2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Трояны-блокировщики Windows: рецепты лечения

Трояны-блокировщики Windows: рецепты лечения

Продолжаем бороться с блокировщиками Windows, далее мы попытаемся дать несколько практических советов по борьбе с этим неприятным видом «троянов». Для начала напомним, что же такое троян блокировщик Windows. Итак, трояны («троянские кони») семейства Winlock, известные как «блокировщики Windows», семейство вредоносных программ, блокирующих или затрудняющих работу с операционной системой, и требующих перечисление денег злоумышленникам за восстановление работоспособности компьютера, частный случай Ransomware (программ-вымогателей). Впервые появились в конце 2007 года. Широкое распространение вирусы-вымогатели получили зимой 2009—2010 годов, по некоторым данным оказались заражены миллионы компьютеров, преимущественно среди пользователей русскоязычного Интернета. Второй всплеск активности такого вредоносного ПО пришёлся на май 2010 года.

Ранее для перевода денег обычно использовались короткие премиум-номера, в настоящее время подобные программы также могут требовать перечисления денег на электронные кошельки (например, «Яндекс.Деньги», WebMoney), либо на баланс мобильного номера. Необходимость перевести деньги часто объясняется тем, что «Вы получили временный бесплатный доступ к сайту для взрослых, необходимо оплатить продолжение его использования», либо тем, что «на Вашем компьютере обнаружена нелицензионная копия Windows». Также возможен вариант «за просмотр и копирование и тиражирование видео с насилием над детьми и педофилии». Пути распространения Trojan.Winlock и подобных вирусов разнообразны, в значительной части случаев инфицирование происходит через уязвимости браузеров при просмотре заражённых сайтов, либо при использовании мошенниками специальных «связок», позволяющих заражать только необходимые компьютеры также через браузер.

Пример баннера, особенно пугает неопытных пользователей

К настоящему времени представители этого класса вредоносных программ серьёзно эволюционировали и стали одной из самых частых проблем. Появление трояна в системе обычно происходит быстро и незаметно для пользователя. Человек выполняет привычный набор действий, просматривает веб-страницы и не делает чего-то особенного. В какой-то момент просто появляется полноэкранный баннер, который не удаётся убрать обычным способом. Картинка может быть откровенно порнографической, или наоборот – оформлена максимально строго и грозно. Итог один: в сообщении, расположенном поверх других окон, требуется перечислить указанную сумму на некий кошелек WebMoney или отправить платное SMS-сообщение. Часто оно дополняется угрозами уголовного преследования или уничтожения всех данных, если пользователь не поторопится с оплатой.

1. Самые общие рекомендации

Итак, это были общие рекомендации, а теперь перейдем к более детальному рассмотрению проблемы. Методики лечения основаны на понимании тех изменений, которые троян вносит в систему. Остаётся выявить их и отменить любым удобным способом. Если вы являетесь представителем бизнеса или столкнулись с подобной проблемой на офисной машине, рекомендуем обратиться к профессионалам для обслуживания компьютеров в офисе. И от троянов вылечат, и принтерр/МФУ настроят и другие проблемы решат.

2. Надеемся на честность вирусмейкеров

Для некоторых троянов действительно существует код разблокировки. В редких случаях они даже честно удаляют себя полностью после ввода верного кода. Узнать его можно на соответствующих разделах сайтов антивирусных компаний – смотрите примеры ниже. Но, как ни крути, такой метод работает все реже и реже — в практике Вашего покорного слуги разблокировать Windows с помощью кода разблокировки получается примерно один раз десяти-двенадцати заражений.

Сервис разблокировки Windows компании «Доктор Веб»

Сервис разблокировки Windows компании «Лаборатория Касперского»

Зайти в специализированные разделы сайтов «Доктор Веб», «Лаборатории Касперского» и других разработчиков антивирусного ПО можно с другого компьютера или телефона.

После разблокировки не радуйтесь преждевременно и не выключайте компьютер. Скачайте любой бесплатный антивирус и выполните полную проверку системы. Для этого воспользуйтесь, например, утилитой Dr.Web CureIt!, Eset NOD или Kaspersky Virus Removal Tool.

3. Если б я имел коня.

Прежде чем использовать сложные методы и спецсофт, попробуйте обойтись имеющимися средствами. Вызовите диспетчер задач комбинацией клавиш CTRL+ALT+DEL или CTRL+SHIFT+ESC. Если получилось, то мы имеем дело с примитивным трояном, борьба с которым не доставит проблем. Найдите его в списке процессов и принудительно завершите.

Подозрительный процесс в диспетчере задач

Посторонний процесс выдаёт невнятное имя и отсутствие описания. Если сомневаетесь, просто поочерёдно выгружайте все подозрительные до исчезновения баннера.

Если диспетчер задач не вызывается, попробуйте использовать сторонний менеджер процессов через команду «Выполнить», запускаемую нажатием клавиш Win+R. Вот как выглядит подозрительный процесс в System Explorer. Конечно, стоит сказать, что для этого нужен предустановленный сторонний менеджер процессов.

