Приключения неуловимой малвари, часть I

Это как антивирус, только лучше

Обычные антивирусные программы оказываются бессильными перед лицом современных угроз, поскольку слишком медленно реагируют на атаки. Кроме того, они, мягко говоря, не отличаются сообразительностью. Мы же используем передовые технологии, реализуемые на нескольких уровнях защиты, среди которых обнаружение аномалий (своего рода искусственный интеллект), сопоставление профилей поведения и усиление защиты приложений, что позволяет нам уничтожать даже то вредоносное ПО, о котором никто и никогда не слышал. Вот так. Словом, наше решение не совсем похоже на обычный антивирус.

ОписаниеОтзывыshare

Оценка:
Лицензия: Бесплатная
Версия: 4.3.0.210 | Сообщить о новой версии
Обновлено: 19.02.2021
ОС: Windows 10, 8.1, 8, 7
Интерфейс: Английский, Русский
Разработчик: Malwarebytes.org
Категория: Антишпионы
Загрузок (сегодня/всего): 28 / 430 340 | Статистика
Размер: 195,59 Мб
СКАЧАТЬ

Malwarebytes Anti-Malware – отличная антивирусная программа, которая нейтрализует угрозы, недоступные для стандартных антивирусов. Использует технологию быстрого сканирования системы для выявления и уничтожения различного рода вредоносных программ.

В первую очередь программа ориентирована на борьбу со шпионскими модулями. Обнаруживает и удаляет сетевых червей, троянские программы, руткиты, мошеннические приложения, шпионские и многие другие вредоносные объекты с вашего домашнего компьютера. Вам нужно только запустить Malwarebytes Anti-Malware и начать проверку.

Приложение контролирует каждый процесс и в случае обнаружения подозрительных действий останавливает вредоносные процессы прежде, чем они причинят какой-либо ущерб.

Realtime-модуль, включенный в программу, использует передовые технологии эвристического сканирования и позволяет сохранять систему в чистоте и безопасности.

Возможности программы:

  • Защита от вредоносных/шпионских программ. Обнаруживает и удаляет вредоносные объекты, которые не может найти антивирус.
  • Возможность выполнить сканирование всех дисков для полной проверки системы.
  • Malwarebytes Anti-Rootkit. Удаляет руткиты и восстанавливает поврежденные ими файлы.
  • Расширенная процедура удаления вредоносного ПО. Применяет передовую технологию, позволяющую полностью удалить программный код вредоносного ПО.
  • Ежедневное обновление базы сигнатур для защиты от новейших вредоносных программ.
  • Интеллектуальное эвристическое обнаружение даже самых стойких угроз без существенного влияния на системные ресурсы.
  • Добавление обнаруженных угроз в Карантин и возможность восстановить их в удобное время.
  • Черный список исключений для модулей сканирования и защиты.
  • Интеграция в контекстное меню для проверки файлов по требованию.

ТОП-сегодня раздела “Антишпионы”

malwarebytes_anti_malware_72.pngMalwarebytes Anti-Malware 4.3.0.210

Malwarebytes Anti-Malware – отличная антивирусная программа, которая нейтрализует угрозы,…

avz_72.pngAVZ 4.46

AVZ – Программа предназначена для чистки компьютера от SpyWare и AdWare программ, различных Backdoor и троянских компонент и прочего вредоносного кода……

HitmanPro 3.8.20.314

HitmanPro — эффективная и шустрая утилита для борьбы с вирусами, троянами, руткитами, червями,…

Avast Free Antivirus 2021 (21.2.2455)

Avast Free Antivirus – бесплатное антивирусное решение для самой эффективной защиты от всех типов вирусов, шпионского ПО, руткитов и других вредоносных программ…

AnVir Task Manager 9.3

AnVir Task Manager – это бесплатная системная утилита, которая позволяет контролировать все, что…

ESET NOD32 Антивирус 14.0.22.0

ESET NOD32 Антивирус обеспечивает надежную защиту от угроз, которым подвергается ваш ПК….

