (в отличие от шифровальщиков, для анализа последствий деятельности которых желательно наличие тела троянца). Тем не менее, действие Перемещать в карантин – предпочтительнее. Наличие тела троянца может помочь, если потребуется расширенный анализ инцидента или если вам попадется новый вариант майнера.
#майнинг #нелегальное_ПО #технологии_Dr.WebАнтивирусная правДА! рекомендует
На данный момент подавляющее большинство майнеров не представляет проблем для антивируса. Но надо понимать, что майнеры начали стремительно развиваться не так уж и давно. Сейчас они умеют прятаться, используют методы сокрытия от систем защиты, могут проникать через уязвимости. Можно смело утверждать, что более продвинутые варианты майнеров не заставят себя ждать. И тогда уже вручную их не удалишь!
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Денисенко Павел Андреевич
17:14:18 2018-08-03
Анатолий
10:54:23 2018-04-26
Александр
07:48:58 2018-04-26
Вячeслaв
12:00:03 2018-04-25
Конкретно для майнеров особой разницы удалять или перемещать в карантин нет, но поскольку вам могут попасться не только майнеры, но и те же шифровальщики, то действие перемещать в карантин более предпочтительно. Естественно вместе с установкой пароля на доступ к антивирусу, если к нему имеет доступ кто-то кроме вас
Lia00
01:50:35 2018-04-25
Неуёмный Обыватель
00:41:03 2018-04-25
Ruslan
11:04:23 2018-04-24
Maat
10:53:06 2018-04-24
a13x
02:22:49 2018-04-24
Жалко, что человек не признался, что за антивирус такой, что базы старые удаляет. Как помнится по всем новостям и публикациям Доктор Веб таким не занимается, а только код причёсывает ;)
I46
00:05:33 2018-04-24
Zserg
23:59:48 2018-04-23
I23
23:46:48 2018-04-23
Lenba
23:11:47 2018-04-23
razgen
22:17:06 2018-04-23
Marsn77
22:07:23 2018-04-23
Любитель пляжного футбола
22:01:50 2018-04-23
НинаК
22:01:24 2018-04-23
Любитель пляжного футбола
21:59:10 2018-04-23
ek
21:42:05 2018-04-23
Anton_S
21:10:46 2018-04-23
Прочитал недавно исследования антивирусов от "роскачества". Не совсем понятно почему такие результаты.
duduka
21:06:42 2018-04-23
kva-kva
21:00:48 2018-04-23
Людмила
20:56:51 2018-04-23
Людмила
20:56:06 2018-04-23
Ваши поздравления переданы имениннику. Спасибо!
orw_mikle
20:42:51 2018-04-23
Neith
20:31:08 2018-04-23
GREII
20:30:36 2018-04-23
Сергей
19:57:02 2018-04-23
mk.insta
19:52:22 2018-04-23
Toma
19:44:12 2018-04-23
Alex_1774
19:14:27 2018-04-23
Andromeda
19:12:31 2018-04-23
Masha
19:12:23 2018-04-23
Masha
19:06:23 2018-04-23
Littlefish
18:49:04 2018-04-23
zsergey
18:34:48 2018-04-23
maghan
18:31:17 2018-04-23
Dmur
18:10:34 2018-04-23
Oleg
17:41:22 2018-04-23
Альфа
17:26:19 2018-04-23
Дмитрий
17:24:11 2018-04-23
Damir
16:55:39 2018-04-23
EvgenyZ
16:48:40 2018-04-23
La folle
16:28:16 2018-04-23
razgen
16:19:39 2018-04-23
Laventurier
16:19:08 2018-04-23
vinnetou
15:48:48 2018-04-23
znamy
15:44:53 2018-04-23
Lex
15:30:18 2018-04-23
SGES
15:06:19 2018-04-23