Расширенный менеджер запущенных процессов System Explorer

Скачать программу можно с другого компьютера или даже с телефона. Она занимает всего пару мегабайт. По ссылке «проверить» происходит поиск информации о процессе в онлайновой базе данных, но обычно и так всё понятно. После закрытия баннера часто требуется перезапустить «Проводник» (процесс explorer.exe). В диспетчере задач нажмите:

Когда троян деактивирован на время сеанса, осталось найти его файлы и удалить их. Это можно сделать вручную или воспользоваться бесплатным антивирусом.

Типичное место локализации трояна – каталоги временных файлов пользователя, «Мои документы», системные каталоги (WINDOWS, system32 etc) и каталоги браузеров. Целесообразно всё же выполнять полную проверку, так как копии могут находиться где угодно, а беда не приходит одна. Посмотреть полный список объектов автозапуска поможет бесплатная утилита Autoruns. Также можно использовать очень популярный CCleaner.

AutoRuns покажет все объекты автозапуска (на скриншоте видна лишь малая часть)

4. Военная хитрость

Справиться с трояном на первом этапе поможет особенность в поведении некоторых стандартных программ. При виде баннера попробуйте запустить «вслепую» Блокнот или WordPad. Нажмите WIN+R, напишите notepad и нажмите ENTER. Под баннером откроется новый текстовый документ. Наберите любую абракадабру и затем коротко нажмите кнопку выключения питания на системном блоке. Все процессы, включая троянский, начнут завершаться, но выключения компьютера не произойдёт.

Блокнот — коня на скаку остановит и доступ админу вернёт!

Останется диалоговое окно «Сохранить изменения в файле?». С этого момента на время сеанса мы избавились от баннера и можем добить трояна до перезагрузки. Еще раз повторюсь — это относится к разряду довольно примитивных троянов, такой способ помогает в трети случаев.

5. Если б конь имел меня.

Более продвинутые версии троянов имеют средства противодействия попыткам избавиться от них. Они блокируют запуск диспетчера задач, подменяют другие системные компоненты. В этом случае перезагрузите компьютер и удерживайте клавишу F8 в момент загрузки Windows. Появится окно выбора способа загрузки. Нам требуется «Безопасный режим с поддержкой командной строки» (Safe Mode with Command Prompt). После появления консоли пишем explorer и нажимаем ENTER – запустится проводник. Далее пишем regedit, нажимаем ENTER и видим редактор реестра. Здесь можно найти созданные трояном записи и обнаружить место, откуда происходит его автозапуск.

Ключи реестра, часто модифицируемые троянами семейства Winlock

Чаще всего вы увидите полные пути к файлам трояна в ключах Shell и Userinit в ветке

В «Shell» троян записывается вместо explorer.exe, а в «Userinit» указывается после запятой. Подробнее — тут. Копируем полное имя троянского файла в буфер обмена из первой обнаруженной записи. В командной строке пишем del, делаем пробел и вызываем правой клавишей мыши контекстное меню.

Удаление трояна из консоли (полное имя файла взято из реестра и скопировано в буфер обмена)

В нём выбираем команду «вставить» и нажимаем ENTER. Один файл трояна удалён, делаем тоже самое для второго и последующих.

Удаление трояна из консоли — файл находился во временной папке.

Затем выполняем в реестре поиск по имени файла трояна, внимательно просматриваем все найденные записи и удаляем подозрительные. Очищаем все временные папки и корзину. Даже если всё прошло идеально, не поленитесь затем выполнить полную проверку любым антивирусом.

Если из-за трояна перестали работать сетевые подключения, попробуйте восстановить настройки Windows Sockets API утилитой AVZ.

Восстановление сетевых сервисов с помощью AVZ

6. Доктор, Вы меня вылечите.

Со случаями серьёзного заражения бесполезно бороться из-под инфицированной системы. Логичнее загрузиться с заведомо чистой и спокойно вылечить основную. Существуют десятки способов сделать это, но один из самых простых – воспользоваться бесплатной утилитой Kaspersky WindowsUnlocker, входящей в состав Kaspersky Rescue Disk. Как и DrWeb LiveCD, он основан на Gentoo Linux. Файл-образ можно записать на болванку или сделать из него загрузочную флэшку утилитой Kaspersky USB Rescue Disk Maker. Также можно использовать ERD Commander или Windows XPE, такой пример будет рассмотрен позже.

Создание загрузочной флэшки из образа Kaspersky Rescue Disk

Предусмотрительные пользователи делают это заблаговременно, а остальные обращаются к друзьям или идут в ближайшее интернет-кафе уже во время заражения.

При включении заражённого компьютера удерживайте клавишу для входа в BIOS. Обычно это DEL или F2, а соответствующее приглашение отображается внизу экрана. Вставьте Kaspersky Rescue Disk или загрузочную флэшку. В настройках загрузки (Boot options) выберите первым загрузочным устройством привод оптических дисков или флэшку (иногда она может отображаться в раскрываемом списке HDD). Сохраните изменения F10 и выйдите из BIOS.