Отзывы о программе Malwarebytes Anti-Malware

Валерон про Malwarebytes Anti-Malware 4.1.2.179 [28-09-2020]

идите все лесом фраера.. лучше проги нет. всякую муть отсекает. неча на порно сайты лазить – идите баб крутите. | | Ответить

Uriy про Malwarebytes Anti-Malware 4.1.2.73 [25-07-2020]

Антивирус очень плохой, не возможно зайтина любой сайт , везде трояны, даже прикладные программы метит троянами, не возможно нормально работать. Убрал этот сишко амный антивирус и загрузил антивирус Avira/ | | Ответить

antuan в ответ Uriy про Malwarebytes Anti-Malware 4.2.2.190 [06-11-2020]

чудило ты 🙂 | | Ответить

Bujhm про Malwarebytes Anti-Malware 3.8.3.2965 / 2.2.1.1043 [19-11-2019]

Специально зарегистрировался чтоб выразить Malwarebytes Anti-Malware…свое презрение….. программа – говно… лишь – бы выжать деньги…вначале заплати 1290,00 руб…. тут-же заплати 1900.00 (не помню точно) пока не проходили платежи (в течении 3-4 дня)… потом стоимость возросла до 2827.33руб…. идите Вы к себе в жопу… перехожу на Аваст… | | Ответить

SaI_Delta про Malwarebytes Anti-Malware 3.7.1.2839 / 2.2.1.1043 [29-05-2019]

Из за этого чудесногоантивирусника я нашел 4 трояна (ОМГ) тоесть они давно валялись ждав своге дня но Мальвар послал их кудаа? Правильно нахооо | | Ответить

Юрий про Malwarebytes Anti-Malware 3.7.1.2839 / 2.2.1.1043 [12-05-2019]

Где мои отзывы, которые я вчера поместил??? | | Ответить

Admin в ответ Юрий про Malwarebytes Anti-Malware 3.7.1.2839 / 2.2.1.1043 [27-11-2019]

Если в отзывах не было оскорблений, не содержали сслыки на варез и они были по делу, а не “херня”, “не работает”, “отстой”… то ваши отзывы опубликованы будут в любом случае. | | Ответить

Читать все отзывы (502) / Добавить отзыв

Malware – это вредоносное программное обеспечение, которое специально создается для того, чтобы нанести урон системе.

Термином Malware вредоносные программы объединяются в группу программ, которые гораздо более опасны, чем единичные вирусы. Классифицируется Malware в зависимости от того, как он запускается, как работает и как распространяется.

Чем отличается Malware от обычного вируса

Стратегия действия Malware отличается от вируса тем, что Malware вызывает нестандартное поведение системы и долго может оставаться незамеченным. Такая прога может быть создана для намеренного причинения вреда системе, а также для создания среды, подходящей для размножения других компьютерных вирусов или троянов, ворующих информацию с компьютера.

Как происходит заражение Malware

Malware должен запуститься. Для того, чтобы запуск состоялся, Malware маскируется, присоединяясь к интересному контенту, например, картинкам, видеороликам, анимированным GIF-картинками и очень часто прячется в видео и картинках для взрослых.

Профилактика заражения Malware

Без помощи владельца в компьютер Malware попасть не в состоянии. Для того, чтобы просочиться в систему, Malware приходится использовать любые средства одурачивания своих жертв, чтобы они запустили его на своем ПК.

Основная рекомендация, которая гарантирует более-менее безопасную работу, включает правило обязательного антивирусного сканирования каждого нового файла или вложения в электронное письмо перед его открытием или запуском.

Может и ваш компьютер «болен» Malware

Malware представляет собой постоянную опасность для корпоративных сетей. На текущий момент Malware разносится с неумолимой скоростью и самыми разнообразными способами. Вполне возможно, что и ваш ПК поражен им. Что можно с этим поделать?

Если случилось так, что ваш компьютер получил это зловредное ПО, то не стоит устанавливать новую версию Windows. Лучше сначала попытаться избавиться от Malware самостоятельно, либо, если вы не уверены в своих силах, вам понадобится антивирусное программное обеспечение.

Существуют настолько хорошо защищенные Malware, что их практически нельзя удалить, если они запущены. Стоит отметить, что многие из anti-Malware сервисов могут удалить лишь половину «инфекций», поэтому нужно использовать сразу несколько продуктов, чтобы быть уверенными в максимально полной очистке системы.

Следы Malware в работе вашей системы

  1. Невозможность изменять настройки браузера. Для того, чтобы у вас не было возможности поменять параметры браузера, которые заданы Malware программой, некоторые из них совсем удаляют или нарушают возможность изменения в меню инструментов и на панели управления параметров браузера. Если вы делаете попытку изменить домашнюю страницу вашего браузера, и у вас это не получается, то скорее всего — это «проделки» Malware.
  2. Не запускается антивирусная программа. Эта же причина мешает вам открыть и запустить антивирус или другой сервис, который обеспечивает безопасность системы компьютера.
  3. Всплывающие окна при отсутствии интернет-подключения. Еще одним из главных признаков того, что у вас на компьютере есть зловредное программное обеспечение, является всплывающие окна и объявления, даже если ПК работает автономно.