Читать еще:  Навязчивый portal php. Разворачиваем Wi-Fi HotSpot с использованием технологии Captive Portal. Специальные расширения для браузеров

Современные версии BIOS позволяют выбирать загрузочное устройство на лету, без входа в основные настройки. Для этого требуется нажать F12, F11 либо сочетание клавиш – подробнее смотрите в сообщении на экране, в инструкции к материнской плате или ноутбуку. После перезагрузки начнётся запуск Kaspersky Rescue Disk.

Загрузка Kaspersky Rescue Disk

Kaspersky Rescue Disk в графическом режиме

Доступен русский язык, а лечение можно выполнить в автоматическом или ручном режиме – смотрите пошаговую инструкцию на сайте разработчика.

7. Русский вирус влезет и BIOS

Отдельный подкласс составляют трояны, поражающие главную загрузочную запись (MBR). Они появляются до загрузки Windows, и в секциях автозапуска вы их не найдёте.

Троян семейства Winlock, заразивший MBR

Первый этап борьбы с ними заключается в восстановлении исходного кода MBR. В случае XP для этого загружаемся с установочного диска Windows, нажатием клавиши вызываем консоль восстановления и пишем в ней команду fixmbr. Подтверждаем её клавишей и выполняем перезагрузку. Для Windows 7 аналогичная утилита называется BOOTREC.EXE, а команда fixmbr передаётся в виде параметра:

После этих манипуляций система вновь загружается. Можно приступать к поиску копий трояна и средств его доставки любым антивирусом.

8. Сестра, стакан кефиру и скальпель, будем вскрывать больного!

На маломощных компьютерах и особенно ноутбуках борьба с троянами может затянуться, так как загрузка с внешних устройств затруднена, а проверка выполняется очень долго. В таких случаях просто извлеките заражённый винчестер и подключите его для лечения к другому компьютеру. Для этого удобнее воспользоваться боксами с интерфейсом eSATA или USB 3.0/2.0.

Антивирусная проверка жёстких дисков на другом компьютере

Чтобы не разносить заразу, предварительно отключаем на «лечащем» компьютере автозапуск с HDD (да и с других типов носителей не мешало бы). Сделать это удобнее всего бесплатной утилитой AVZ, но саму проверку лучше выполнять чем-то другим. Зайдите в меню «Файл», выберите «Мастер поиска и устранения проблем». Отметьте «Системные проблемы», «Все» и нажмите «Пуск». После этого отметьте пункт «Разрешён автозапуск с HDD» и нажмите «Исправить отмеченные проблемы».

Отключение автозапуска с помощью AVZ

Также перед подключением заражённого винчестера стоит убедиться, что на компьютере запущен резидентный антивирусный мониторинг с адекватными настройками и есть свежие базы.

«Песочница» для вируса

Поведенческие анализаторы помогают предотвратить эпидемию распространения вирусов

Вирусы беда современной Сети. Они распространяются так быстро, что традиционные антивирусы уже не успевают защитить компьютеры пользователей. Дело в том, что действие большинства современных защитных средств основано на знании характерных фрагментов (сигнатур) конкретных вирусов. Однако чтобы подготовить сигнатуру, нужно получить экземпляр вируса, проанализировать его, выпустить средства для распознавания и лечения, а затем распространить обновление по тем же каналам Internet, по которым распространяется и сам вирус. Кроме того, появились полиморфные макровирусы, которые умеют переставлять операторы в своем коде, добавлять пробелы и выполнять другие операции, не позволяющие распознавать их с помощью сигнатур. Поэтому традиционные средства часто не успевают блокировать распространение эпидемии.

Чтобы противостоять ей, целесообразно уничтожать вирусы не на компьютерах пользователей, а при их распространении по Internet, в частности на серверах электронной почты. Поскольку серверы электронной почты постоянно подключены к Internet, для них можно обеспечить максимально быстрое распространение обновлений. Однако все же этот способ замедляет эпидемию, но не предотвращает ее, поскольку он опять же основан на поиске сигнатур. Некоторые специалисты видят решение проблемы в средствах контроля, делающих вывод о проникновении вируса не на основе внешней информации — по сигнатуре, а по поведению самой программы.

Одним из эффективных методов защиты является правильное администрирование информационной системы, значительно снижающее вероятность проникновения вирусов. Однако практика показывает, что использовать административные методы защиты может позволить себе только крупная компания. Управление же информационными системами, и в частности системами защиты в организациях небольшого и среднего размера, оказывается на низком уровне. Например, Windows NT обладает широкими возможностями по настройке защиты, ограничивающими распространение вирусов. Между тем, как правило, ОС устанавливается с настройками по умолчанию, что открывает создателям вирусов «оперативный простор».

Поведенческий анализатор

Поведенческий анализатор не выискивает в программе или скрипте признаков известных ему вирусов, а контролирует поведение программы и блокирует те ее действия, которые обычно используются вирусом для размножения и причинения вреда. Есть три типа поведенческих анализаторов, которые отслеживают: действия программы непосредственно перед выполнением, исходный код или последствия действия программы. Анализ действий может применяться практически везде, но для исполняемых кодов он слишком сложен и поэтому используется в основном для языков наподобие Basic for Applications и VBScript. Анализ исходного кода также в первую очередь рассчитан на языки скриптов. Анализатор последствий позволяет сохранить неизменность важных файлов, что помогает блокировать распространение вирусов. В основном же анализаторы такого типа используются для обеспечения целостности информации, в частности, Web-серверов.

Потенциально все три технологии имеют примерно равные перспективы, поэтому все они будут развиваться. Так или иначе, автономные антивирусы, не использующие сигнатур, будут играть все большую роль в защите, и очень скоро именно на них ляжет основная нагрузка по предотвращению эпидемий. Это не значит, что поведенческие анализаторы вытеснят традиционные антивирусы. Сигнатуры позволяют не только обнаружить вирус, но и качественно вылечить систему, поскольку антивирусная программа узнает вирус «в лицо». Поэтому анализаторы, скорее всего, будут использоваться для блокирования вирусов, а традиционные антивирусы — для лечения уже зараженных компьютеров.

Интерфейс OfficeGuard достаточно прост: в окошке перечислен список действий, которые потенциально опасны. Пользователь может указать, является ли данное действие разрешенным, требует подтверждения или является запрещенным

Некоторые компании предлагают защиту от скрипт-вирусов, базирующуюся на межсетевых экранах. В этом случае анализ поведения программы происходит не перед исполнением, а при прохождении через межсетевой экран. При этом платформа, на которой работает межсетевой экран, может отличаться от Windows, что предотвращает заражение самого экрана. Фактически подобные системы являются анализаторами исходных текстов. Однако они не способны блокировать полиморфные вирусы, которые меняют свое тело в момент выполнения; с ними могут совладать только анализаторы, контролирующие среду исполнения. Для этого они создают своего рода «песочницу», в которой работает программа, блокируя все попытки выйти за ее пределы. Есть продукты, которые анализируют поведение макровирусов, но по сути своей это не антивирусы, а более сложные механизмы разграничения доступа к информации. В общем случае технология поведенческих анализаторов может использоваться не только для блокирования вирусов, но и для защиты информации вообще; все зависит от набора правил, которыми они руководствуются.

Остановимся более подробно на поведенческих анализаторах, контролирующих среду исполнения. Для языков скриптов существует интерпретатор, которому внешние приложения передают команды. Поэтому если найти точку, в которой удается перехватить обращения к этому интерпретатору, то, поставив в эту точку анализатор, можно блокировать выполнение опасных операций. Анализатор, прежде чем передать команду на исполнение, проверяет по определенным правилам, насколько она опасна. У него есть возможность: пропустить команду, запросить у пользователя дополнительное разрешение или блокировать исполнение. Такая схема работает для всех интерпретируемых языков.

Вести из лабораторий

«Лаборатория Касперского», занимающаяся разработкой поведенческих анализаторов, предлагает сразу две «песочницы»: OfficeGuard для скриптов Microsoft Office, написанных на Basic for Applications; ScriptChecker, который проверяет приложения на VBScript. В первом случае отслеживается выполнение сценариев, вшитых в документы, приходящие из Сети. Basic for Applications — достаточно развитый язык программирования, и контролировать его работу достаточно сложно, тем не менее «Лаборатории» удалось реализовать для него «песочницу». Приложения, написанные на VBScript, могут быть присоединены к письму и запускаются при обращении к ним. ILOVEYOU и недавний «Анна Курникова» созданы с помощью этого языка. VBScript аналогичен JavaScript, с той лишь разницей, что для JavaScript его разработчики предусмотрели «штатную» песочницу, которая блокирует опасные действия. Сложность разработки подобных продуктов в том, что API-интерфейсы для обращения к обоим интерпретаторам не документированы, поэтому в Microsoft удивились, узнав, что «Лаборатории Касперского» удалось разработать такие «песочницы». (По идее, Microsoft должна либо сама производить подобные анализаторы, либо раскрывать API-интерфейсы для их создания третьими фирмами.)

Модуль ScriptChecker включается по умолчанию во все коммерческие версии антивируса AVP с октября. Он устанавливается в виде dll-библиотеки и запускается автоматически при каждом запуске VBScript. «Песочница» для Microsoft Office до последнего времени включалась в отдельный комплект «Касперский антивирус» вместе с защитой электронной почты и специальной версией монитора для Office 2000. В OfficeGuard есть простенький интерфейс, генератор отчетов, а также развитая система информирования о том, что делают различные скрипты. С нынешней весны он будет входить в персональную и профессиональную редакцию «Антивируса». Весной должен выйти продукт для рынка рабочих станций как индивидуального, так и корпоративного пользования.