Как самому проверить компьютер на зараженность Malware

  1. Поиск резидентных программ

Резидентные программы — это такие процессы, которые работают и остаются в памяти после их исполнения. Такая форма дает возможность программе Malware иметь постоянный доступ к данным и, не спуская глаз, следить за всеми происходящими в системе событиями.

Помогут обнаружить резидентного Malware в памяти обычные системные утилиты, такие, как менеджер задач – Task Manager, вызываемый комбинацией клавиш Ctrl+Alt+Del. После ее вызова появится диалоговое окно, где в виде списка отобразятся все работающие на текущий момент задачи. Нужно проверить этот перечень на предмет наличия в нем резидентного процесса с присоединенным Malware.

Риск самостоятельного выполнения такой манипуляции по незнанию довольно высокий. Закрытие важной резидентной программы, которая критично влияет на системную работу, может вызвать даже «синий экран смерти» или запустить перезагрузку. Ответить однозначно на вопрос о том, действительно ли конкретная резидентная программа не относится к работе системы, даже не всем профессионалам и гикам под силу. Можно поковыряться в руководстве по ОС, или поискать незнакомую программу из списка менеджера задач в интернете. Если по результатам поисковых мероприятий вы не нашли ничего существенного, или каких-либо указаний на то, что перед вами зловредный Malware, лучше не трогайте этот процесс.

  1. Поддельные имена процессов

Malware очень часто берет себе имена процессов, которые чрезвычайно похожи на имена стандартных процессов. В данном случае глядя на него, вы можете подумать, что это нормальный процесс, однако это будет не так. К примеру, вместо процесса WSOCK23.dll, который отвечает за обработку функций сокетов, можно увидеть поддельный процесс WSOCK33.dll. Другие варианты предусматривают похожие формы подмены, похожие на те, которые используются при фишинге сайтов, когда визуально символы похожи друг на друга и их подмена на первый взгляд не видна. Например, KERNE132.dll – на самом деле будет подделкой, тогда как в правильном процессе вместо 1 (единицы) должна стоять буква L – KERNEL32.dll. Правильное местонахождение этого файла – в папке WindowsSystem32, но некоторые Malware кладут его в другое место – в папку WindowsSystem.

  1. Закрытая программа висит в памяти

Можно удостовериться, не зависла ли в памяти уже закрытая программа, в том месте, где ее уже давно быть не должно.

Еще может быть вариант, когда программа в памяти держит несколько копий себя, хотя никакого сервиса на текущий момент с таким названием пользователь не запускал.

Закройте все приложения, и если после этого, проверяя объем занятой памяти, вы видите, что какой-то сервис занял почти все ресурсы, его стоит проверить, и особенно это подозрительно, если активность памяти такого ресурса никак нельзя просчитать.

Как Malware получает котроль над системой

Для работы Malware требуется, чтобы пользователь его запустил, и это – только первый шаг. Достаточно часто Malware использует другие методы, чтобы предоставить себе наиболее вероятную гарантию хотя бы на единоразовый запуск в каждой из сессий работы системы. Для Malware исключительно важно производить запуск себя и резидентно присутствовать в памяти. И удобнее всего Malware прописываться при загрузке компьютера, а также при инициализации и переконфигурации системы.

Основные места обитания Malware – файлы command.com, autoexec.bat и config.sys, файлы конфигурации в системах DOS и Windows при загрузке по стандартной схеме. Кроме того, часто Malware прячется в файлах главных шаблонов офисных приложений Word и Excel – Normal.dot и XLStart.

Опасность: Malware подменяет ключи реестра

Новейшие Malware отыскали для себя изощренные методы и пути установки себя в систему, обеспечивая себе запуск с высокой вероятностью. Один из способов – добавление или изменение ключей реестра. Реестр – это самое удобное для Malware место, где хранятся конфигурационные системные настройки. Он включает в себя перечень ссылок на сервисы, которые должны быть запущены при старте работы системы.

Как проверить реестр на наличие Malware вручную

Вызовите просмотр реестра через «Пуск»- и введите вручную в открывшемся поле для поиска «regedit».

Предупреждение: находясь в списке ключей реестра, следует себя вести очень осторожно. Какое-либо удаление или некорректное изменение ключа реестра, как и в случае, когда вы проверяете процессы памяти, может закончиться проблемами в работе системы.

Вы увидите открывшийся список папок ключей реестра. Перед любыми манипуляциями с реестром стоит сделать резервную копию ключа реестра. Для этого кликните мышкой по файлу ключа или папке реестра, и в появившемся контекстном меню выберите «Экспортировать».