В нынешнем варианте интерфейс пользователя достаточно прост: в окошке перечислен список действий, которые потенциально опасны и необходимы вирусу для размножения и нанесения ущерба. Пользователь имеет возможность указать, является ли данное действие разрешенным безусловно, требует подтверждения или является безусловно запрещенным. Сейчас в этом списке порядка 30 различных процедур. К тому же определены некоторые наборы правил — от запрета всех подозрительных действий до выполнения всех команд сценария. Кроме крайних случаев есть два промежуточных уровня, сделанных таким образом, чтобы типичный сценарий, используемый в повседневной работе, не прерывался.

Читать еще:  Как самому написать программу Часы в Window

Оба компонента могут блокировать все команды, которые приводят к изменению и уничтожению данных, чтению конфиденциальной информации, прямому обращению к WinAPI и воздействию на код других сценариев. Они осуществляют перехват и контроль действий программы перед ее построчным исполнением. Если действие входит в список потенциально опасных, то компонент просто не передает его дальше в интерпретатор, а в журнале антивируса появляется соответствующая запись. Причем разработчики стремились, чтобы анализатор выдавал корректные сообщения об ошибке, и поэтому правильно написанное приложение может продолжить работу даже после блокировки некоторых его команд. Компания также планирует анализировать скрипт-вирусы не в момент их исполнения, а прямо на межсетевом экране.

Кроме перечисленных языков сценариев есть и другие незащищенные интерпретаторы. Особенно разнообразны они в Unix — Perl, shell, tcl/tk, Python и т. д. Собственно, первый саморазмножающийся код появился именно для Unix, а с распространением Linux вероятность создания вирусов для этой ОС сильно возросла. В ближайшие несколько месяцев «Лаборатория Касперского» планирует выпустить новое и интересное решение для этой ОС.

Сейчас у компании есть продукт для защиты файловых серверов под Linux, FreeBSD и BSDI, и в частности электронной почты. Если такой сервер используется как файловый с целью хранения данных для Windows, то система проверяет все файлы на наличие соответствующих Windows-вирусов. Правда, недавняя эпидемия Linux-червя показала, что и эта ОС нуждается в собственной защите. Кроме того, у «Лаборатории» есть продукт для блокирования изменения содержания Web-сервера. Он периодически просматривает содержание Web-сервера, сообщает о происшедших на страницах изменениях и может даже восстановить содержание. Впрочем, пока его реализация существует только для Microsoft IIS. Планируется перенести его и на другие платформы. В частности, предполагается серьезно работать с Linux, поскольку эта операционная система весьма популярна, что, помимо прочего, увеличивает вероятность появления вирусов и для нее.

Поделитесь материалом с коллегами и друзьями

Китайских антивирусов расплодилась уйма, однако разработчик Huorong Security был аккредитован Microsoft как доверенный поставщик антивирусного софта для Windows и хотя бы этим заслужил внимание.

С официального сайта была загружена версия 5.0.37.6 от 16 ноября 2019 года размером 18,5 Мбайт. В ней заявлена полная поддержка 32- и 64-битных версий Windows от XP до 10. К сожалению, поддержки русского языка пока нет.

Huorong Internet Security — главное окно и выбор языка

После установки Huorong Internet Security обновился до версии 5.0.39.2. Антивирус занял около 40 Мбайт на диске и слабо нагружал систему даже при активации всех дополнительных компонентов защиты.

Они включают в себя проактивный модуль, анализатор веб-трафика, систему обнаружения вторжений на хосте (HIPS) и файрвол. Два последних снижают риск добавления компьютера в ботнет и распространения заразы по локальной сети, блокируя аномальный трафик в любом направлении.

Huorong — настройки антивируса и дополнительных компонентов

Еще один актуальный компонент — защита от распространенных способов несанкционированного удаленного доступа (например, он детектит и блокирует брут пароля админского аккаунта).

Также доступен контроль доступа приложений с возможностью задать свои правила для всех программ и вспомогательные инструменты безопасности. Среди них интересен модуль защиты от уязвимостей. Он препятствует применению известных эксплоитов, что особенно актуально для противодействия APT и таргетированным атакам.

Huorong — набор встроенных утилит для анализа и очистки системы

Huorong Internet Security использует собственный антивирусный движок под названием Cobra. Информации о нем найти не удалось. Известно лишь то, что он запускает проверяемый код в изолированной среде HVM (виртуальной машине Huorong). Тем интереснее будет его испытать!

Тесты

Антивирус Huorong не смог проверить ни один тестовый каталог в сетевой папке. Он просто зависал, бесконечно крутя анимацию сияющего щита. Никакого индикатора прогресса, никакой статистики — вообще ничего информативного при этом не выводилось.

Тогда мы создали в корне диска C: подкаталог V и скопировали бэкдоры туда. Huorong позволил это сделать, но тут же опомнился и стал показывать во всплывающем окне, сколько разной заразы он обнаружил.

Всплывающее окно Huorong во время проверки

Нашел он немного: 52 штуки, а 48 из 100 бэкдоров остались на системном разделе.

Huorong оставил почти половину зловредов

Еще хуже антивирь «справился» с троянами, определив только 39 образцов, а 61 из 100 избежали детекта. Далее скриншоты не привожу, они все однотипные.

С подборкой сетевых червей все тоже оказалось плачевно: он поместил в карантин 48 штук, а 52 из 100 остались нетронутыми.

Из компонентов навязчивой рекламы Huorong распознал меньше половины: 49 отправились в карантин, а 51 из 100 остались на диске.

Статистика детекта в основном раунде:

  • Backdoors — 52%;
  • NetWorms — 48%;
  • Trojans — 39%;
  • Adware — 49%.

Проще говоря, Huorong определяет все типы угроз через одну. Более того, он делает это в несколько этапов. На каждой выборке из ста файлов антивирус трижды показывал всплывающее окно и заново подсчитывал число малварей, обнаруженных в той же папке. Проверить сразу всю он не может и, пока обнюхивает одних зловредов, никак не блокирует доступ к другим.

В дополнительном раунде антивирус также не смог реабилитироваться. Из 37 руткитов он проигнорировал 22, а среди 87 малоизвестных угроз пропустил почти все, оставив 79 штук. Huorong не распознал ни одной угрозы среди написанных для процессорных архитектур, отличных от x86/x86-64. Эвристика и продвинутая защита у Huorong тоже оказались ни к черту.

Сначала мы решили, что и зловредов для Linux он не увидит, но китайский антивирь немного подумал и удалил из подборки линуксовых малварей одну (99 остались). Лучше бы он вообще этого не делал — сошел бы за средний виндовый авер без претензий на защиту других платформ.

Статистика детекта в дополнительном раунде:

  • RootKITs — 40%;
  • Heuristic — 9%;
  • Linux malware — 1%;
  • non-x86 threats — 0%.

В общем, антивирус с основной задачей справился плохо. Отметим еще и следующие условные недостатки:

  • нет возможности проверить трафик HTTPS (но нет и риска выполнения атаки типа «Касперский посередине» благодаря установке своего сертификата);
  • нет средств облачной проверки, поэтому Huorong дольше реагирует на свежие угрозы. С другой стороны, ваши файлы останутся вашими, а не отправятся в облако «на анализ», когда вздумается антивирусу.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Признаки того, что на вашем компьютере есть вирус

Есть несколько признаков того, что на вашем компьютере завелся вирус.

Во-первых, вас должно насторожить, если ваш компьютер стал тормозить. Если задачи выполняются дольше, чем обычно, то возможно, ваш компьютер заражен.

Во-вторых, будьте внимательны при появлении на компьютере подозрительных приложений или программ, о которых вы ничего не знаете. Если вы заметили, чтобы на компьютере появилось приложение или программа, которую вы не скачивали, будьте осторожны.

Желательно удалить все программы на компьютере, которые вам неизвестны, а затем запустить сканирование в антивирусе или защитном устройстве класса Internet Security, чтобы проверить компьютер на наличие угроз. Если при закрытии браузера возникают всплывающие окна – это верный признак того, что компьютер заражен вирусом. Если вы заметите такое, сразу же примите меры, чтобы удалить вирус. Для этого следуйте инструкциям, данным выше.

Еще один признак возможного заражения компьютера вирусом – это странности в работе приложений или программ. Если программы стали завершаться аварийно по непонятной причине, то, возможно, на вашем компьютере завелся вирус.

И наконец, зараженный компьютер может начать перегреваться. Если вы заметите такое, проверьте компьютер на вирусы, запустив антивирус или защитное решение класса Internet Security.

Утилиты для проверки на вирусы

Вместо «Защитника Windows» или в связке с ним можно использовать утилиты для проверки системы от известных разработчиков антивирусов.

  • Dr.Web CureIt!
  • Kaspersky Virus Removal Tool
  • McAfee Stinger
  • ESET Online Scanner и т.д.

Все перечисленные варианты работают по одному принципу. Пользователь запускает программу (часто не требуется даже установка), выбирает диск или папку, которую следует проверить, изучает результаты сканирования и принимает решение о том, что делать с обнаруженными угрозами — удалять, лечить, игнорировать.

Так работает антивирусная утилита Dr.Web CureIt!

Главное правило при использовании таких портативных утилит для проверки системы на вирусы — загружать их следует только с официального сайта разработчика. Кроме того, версия должна быть актуальной. Базы вирусов в этих программах не обновляются сами по себе. Разработчик добавляет новые сигнатуры и выпускает следующую версию утилиты. Поэтому в использовании старых сборок смысла нет — они пропускают новые угрозы.

Поиск вирусов с помощью AVZ

Ещё одна полезная утилита для удаления вирусов — AVZ. Она доступна для бесплатного скачивания и не требует установки. Чтобы с её помощью избавиться от вирусов:

  1. Скачиваем утилиту с официального сайта, распаковываем архив и запускаем исполняемый файл.
  2. Выбираем папку или диск, который нужно проверить. Если точное местоположение вируса неизвестно, оставляем отмеченными все разделы накопителя.
  3. В разделе «Методика лечения» выбираем режим «Спросить у пользователя». В противном случае программа сразу удалит обнаруженные угрозы.
  4. Нажимаем «Пуск» для старта сканирования.
  5. После завершения проверки кликаем по значку в виде очков возле поля «Протокол».
  6. Появится окно со списком угроз. Выделяем все строки и нажимаем на кнопку «Удалить отмеченные файлы», чтобы избавиться от вирусов.
Читать еще:  Способ подключения инвертора к солнечным панелям. Сборка и подключение солнечной батареи. Как избежать распространенных ошибок

Программа AVZ находит все изменённые файлы

При использовании AVZ в неофициальных сборках Windows нужно быть очень внимательным. Утилита помечает как вирусы любые модифицированные файлы, даже если они не несут угрозу. Поэтому перед удалением каждый пункт желательно проверить — хотя бы просто поискать информацию по описанию угрозы.