Выбирайте далее место, куда вы этот файл сохраните. Проверьте расширение файла — .reg, после чего жмите «Сохранить».

Теперь, когда вы создали резервную копию, можно что-то делать с файлами реестра. Найдите ветвь, которая хранит ключи для автозапуска:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion.

Начните смотреть с Wonlogon, там часто встраиваются вирусы в автозагрузку.

Можно проверить каждую из имеющихся здесь программы, которые, как правило, являются исполняемыми файлами и имеют расширение .EXE и должны иметь соответствующие таким файлам свойства (Files Properties).

Чтобы проверить файл, правой кнопкой мыши кликните на него, выберите «Свойства» (Properties) и внимательно посмотрите в текст содержимого в закладке «Version». Здесь графы «Company» и «Product Version» часто предоставляют массу информации. Если срока реестра не содержит полного пути к файлам, она соответствует тем файлам, которые находятся в директории Windows, WindowsSystem32 и WindowsSystem.

Проверьте также скрытые файлы и папки

Иногда Malware прячутся в скрытых папках. В таком случае нужно включить отображение скрытых файлов и папок через «Пуск»-«Панель Управления»-«Параметры папок» и там во вкладке «Вид» графе «Дополнительные параметры» поставить точку «Скрытые файлы и папки»-«Показывать скрытые файлы, папки и диски».

В папках могут содержаться странные строки, например, названия компаний с ошибками, ошибки грамматики и др. Все это дает повод для детального исследования такого приложения. О каждом из них можно найти информацию в сети, и если вы обнаружите след злонамеренной программы, смело удаляйте такие ссылки.

Еще Malware может получить системный контроль вследствие подмены ассоциаций для запуска каких-либо файлов определенными программами в ключе реестра HKEY_CLASSES_ROOT.

Способы борьбы с Malware

Методы борьбы с Malware совершенствуются каждый день, но разработчики этого вредного ПО тоже не дремлют. Они придумывают все более хитрые способы, которые помогают им обойти все системы безопасности и скрыться от анти-Malware программ. ТОП 4 лучшего антивирусного ПО 2016 года смотрите здесь

Быть полноценным и защищенным жителем киберпространства нужно учиться, и для этого лучше знать о своих врагах – вирусном ПО все. Теперь и вы знаете о том, что такое Malware, с чем его едят и как с ним бороться. Берегите свой компьютер и расскажите нам о своем опыте удаления Malware в комментариях к данной статье.

Автор оригинала: Andy Green

  • Перевод

Этой статьей мы начинаем серию публикаций о неуловимых малвари. Программы для взлома, не оставляющие следов атаки, известные также как fileless («бестелесные», невидимые, безфайловые), как правило, используют PowerShell на системах Windows, чтобы скрытно выполнять команды для поиска и извлечения ценного контента. Обнаружить хакерскую деятельность без вредоносных файлов — сложно выполнимая задача, т.к. антивирусы и многие другие системы обнаружения работают на основе сигнатурного анализа. Но хорошая новость состоит в том, что такое ПО все же существует. Например, UBA-системы, способные обнаружить вредоносную активность в файловых системах. Когда я впервые начал изучать тему крутых хакеров, не использующих традиционные способы заражения, а лишь доступные на компьютере жертвы инструменты и программное обеспечение, я и не подозревал, что вскоре это станет популярным способом атаки. Профессионалы в области безопасности говорят, что это становится трендом, а пугающие заголовки статей – тому подтверждение. Поэтому я решил сделать серию публикаций на эту тему.

Великий и ужасный PowerShell

Я писал о некоторых из этих идей раньше в серии обфускации PowerShell, но больше исходя из теоретического представления. Позже я наткнулся на сайт для гибридного анализа, где можно найти образцы малвари, «отловленной» в дикой природе. Я решил попробовать использовать этот сайт для поиска образцов fileless-вредоносов. И мне это удалось. Кстати, если вы захотите отправиться в свою собственную экспедицию по поиску вредоносных программ, вам придется пройти проверку на этом сайте, чтобы они знали, что вы делаете работу как white hat специалист. Как блогер, который пишет о безопасности, я прошел ее без вопросов. Я уверен, вы тоже сможете. Помимо самих образцов на сайте можно увидеть, что же делают эти программы. Гибридный анализ запускает вредоносное ПО в собственной песочнице и отслеживает системные вызовы, запущенные процессы и действия в сети, а также извлекает подозрительные текстовые строки. Для двоичных файлов и других исполняемых файлов, т.е. там, где вы даже не можете посмотреть на фактический код высокого уровня, гибридный анализ решает, является ли ПО вредоносным или просто подозрительным на основе его активности во время выполнения. И после этого уже оценивается образец. В случае с PowerShell и другими образцами сценариев (Visual Basic, JavaScript и т. д.), я смог увидеть и сам код. Например, я наткнулся на такой PowerShell экземпляр:

Вы также можете запустить PowerShell в кодировке base64, чтобы избежать обнаружения. Обратите внимание на использование Noninteractive и Hidden параметров.

Если вы прочитали мои записи по обфускации, то вы знаете, что параметр -e указывает на то, что содержимое кодируется в base64. Кстати, гибридный анализ помогает также и с этим, декодируя все обратно. Еcли вы захотите попробовать декодировать base64 PowerShell (далее – PS) самостоятельно, нужно выполнить эту команду:

 [System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))

Вникай глубже

Я декодировал наш PS-сценарий с помощью этого метода, ниже представлен текст программы, правда слегка мной модифицированный:

Заметьте, что скрип был привязан к дате 4 сентября 2017 и передавал сессионные cookies.

Я писал об этом стиле атаки в серии по обфускации PS, в которой кодированный в base64 скрипт сам загружает недостающие вредоносные программы с другого сайта, задействуя из библиотеки .Net Framework объект WebClient, чтобы сделать всю тяжелую работу. Для чего это нужно? Для программного обеспечения безопасности, сканирующего журналы событий Windows или файерволла, кодировка base64 предотвращает обнаружение строки «WebClient» по простому текстовому шаблону в целях защиты от выполнения такого веб-запроса. И так как все «зло» вредоносного ПО затем загружается и передается в наш PowerShell, этот подход таким образом позволяет полностью уклоняться от обнаружения. Вернее, это я так думал сначала. Оказывается, с включением продвинутого логирования журнала Windows PowerShell (см. мою статью ) вы сможете увидеть загруженную строку в журнале событий. Я (как и другие ) считаю, что Microsoft следует включить данный уровень ведения журнала по умолчанию. Поэтому при включенном расширенном логировании мы увидим в журнале событий Windows выполненный запрос загрузки из PS скрипта по примеру, который мы разобрали выше. Поэтому имеет смысл его активировать, согласны?

Добавим дополнительные сценарии

Хакеры ловко скрывают атаку PowerShell в макросах Microsoft Office, написанных на Visual Basic и на других скриптовых языках. Идея заключается в том, что жертва получает сообщение, например, от службы доставки, с вложенным отчетом в формате .doc. Вы открываете этот документ, который содержит макрос, и в конечном итоге он сам запускает вредоносный PowerShell. Часто сам сценарий Visual Basic обфусцируется так, что он свободно уклоняется от антивирусов и других сканеров вредоносных программ. В духе уже изложенного, я решил в качестве упражнения закодировать приведенный выше PowerShell в JavaScript. Ниже результаты моей работы:

Обфусцированный JavaScript, прячущий наш PowerShell. Реальные хакеры делают это на раз-два.

Это еще одна из техник, которую я встретил на просторах сети: использование оболочки Wscript.Shell для запуска кодированного PowerShell. Кстати, JavaScript сам по себе является средством доставки вредоносных программ. Многие версии Windows имеют встроенный Windows Script Host, который сам умеет запускать JS. В нашем случае, вредоносный скрипт JS вложен как файл c .doc.js расширением. Windows, как правило, показывает только первый суффикс, поэтому он будет отображаться жертве как документ Word.

Значок JS отображается только в иконке в виде свитка. Неудивительно, что многие люди будут открывать это вложение, думая, что это Word-документ.

В моем примере я изменил приведенный выше PowerShell, чтобы загрузить сценарий с моего веб-сайта. Удаленный сценарий PS просто печатает «Evil Malware». Как видите, он совсем не злой. Конечно, реальные хакеры заинтересованы в получении доступа к ноутбуку или серверу, скажем, через командую оболочку. В следующей статье я покажу, как это сделать, используя PowerShell Empire. Надеюсь, что для первой ознакомительной статьи мы не слишком глубоко погрузились в тему. Теперь я позволю вам перевести дух, и в следующий раз мы начнем разбирать реальные примеры атак с использованием fileless-малвари без лишних вводных слов и подготовки.Используемые источники:

  • https://ru.malwarebytes.com/
  • https://www.softportal.com/software-8038-malwarebytes-anti-malware.html
  • https://v-mire.net/what-is-malware/
  • https://habr.com/ru/company/varonis/blog/456440/

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
7th-studio.ru
Добавить комментарий