Троян — вредоносное программное обеспечение, которое скрывает истинную цель своей деятельности с помощью маскировки. Однако, в отличие от вируса, он не способен самостоятельно копировать или заражать файлы. Чтобы проникнуть на устройство жертвы, угроза использует другие средства, такие как загрузка с диска, использование уязвимостей, загрузка другим вредоносным кодом или методы социальной инженерии.

Что такое троян?

Подобно троянскому коню, известному из древнегреческих мифов, троян использует маскировку или неправильное перенаправление, чтобы скрыть свою истинную функцию. Чтобы ввести пользователя в заблуждение и заставить его открыть вредоносный файл, угроза часто использует различные методы. Для этих целей троян также может использовать другие программы.

Сегодня трояны являются наиболее распространенной категорией угроз, которая используется для открытия бэкдоров, контроля зараженного устройства, удаления данных пользователя и передачи их злоумышленникам, загрузки и запуска других вредоносных программ в определенной системе и других целей.

Краткая история

Название «троян» происходит от классического античного мифа об успешном завоевании греками города Троя. Чтобы пройти через защитные сооружения и попасть в город, завоеватели построили большого деревянного коня, внутри которого спрятали группу своих лучших воинов. Грекам удалось обмануть троянцев, которые обрадовались такому неожиданному подарку и втянули коня в город, начав праздновать. Воины, которые были внутри троянского коня, дождались глубокой ночи и захватили город.

Впервые термин «троян» был использован в ссылке на вредоносный код в отчете ВВС США 1974 року, который сосредоточен на анализе уязвимостей компьютерных систем. Тем не менее, термин стал популярным в 1980-х, особенно после лекции Кена Томпсон на награждении ACM Turing Awards 1983 года.

Известные примеры

Одним из первых известных троянов, была программа-вымогатель, обнаруженная в реальной среде — AIDS Trojan 1989 года. Этот вредоносный код распространился через тысячи дискет, содержащих интерактивную базу данных о СПИДе. Установленная программа ждала 90 циклов загрузки, после чего шифровала большинство имен файлов в корневом каталоге машины. Программа требовала от потерпевших отправить $189 или $378 на почтовый ящик в Панаме, чтобы вернуть свои данные.

Узнать больше

Еще один пример троянской программы — известная шпионская программа FinFisher (FinSpy). Угроза обладает расширенными возможностями для шпионажа и незаконным использованием веб-камер, микрофонов, отслеживания нажатий клавиатуры, а также способностью удалять файлы. Разработчики этой шпионской программы продавали ее как инструмент для правоохранительных органов, но, считается, что программу использовали и репрессивные режимы. Чтобы скрыть свою истинную цель, FinFisher использует различные способы маскировки. В одной из своих кампаний, выявленных компанией ESET, она устанавливалась как инсталлятор для популярных и законных программ, таких как браузеры и медиа-плееры. Программа также распространялся через электронную почту с поддельными вложениями или поддельными обновлениями программного обеспечения.

Однако трояны не являются угрозой исключительно для компьютеров или ноутбуков. Под прицелом также большая часть современного мобильного вредоносного программного обеспечения, направленного на устройства Android. Примером может быть DoubleLocker — инновационное семейство вредоносных программ, замаскированное под обновление Adobe Flash Player. Угроза проникала на мобильное устройство с помощью служб специальных возможностей, шифровала данные и блокировала экран устройства с помощью случайного PIN-кода. Впоследствии злоумышленники требовали выкуп в Bitcoin для разблокировки устройства и данных.

Немного истории

О троянцах впервые серьезно заговорили после появления программы Back Orifice, созданной хакерской группой Cult of the Dead Cow в 1998 году. Возможность полностью управлять любым компьютером, подключенным к Сети, предварительно запустив на нем нужную программу, очень сильно взволновала людей. Разработчики программы уверяли, что это всего лишь обычное средство удаленного администрирования, но многочисленные взломы, совершенные с помощью Orifice’а, убеждали в обратном. Только хотелось бы отметить, что по сравнению со своими многочисленными клонами, выходящими с тех пор с завидным постоянством, Back Orifice выглядит чуть ли не безобидным тетрисом. Дело в том, что для использования этого трояна злоумышленник должен был обладать неплохими познаниями в работе сетей и компьютеров вообще, что сильно ограничивало круг его пользователей. Кроме того, первая версия проги вообще не имела графического интерфейса, что здорово распугивало начинающих хакеров. Однако время шло, появлялись все новые и новые программы, возможности их совершенствовались, алгоритмы работы улучшались. Теперь украсть необходимые пароли или получить доступ к компьютеру излишне доверчивого человека сможет даже малолетний ребенок.

Один из первых троянов — оцените возможности управления компьютером жертвы.

Что такое троян? Троянцев можно условно отнести к категории вирусов, от которых они, впрочем, имеют немало отличий. В отличие от большинства вирусов, троян сам по себе не способен на деструктивные действия, он не будет неконтролируемо размножаться на вашем винчестере и делать прочие гадости, — но только до тех пор, пока за дело не возьмется его “хозяин”. Большинство троянов состоит из двух частей: клиентской и серверной. Клиентская часть используется только для конфигурирования трояна и для доступа к компьютеру жертвы, а серверная — это та, которая распространяется потенциальным жертвам. Запустив у себя на компьютере серверную часть трояна, вы активируете его, и с этого момента он начинает свою деятельность. Поэтому в дальнейшем под словом “троян” будет подразумеваться именно серверная его часть. Вообще, трояны можно разделить на три основные категории, в соответствии с их основными функциями:

BackDoor (задняя дверь, черный ход) — эти трояны предоставляют своему хозяину полный доступ к компьютеру жертвы. Они работают по следующему принципу: вы запускаете файл, содержащий троян, он прописывается в автозагрузке и каждые 10-15 минут проверяет наличие соединения с Интернетом. Если соединение установлено, троян отсылает своему хозяину сигнал готовности и начинает работать по принципу приложения удаленного доступа. С этого момента злоумышленник может совершить любые действия с вашим компьютером, вплоть до форматирования диска.

MailSender (отравитель почты) — будучи однажды запущен, такой троян прописывается в системе и тихонько собирает сведения обо всех паролях, используемых вами. Наиболее продвинутые MailSender’ы способны даже перехватывать любые окна ввода пароля и сохранять все введенное там. Через определенные промежутки времени вся собранная информация отправляется по электронной почте злоумышленнику. Такой вид троянов является, по моему мнению, наиболее опасным, так как вы даже можете и не узнать о том, что кто-то пользуется вашим логином для входа в Интернет или отправляет от вашего имени сообщения по почте и Аське. К тому же, более-менее продвинутые хакеры все свои противозаконные действия совершают только под чужим именем, так что в наиболее тяжелом случае у вас могут начаться серьезные неприятности.

LogWriter (составитель протокола) — такие трояны ведут запись в файл всего, что вводится с клавиатуры. Позже вся эта информация может быть отправлена почтой либо просмотрена по ftp-протоколу.

Кроме того, наиболее опасные трояны сочетают в себе функции сразу нескольких видов, что позволяет хакеру получить действительно полный контроль над удаленной машиной.

Bitcoin mining паразит был обнаружен в распространении в России

В конце июля 2017 года сообщалось, что вредоносное ПО для майнинга криптовалюты заразило 25% пользователей компьютеров в России. Однако некоторые источники сообщают, что эта кибер-инфекция, возможно, проникла на 30% российских компьютеров.

Согласно официальным данным, большинство уязвимых устройств работают на ОС Windows. В то время как, компьютеры Mac и iPhone сильно не пострадали от вируса.

Информация о Bitcoin mining вирусе была опубликована в интернете. Однако специалисты по безопасности и поставщики антивирусных программ заявляют, что масштабы атаки преувеличены. Эксперты согласны с тем, что в прошлом было несколько проблем с этим вредоносным ПО, но не так много, как сейчас.

Представитель Kaspersky, являющийся одним из основных российских антивирусных поставщиков, утверждает, что если бы такая огромная атака была проведена, они бы это заметили. Однако с начала года только 6% их клиентов пострадали от BitcoinMiner.

Чем вредоносная программа угрожает вашему компьютеру?

Какие действия, способствующие раскрытию вашей личной или финансовой информации, вы совершаете в Интернете? Интернет-активность пользователей в современном мире крайне велика?

Вирус не всегда приводит к непосредственным неисправностям в работе компьютера. Вредоносное ПО может предоставить киберпреступникам
доступ к вашей личной информации. В современном мире мы многое делаем через Интернет. Защита от вредоносных программ означает защиту от кражи учетных данных, личной информации и риска потери личной информации в результате таких действий.

Ввод учетных данных для входа
Некоторые типы вредоносных программ могут предоставить киберпреступникам доступ к вашим именам пользователей и паролям учетных записей, например, банка, интернет-шопинга, счета кредитной карты или электронной почты.

Ввод финансовой информации
Некоторые вредоносные программы могут позволить киберпреступникам узнать номера ваших кредитных карт или информацию о
расчетном счете, когда вы указываете ее в Интернете.

Доступ к электронной почте для сброса паролей
Если киберпреступник может получить доступ к вашей учетной записи электронной почты, он может сбросить настройки учетных записей, которые вы подключили к этому адресу электронной почты.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector