Микроконтроллерный вирус и антивирус

Антивирус видит вирусы в трейнерах,скриптах,кряках

Почему антивирус так видит – ответят только разработчики этого антивируса.

Кряк, кейген может быть упакован, криптован, и антивирус может реагировать.

Когда вы ставите антивирус, и он пишет “обнаружена угроза”, а вы не верите антивирусу (верите, что это не угроза) , то тогда зачем ставили ??

Как я заметил, Нод, касперский и доктор веб обычно не ругаются на такой софт, если этот софт не совершает деструктивных действий (ворует пароли из браузера, шифрует файлы и требует выкуп за расшифровку и т.д.)

антивирус на такие действия и должен срабатывать.
Нормальный антивирус должен не срабатывать, если программа не вредоносная. Если эвристический анализ ошибся – это ещё простительно, но когда выключаешь эвристику и антивирус все равно пишет “троянская , вредоносная программа” – лично мне хочется поставить другой антивирус. Трояна там нет с 99% гарантией .

Товарщиц SonyK. про что говорил – про сигнатурный, эвристический анализ или проактивную/превентивную/мониторинг активности ? Я так понимаю, что он говорил про сигнатурный и эвристический анализ.

Кстати, baskspace2014 видимо хотел сказать, что антивирус ругается, когда трейнер ещё не запустили. И трейнер ничего ещё не изменил или “заморозил” в ОЗУ, а антивирус уже ругается (я так понимаю, файловый антивирус) .

Denis Nikonov
И трейнер ничего ещё не изменил или “заморозил” в ОЗУ, а антивирус уже ругается (я так понимаю, файловый антивирус) .

А Вы лично пробовали хотя бы 1 трейнер добавить в исключения, но только файлового антивируса? И для примера, реагирует ли Ваш антивирус на АртМани (в смысле проактивка)? По идее, если реагирует на Артмани, то должен был бы и на трейнер. Но, наверное, трейнер ничего не замораживает, а только активирует встроенные читы игры.

По идее, если реагирует на Артмани, то должен был бы и на трейнер. Но, наверное, трейнер ничего не замораживает, а только активирует встроенные читы игры.

Уважаемый, читайте внимательно, что я написал. Повторяю. Есть файл “game_trainer.exe” . Его скачали в папку “Трейнеры”. Просто скачали файл. Компонент “файловый антивирус” просканировал файл и этому компоненту померещилась угроза. Файл добавили в исключения компонента “файловый антивирус” ! Теперь разрешен запуск.

Запускаем трейнер , и теперь работает ПРОЦЕСС (это не файл уже) . Это процесс тоже пока ничего не делает и проактивка молчит. Игра запущена, нажимаем в трейнере кнопку “вечные патроны”, и процесс “game_trainer.exe” внедряет код в процесс “game.exe” (то есть в игру) . Если проактивка контролирует внедрение в другие процессы , то она может
– разрешить и записать событие в журнал
– запросить действие “разрешить внедрить код в другой процесс ?”
– запретить внедрение кода в другой процесс

Denis Nikonov
– разрешить и записать событие в журнал
– запросить действие “разрешить внедрить код в другой процесс ?”
– запретить внедрение кода в другой процесс

Если бы я у себя нашел журнал таких разрешенных угроз. Не хотите проверить на трейнере Кризис 2 или Кризис 3?

лично я ни разу (туфутьфу) не цеплял что то вроде баннера или чего нить критичного

Просто вам повезло, и в этих программах не было “баннера или чего нить критичного“. Кому то везет, и его вирусня не беспокоит. А кому то не везет.

Если бы я у себя нашел журнал таких разрешенных угроз.

Поставь касперского (контроль программ, интерактивный режим), или Malware Defender и все там будет контролироваться – хочешь, внедрение в процесс отслеживай, хочешь – прямой доступ к HDD и т.д. Запусти игру, трейнер и всё сам увидишь что трейнер делает, когда делает, и что он не делает .

Меня больше раздражают ложные срабатывания (из-за этого у меня мало доверия к антивирусам), когда компонент “Файловый антивирус” пишет “троян” , ругается на кряк, трейнер. К Авасту доверия нет, он может и битую “вирусню” детектить (нерабочие вирусы) .

Кстати, Нод пишет обычно “Keygen”, “Trainer” , потенциально опасное ПО. Этим мне он нравиться. А Аваст всё называет Malware .

baskspace2014 написал
Что это значит?Неужели на этом сайте есть вирусы?

Кто-то верит, что есть, кто-то верит, что нет вирусов. Во что хочет, в то и верит.

Denis Nikonov
он может и битую “вирусню” детектить (нерабочие вирусы) .
Их может детектировать и мой антивирус, и Касперский. Проблема именно в том, что только 1 из 1000 таких файлов вообще запускается. Если Касперский найдет в трейнере что-то из такого набора:
1) IRC-Worm.DOS;
2) Virus.DOS;
3) Virus.Win16;
4) VirTool.DOS (кто-то словом VirTool:WinNT/Ldpinch называет драйвер);
5) Trojan.DOS.

То Вы точно не верьте, так как его наверное даже DosBox не запустит.

Если бы я у себя нашел журнал таких разрешенных угроз.

В касперском в компоненте “Контроль программ” это есть. Можешь контролировать всё, что угодно. Журнал там тоже есть.
И в Malware Defender тоже есть журнал, и тоже контролируй всё, что пожелаешь.
А если антивири ругаются – не просто так ? Может там стилер есть (аккуанты ворует например) в трейнере, кряке. Обратите внимание, что я написал “может быть есть стилер”, а не “точно есть”.

Если касперский стоит, можно просто трейнеры помещать в группу “Сильные ограничения” в контроле программ, разрешив “внедрение кода” на вкладке “права” . Даже если трейнер вирусованнный, он вряд ли сможет навредить.

У меня антивирус аваст 2011 оффлайн установки, он ловит всё, он мне помогает ловить файлы заражённые xpack gen trojan это вирус который тянет из интернета вирусы, которые порой попав на комп через кеш браузера мозиллу файрфокс создают у меня синий экран, так вот этот вирус не только в трейнерах и кряках попадается но ещё и во время установки распаковающихся пережатых репаков игр, в начале установки порой репак ради распаковки выгружает precomp, unarc и другие файлы, они порой заражены, но не всегда, важно вычищать вирус со своего компа после установки игры или лучше скачать торрент игру (лицензия) с чистым без вирусов креком или nodvd и спокойно жить без синих экранов.

avira antivir personal en Antivirus (2011) Ловит всё, прост и держится целый год не надоедая призывом к регистрации или покупке. Другие версии или антивирусы ничто по сравнению с ним. Касперский свежей свежести скажет что у вас всё чисто даже когда у вас синий экран и вирусы в кеше мозиллы, но аваст 2011 сотрёт все вирусы даже из кеша и синие экраны исчезнут из вашей жизни, качайте репаки и лицензии с креками и трейнерами сколько угодно он всё увидит и поможет найти чистый вариант игры или программы.

Всем создателям трейнеров и кряков с вирусами желаю убиться бошкой об стену и сделать тем самым мир чище.

Микроконтроллерный вирус и антивирус

В отличие от персонального компьютера микроконтроллер представляет собой с информационной точки зрения изолированный однокристальный компьютер. Да и работа микроконтроллера сводится к выполнению запрограммированных инструкций, поэтому мной был написан программный код позволяющий реализовать выполнение микроконтроллером как вредоносной, так и защищающей для информации подпрограмм.

Данный тип микроконтроллерного вируса (вируса на кристалле) имеет следующие сходства и отличия с компьютерным вирусом и антивирусом.

  • Специфика. Мало кому в голову может прейти идея о выполнении микроконтроллером инструкций приводящих к порче данных или сбоям. Стоит отметить принцип и тип работы с данными. Так, например, чем выше производительность микроконтроллера способного работать с файлами и т.д., тем больше принцип работы похож на компьютерные вирусы.
  • Размножение локальное (в рамках одного микроконтроллера). Действительно, подпрограмма-вирус статична и имеет физическую основу в виде Flash-памяти программ микроконтроллера (согласно типу используемого микроконтроллера – PIC16F628A). Конечно, в других микроконтроллерах, где можно программно перезаписывать Flash-память, программа-вирус может перемещаться.
  • Размножение глобальное (среди микроконтроллеров, связанных шинами для передачи данных). Неспособность к передаче вредоносного кода программы-вируса другим микроконтроллерам (нет физической основы в отличие от ПК). Конечно, потенциально можно предать вредоносный код программы-вируса от одного микроконтроллера к другому, т.е. «заразить» по протоколам I²C, SPI, USART, CAN, USB и др., но для этого нужно соответствующим образом запрограммировать микроконтроллеры, потенциально готовые к выполнению инструкций приводящих к порче данных или сбоям.
  • Антивирус. В данной работе микроконтроллерный антивирус представляет из себя бит, который разрешает или запрещает выполнять программу-вирус, т.е. не анализирует выполняемые микроконтроллером инструкции, в отличие от компьютерного антивируса, который анализирует работу компьютера.

На рисунке выше изображена схема прибора для демонстрации микроконтроллерного вируса и антивируса. Ядром схемы является микроконтроллер PIC16F628A. Алгоритм управления кнопкой изображен на рисунке 2. Код программы написан на языке ассемблер, смотреть листинг Virus16F628ATEMP.ASM. Прибор управляется одной кнопкой. Нажатием на кнопку добиваются последовательной смены режимов работы прибора. Для визуального отображения информации служит дисплей со встроенным контроллером.

Полный цикл внутрисхемного программирования и отладки микроконтроллера PIC16F628A был осуществлён при помощи MPLAB IDE v8.15 (интегрированная среде разработки), компилятор MPASM v5.22 (входит в MPLAB IDE v8.15) и MPLAB ICD 2 (внутрисхемный отладчик – «Дебагер»). Для тех, кто не располагает средствами приведёнными выше, а имеет свою программу для работы с *.HEX файлами и иной программатор, можно в соответствующем проекте найти файл 16F628ATEMP.HEX. Техническую спецификацию микроконтроллера можно найти на сайте [1] и [2].

Микроконтроллер DD1 имеет функциональные выводы RA0, RB2 – RB7 которые служат для ввода и вывода информации. Микроконтроллер DD1 не имеет функции принудительного сброса, вывод для сброса подключен через резистор R1 к положительному потенциалу питания. Для генерации тактовой частоты используется встроенный RC-генератор на кристалле.

К выводу RA0 через токоограничивающий резистор R3 подключена тактовая кнопка SB1. В отжатом положении тактовой кнопки SB1 резистор R4 имитирует низкий логический уровень. Микроконтроллер DD1 распознаёт три состояния тактовой кнопки SB1:

  • не нажата;
  • нажата кратковременно (менее 1 с);
  • нажата и удерживается (более 1 с).

Изображение на дисплее помогает различать состояния тактовой кнопки SB1. Так при 1 состоянии микроконтроллер выполняет инструкции не связанные с нажатием кнопки, при 2 состоянии происходит выполнение настройки, которые выделены квадратными скобками пока микроконтроллер не распознает 3 состояние, а в 3 состоянии дисплей изображает следующие настраиваемое состояние квадратными скобками.

Читайте также:  Простой термостат на компараторе

Для отображения информации используется жидкокристаллический дисплей HG1. Техническую спецификацию дисплея можно найти на сайте [3]. Он имеет контроллер, в котором реализована функция знакогенерации. Отображает две строки по шестнадцать символов в каждой. Управление дисплеем осуществляется через выводы микроконтроллера RB2 – RB7. Загрузка данных происходи полубайтами, через выводы RB4 – RB7. «Защёлка» – RB3. Выбор регистра сигнала формируем на выводе RB2. Переменным резистором R2 устанавливаем контрастность дисплея HG1. Подсветка дисплея отключена.

Прибор запитывается от переменного или постоянного источника напряжения, подключаемого к разъему X1. Номинальное напряжение источника питания 9 – 15 В. Номинальный ток источника питания 0.5 А. Для стабилизации питания используется обычная схема из диодного моста VD1, линейного стабилизатора DA1, фильтрующих конденсаторов C1 – C4.

Работу прибора можно разбить на десять состояний.

1) При включении прибора происходит чтение энергонезависимой памяти данных EEPROM, где происходит выгрузка данных состояния антивируса и слова из 14 букв (по умолчанию «KOVALEV ANTON»). Прибор переходит в состояние где происходит настройка антивируса, т.е. 2.


Фото 1

2) В данном состоянии прибор в верхней строке выводит на дисплее надпись «ANTIVIRUS [x]»* и в нижней строке отображает «S(1) I(X/Y)**». При кратковременном нажатии тактовой кнопки прибор изменяет состояние антивируса (включает или выключает). (фото 1). После удерживаемого нажатия тактовой кнопки прибор переходит в состояние где происходит случайная генерация двух цифр, т.е. 3.


Фото 2

3) В данном состоянии прибор в верхней строке выводит на дисплее надпись «A+B» (где «A» и «B» цифры) и в нижней строке отображает «S(2.1) I(X/Y)**». При кратковременном нажатии тактовой кнопки происходит случайная генерация цифр «A» и «B». (фото 2). После удерживаемого нажатия тактовой кнопки прибор переходит в состояние где происходит выбор результата арифметики, т.е. 4.


Фото 3

4) В данном состоянии прибор в верхней строке выводит на дисплее надпись «A+B=С» (где «A» и «B» цифры, «С» число от 0 до 18) и в нижней строке отображает «S(2.2) I(X/Y)**». При кратковременном нажатии тактовой кнопки происходит инкриминирование числа «С». (фото 3). После удерживаемого нажатия тактовой кнопки прибор переходит в состояние где происходит сравнение результата, т.е. 5.

5) В данном состоянии прибор сравнивает число «С» с собственным сложением цифр «A» и «B». Если результат сложения микроконтроллера совпал с «С», то прибор переходит в состояние, где отображает слово, т.е. 7. Если числа не совпали, то прибор переходит в состояние, где происходит вирусная атака, т.е. 6.

6) В данном состоянии прибор руководствуется битом, который отвечает за работу антивируса. Если антивирус включен («ANTIVIRUS[E]»), то прибор переходит в состояние где происходит настройка антивируса, т.е. 2. Если антивирус выключен («ANTIVIRUS[D]»), то происходит запуск подпрограммы-вируса. Подпрограмма-вирус проверяет бит, который указывает на ранее заражение. Если не заражено, то подпрограмма-вирус меняет местами буквы слова так – 1 с 14, 2 с 13, 3 с 12, 4 с 11, 5 с 10, 6 с 9, 7 с 8 и инкриминирует счётчик числа заражений «X». Таким образом выводимое слово будет перевёрнутым. Если заражено, то программа-вирус не меняет местами буквы. Далее прибор переходит в состояние, где отображает слово, т.е. 7.


Фото 4


Фото 5

7) В данном состоянии прибор в верхней строке выводит на дисплее надпись – слово из 14 букв и в нижней строке отображает «S(3.0) I(X/Y)**». Происходит инкриминирование числа отображений слова «Y». (При правильной арифметике – фото 4, после вирусной атаки – фото 5). При кратковременном нажатии тактовой кнопки прибор переходит в состояние где происходит настройка антивируса, т.е. 2. После удерживаемого нажатия тактовой кнопки прибор переходит в состояние где происходит изменение слова, т.е. 8.


Фото 6

8) В данном состоянии прибор в верхней строке выводит на дисплее надпись – слово из 14 букв в котором квадратными скобками выделяется N-я изменяемая буква и в нижней строке отображает «S(3.N) I(X/Y)**». При кратковременном нажатии тактовой кнопки прибор в N последовательно выбирает пробел и буквы английского алфавита. (фото 6). После удерживаемого нажатия тактовой кнопки прибор переходит в состояние где происходит подтверждение изменённого слова, т.е. 9.

9) В данном состоянии прибор в верхней строке выводит на дисплее надпись – слово из 14 букв и в нижней строке отображает «S(3.15) I(X/Y)**». При кратковременном нажатии тактовой кнопки прибор переходит в состояние где происходит изменение слова, т.е. 8. После удерживаемого нажатия тактовой кнопки прибор переходит в состояние где происходит сохранение слова в энергонезависимой EEPROM памяти, т.е. 10.

10) В данном состоянии прибор в верхней строке выводит на дисплее надпись «SAVING». Прибор сбрасывает бит, который указывает на заражение, так как слово было изменено. Происходит сохранение слова в энергонезависимой EEPROM памяти. Далее прибор переходит в состояние где происходит настройка антивируса, т.е. 2.

*«ANTIVIRUS [x]» (по умолчанию «ANTIVIRUS [D]»), где: [D], D-Disable (Выключен), [E], E-Enable (Включен).
**«S(3.N) I(X/Y)», где: S-Step, N-число от 1 до 14, I-Infected, X-число заражений от 0 до 18, Y-число отображений слова от 0 до 18. Если X или Y больше 18 происходит обнуление X или Y соответственно.


Фото 7

Прибор собран на демонстрационной плате Microchip PICDEM 2 PLUS. (фото 7). Схему демонстрационной платы можно найти на официальном сайте Microchip [1].

В данном устройстве можно заменить следующие детали. Микроконтроллер DD1 из серии PIC16F628A-I/P-xxx с рабочей тактовой частотой 20 МГц в корпусе DIP18. Дисплей HG1 подойдет любой из серии WH1602x. Стабилизатор напряжения DA1 отечественный КР142ЕН5А (5 В, 1.5 А). Диодный мост VD1 можно применить любой из серии 2Wxx. Разъём питания X1 аналогичный указанному на схеме с центральным контактом d=2.1 мм. Неполярные конденсаторы С1 и С2 номиналом 0.01 – 0.47 µF x 50 V. Электролитические конденсаторы С3 и С4 ёмкостной номинал тот же, а напряжение не ниже указанного на схеме.

Ссылки в интернете

Название сайта

Адреса

Microchip Technology Inc. – a Leading Provider of Microcontroller and Analog Semiconductors

Как антивирусы определяют вирусы, вредоносное ПО, шпионские программы, трояны?

Антивирусная программа предназначена для обнаружения и обезвреживания угроз безопасности. Интересно, что в процессе эволюции антивирусы совершенствовали методы обнаружения: от определения вредоносов по сигнатурам до эвристического анализа и выявления подозрительного поведения.

Антивирусы делятся на сканеры и резидентные модули. Сканеры находят файлы на дисках, читают их и делают вывод об инфицировании вирусом. Резидентные антивирусы постоянно работают в оперативной памяти и проверяют каждый новый файл и программу на заражение вирусом. При таком подходе расходуются ресурсы компьютера: процессор и оперативная память. Именно из-за этого некоторые пользователи не любят антивирусы, не хотят собственноручно замедлять работу компьютера. Но работать без антивируса сегодня небезопасно, так можно делать только в случае полной уверенности в своих действиях и посещаемых ресурсах в интернете.

Методы обнаружения вредоносного ПО

В самом простом случае используется определение по сигнатурам. Сигнатура – это кусок кода вируса, который не изменяется. Базы данных антивирусов содержат именно сигнатуры известных вирусов. Простое сравнение программного кода по базе сигнатур 100% позволяет определить есть вирус или нет. Но и вирусы не стоят на месте, они используют полиморфные алгоритмы, с помощью которых сигнатура меняется. Также создаются новые вирусы, которые невозможно определить по имеющимся базам.

Следующим методом стал эвристический анализ, который более интеллектуально подходит к обнаружению угроз. Эвристический анализатор выявляет паттерны, т.е. закономерности поведения вирусов и таким образом может определить угрозу ещё до того, как станет известна её сигнатура. Так, например, под особым контролем программы, которые создают резидентные модули в памяти, напрямую обращаются к файловой системе или к загрузочным секторам, перехватывают программные и аппаратные прерывания, изменяют исполняемые (.exe) файлы.

Также, антивирусы научились определять потенциально-нежелательные программы (PUP). Это не совсем вирусы, но PUP устанавливаются «в довесок» к другой программе, часто без ведома пользователя. PUPs могут устанавливать дополнительные модули в систему, расширения для браузеров, нарушать конфиденциальность и безопасность, показывать рекламу, в будущем загружать реальные вирусы.

Какие угрозы обнаруживаются антивирусами

Наиболее часто встречающиеся угрозы – это вирусы, черви, трояны, руткиты, вымогатели, шпионское и рекламное ПО. В основном современные антивирусы многофункциональны и умеют обнаруживать все типы угроз. В последнее время набирает популярность антивирус «Total AV», отзывы о нем вы найдете по ссылке. Кроме обнаружения самих вирусов, в нём есть модуль брандмауэра, который закрывает дыры в сетевой безопасности, тем самым предотвращая проникновения зловредов на компьютер. Есть антивирусы, нацеленные на поиск определённых угроз, например Spyware (шпионское ПО), такие как Adaware или Emsisoft Emergency Kit.

Стоит отметить, что на самом деле вирус и вредоносная программа, это немного разные определения. Вредоносное ПО – это любой программный код, цель которого нанести вред или ущерб компьютеру, операционной системе или лично человеку, похитив конфиденциальные данные (пароли, данные кредитных карт, деньги с электронных кошельков). Вирус же способен самореплицироваться, т.е. самостоятельно распространяться, заражая другие программы и компьютеры. Пользователю нужно запустить вирус или инфицированную программу, чтобы он начал вредить.

Черви (Worms)

Червь, в отличии от вируса, существует самостоятельно, не заражая другие файлы. Для заражения червём не требуется запуск заражённой программы или посещение инфицированного сайта. Червь использует сетевые уязвимости и эксплоиты операционки Windows. Эксплоит (exploit) – это код, последовательность команд, которая использует обнаруженную хакером брешь в системе безопасности, например ошибку при переполнении буфера, которая позволяет выполнить любой код.

Поэтому червь пролазит в компьютер сам, и затем дальше ищет другие уязвимости в сетях, к которым подключён компьютер. Червь может выполнять любые злонамеренные действия: кража паролей, шифрование файлов, нарушение работы ОС, перезагружать компьютер и т.д.

Трояны (Trojan)

Трояны попадают в компьютер под видом безвредного ПО и не имеют свойства размножаться. Трояны часто попадают в компьютер под видом кейгена или патча для взлома платных программ. Патч делает полезную работу, и ничего не подозревающий пользователь получает «бонусом» трояна, который открывает бэкдор – службу для удалённого управления компьютером. С помощью бэкдора хакер может делать с компьютером что угодно: загружать другие программы, похищать личные данные, менять начальную страницу и настройки браузера, нарушать целостность системы и др.

Руткиты (Rootkit)

Название пошло из операционок Linux, где для входа в систему с правами администратора используется логин «root». Руткиты самые нежелательные гости в Windows. Руткиты:

  • Получают доступ к ядру ОС
  • Изменяют системные файлы
  • Маскируются под системные процессы
  • Загружаются до запуска операционной системы
  • Работают в теневом режиме

Всё это осложняет обнаружение и удаление руткитов.

Spyware, Adware, Ransomware

Spyware – шпионские программы, которые следят за активностью пользователя в сети, запоминают нажатия клавиш, находят данные карт, кошельков, документы и передают их хакеру.

Adware – рекламное ПО, показывает рекламу в всплывающих окнах. Adware (ad, реклама) может долго оставаться незамеченным, внедряя рекламные баннеры на посещаемые сайты или заменяя имеющуюся рекламу на свою. Переход по рекламным ссылкам может повлечь заражение трояном или руткитом.

Ransomware – это вымогатели, которые шифруют личные и рабочие документы на дисках. Вымогатель требует выкуп за получение ключа расшифровки. Как правило, выкуп просят в биткоинах, но никакого ключа расшифровки не существует. Лечения от вымогателя не существует, данные теряются навсегда.

Следуйте правилам безопасности, работая за компьютером и в интернете, используйте антивирусное ПО, например Total AV.

Уроки 16 – 17
§14. Защита от компьютерных вирусов

Содержание урока

Антивирусные программы

Антивирусные программы

Антивирус — это программа, предназначенная для борьбы с вредоносными программами.

Антивирусы выполняют три основные задачи:

1) не допустить заражения компьютера вирусом;
2) обнаружить вирус;
3) удалить вирус без ущерба для остальных данных.

Код большинства вирусов содержит характерные цепочки байтов — сигнатуры. Если в файле обнаруживается сигнатура какого-то вируса, можно предположить, что файл заражён. Сигнатуры известных вирусов хранятся в базе данных антивируса, которую нужно регулярно обновлять через Интернет.

Современные антивирусы чаще всего включают антивирус – сканер (иногда его называют антивирусом-доктором) и антивирус – монитор.

Для того чтобы антивирус-сканер начал работу, пользователь должен его запустить и указать, какие файлы и папки нужно проверить. Это «защита по требованию». Главный недостаток сканеров состоит в том, что они не могут предотвратить заражение компьютера, потому что начинают работать только при ручном запуске.

Антивирусы-мониторы — это программы постоянной защиты, они находятся в памяти в активном состоянии. Их основная задача — не допустить заражения компьютера. Для этого мониторы:

• проверяют все файлы, которые копируются, перемещаются или открываются в различных прикладных программах;
• проверяют используемые «флэшки»;
• перехватывают действия, характерные для вирусов (форматирование диска, замена и изменение системных файлов) и блокируют их;
• проверяют весь поток данных, поступающий из Интернета (сообщения электронной почты, веб-страницы).

Иногда мониторы могут перехватить и неизвестный вирус (которого нет в базе), обнаружив его подозрительные действия.

Главный недостаток антивирусов-мониторов — значительное замедление работы системы, особенно на маломощных компьютерах. Бывает и так, что при запущенном мониторе некоторые программы работают неправильно или вообще не работают. Тем не менее не рекомендуется отключать монитор, особенно если вы работаете в Интернете или переносите файлы с помощью «флэшек».

Кроме борьбы с вредоносными программами антивирусы частично защищают компьютер от:

• фишинга — выманивания паролей для доступа на сайты Интернета с помощью специально сделанных веб-страниц, которые внешне выглядят так же, как официальные сайты;
рекламных баннеров и всплывающих окон на веб-страницах;
спама — рассылки нежелательных рекламных сообщений по электронной почте.

Большинство антивирусных программ — условно-бесплатные (shareware), пробные версии с ограниченным сроком действия можно свободно загрузить из Интернета. В нашей стране наиболее известны К Антивирус Касперского и Доктор Веб.

На многих сайтах (www.kaspersky.ru, www.freedrweb.com) доступны для скачивания лечащие программы-сканеры, которые бесплатны для использования на домашних компьютерах. В отличие от полных версий в них нет антивируса-монитора и базы вирусов не обновляются.

Существуют антивирусы, бесплатные для использования на домашних компьютерах, например Avast Home, Avira, AVG AVG Free. Антивирус Clam AV — свободное программное обеспечение.

Нужно понимать, что ни один антивирус не гарантирует полную защиту от вредоносных программ. В то же время без антивируса ваш компьютер остаётся совсем незащищённым.

Следующая страница Выводы. Интеллект – карта

Cкачать материалы урока

5 самых опасных вирусов для Android

Triada

Начнём со «свежака» — Триаду сегодня можно считать самым новым и «пуленепробиваемым» вирусом для смартфонов. Его и обнаружили-то только в марте 2017 года.

Уникален он своей близостью к классическим вирусам, а не троянам-вымогателям, как это обычно бывает на Android. Вам всё же нужно умудриться подхватить его из «непроверенных источников», а вот дальше начинается гораздо весёлый «боевичок»:

Triada — вирус, который не просто хулиганит в системе, а вклинивается в её жизненно важные участки

  1. Triada включается после того, как вы установите и дадите разрешения вашей любимой качалке музыки из ВКонтакте, например. После программа втихаря выясняет модель вашего смартфона, версию прошивки и Andro >Но с возможностью «распотрошить» любое установленное приложение или установить новое на расстоянии это только «цветочки» — особенность «Триады» заключается в том, что это модульный вирус, к нему можно будет прикрутить самые разные виды дистанционных трюков.

Как видите, вирусы для Android — это не только примитивные «ваш телефон заблокирован, с вас сто баксов», от которых можно избавиться удалением приложения. И, если в новых версиях Android хотя бы усложнён доступ к получению root и можно увидеть что-то подозрительное на этапе запроса прав приложением, то старые версии (Android 4.4, 4.3 и старее) абсолютно беззащитны перед новой заразой — спасёт только полная перепрошивка.

Marcher

Так называемый «банковский зловред» был разработан ещё в 2013 году, но его «звёздный час» настал только летом 2016 года. Знаменит хорошей маскировкой и «интернационализмом», если можно так сказать.

Marcher представляет собой простой троян, который не проворачивает ничего сверхъестественного, а просто подменяет собой служебные страницы огромного количества банков с помощью всплывающих окон. Механизм следующий:

  • Троян проникает в систему вместе с заражённым приложением. Пик популярности Marcher пришёлся на «свежеукраденные» у Nintendo версии Super Mario Run. Если вы не помните, это такая супер-раскрученная «бегалка» от создателей Pokemon GO!
  • Ищет на смартфоне банковские приложения и приложения интернет-магазинов выбирает «заготовки» в соответствии с тем, каким банком вы пользуетесь.
  • Отправляет на смартфон «приманку» — сообщение в шторке уведомлений со значком банка/магазина и сообщением в стиле «на ваш счёт поступило N рублей»/«купон на скидку 75% для любого товара только сегодня!».
  • Владелец смартфона кликает на уведомление. После чего троян открывает точнейшую копию, страницу, 1-в-1 похожую на ту, что вы привыкли видеть в официальном приложении. И говорит что-то в стиле «соединение с сетью прервано, повторите ввод данных банковской карты».
  • Владелец смартфона вводит данные банковской карты. Тут-то денюжки тю-тю!

«Дружище, что-то я подзабыл номер твоей карты. Не напомнишь?»

Таким нехитрым образом троян подделывал процесс покупки авиабилетов, покупки товаров в интернет-магазинах и софта в Google Play и работу банковских приложений. Под раздачу попали пользователи банковских карт в Германии, Франции, Польши, Турции, США, Австралии, Испании, Австрии и Великобритании. Изначально вирус «точили» под Android 6.x, смартфонов под управлением других версий оказалось значительно меньше.

Даже не одиночка, а целый каскад троянов-«хамелеонов», не настолько криминально-суровых, как Triada, но в такой же степени болезненных для операционной системы. Антивирусные специалисты обратили внимание на зловредов в начале 2016 года, а в народ смартфоны зловред стал массово проникать уже в декабре 2016-го.

Loki — это такой организованный разбой по предварительному сговору в вашем смартфоне

Зловреды действуют настолько быстро и слаженно, что хочется аплодировать им стоя. Вы только взгляните на эту «многоходовочку»:

  • Первый троян попадает в систему с безопасным приложением и вместе с ним же запускается. После этого сразу «запрашивает подкрепление», то есть, скачивает из своих источников второго троянца и устанавливает его с пачкой инструментов для получения root-прав. Мониторит систему, ждёт, когда пользователь смартфона выключит дисплей, и в этом режиме добывает root. После чего запускает своего «коллегу».
  • Второй троян перехватывает root-права, получает доступ к разделу /system («заводским» файлам прошивки, которые сохраняются даже после сброса настроек), распаковывает из себя ещё парочку троянцев и распихивает их в «несгораемые» системные разделы.
  • Третий троян оживает в этом самом разделе /system, в котором подменяет собой часть системы, ответственную за загрузку, и удаляет стандартные «потроха» Andro >«Выкорчевать» из мозгов смартфона следы этой бурной деятельности невозможно, поэтому «лечится» заражение с помощью Loki только полной перепрошивкой с потерей всех данных.

Faketoken

Если предыдущие трояны намеренно действуют исподтишка, чтобы пользователь смартфона до последнего момента не догадывался о заражении, то Faketoken в своём подходе прост и прямолинеен, как опытный гопник — требует предоставить ему права на любые действия со смартфоном, а если владелец отказывается, в дело вступает алгоритм «слышь, ты чё не понял? Тогда я повторю!».

  1. Сначала пользователь вынужденно даёт права администратора вирусу
  • Устанавливаете вы, значит, приложение с привычным ярлычком с какого-нибудь сайта vasyapupkinsuperwarez.net. Запускаете, и после этого вас начинают «пытать».
  • Троян открывает системное окно с запросом прав администратора. В лучших демократических традициях у владельца смартфона есть два варианта — разрешить трояну доступ к системе, либо не разрешить. Но в случае отказа Faketoken снова откроет окно с запросом системных прав , и будет делать это постоянно, до тех пор, пока пользователь смартфона не капитулирует.
  • После этого методом всё того же терморектального криптоанализа троян добывает себе права на отображение всплывающих окон и подмену собой стандартного приложения для отправки SMS.
  • После успеха в завоеваниях троян связывается со своим управляющим сервером в интернете и скачивает оттуда шаблонные фразы на 77 языках, которыми потом будет шантажировать пользователя мобильника.
  • Затем с помощью заготовленных фраз Faketoken начинает гадить в системе полноэкранными сообщениями в стиле «подтвердите имя и пароль своего аккаунта в Gmail» и «у нас теперь в Google Play обязательно нужно привязывать карточку, введите необходимые данные». До победного конца, разумеется.
  • Троян резвится в системе, отправляет и принимает SMS, совершает звонки, скачивает приложения. А напоследок — блокирует экран, шифрует все файлы во внутренней памяти и microSD и требует «выкуп».

Godless

Троян Godless впечатляет даже не своей, так сказать, функциональностью, а маскировкой — длительное время его наличие в приложениях не распознавала даже хваленая система антивирусной проверки в Google Play. Результат немного предсказуем — зловред заразил свыше 850 тысяч смартфонов по всему миру, причём почти половина из них принадлежит жителям Индии, что как бы намекает на происхождение трояна.

Скачиваешь себе фонарик из Google Play — подхватываешь неудаляемый вирус с шифрованием и root-правами

Функциональность трояна слабо отличается от его многочисленных коллег в 2016 году, новым стал только «зачин»:

  • Пользователь смартфона загружает приложение из Google Play , включает его, в результате чего вместе с приложением запускается и троян. Вы только не подумайте что-то плохое о проверке Google, ведь в этом «комплекте» нет зловредного кода — зловредный код троян скачивает при первом запуске.
  • Для начала Godless добывает на смартфоне root-права , бесплатно без SMS. С помощью примерно такого же набора средств, как в этих ваших Towelroot, например. Такие операции троян проводит при выключенном экране.
  • После этого наглый троян отправляет себя в папку /system (откуда его уже не удалить без перепрошивки ) и шифрует себя при помощи AES-ключа.
  • С полным комплектом прав доступа Godless начинает понемногу воровать личные данные пользователи со смартфона и устанавливать сторонние приложения. В первоначальных своих версиях троян, кстати, прятал с глаз пользователя стандартный Google Play и заменял его «пародией», через которую воровал имя и пароль от учётной записи.

Среди приложений, к которым чаще всего «прикручивали» Godless, были многочисленные «фонарики» и клоны известных игр для Android.

Что вообще стоит знать о вирусах

Первое, что нужно знать о вирусах для платформы Android: не все из них — это вирусы в исконном значении этого слова. Так нередко случается в живом языке: орнитологи различают филинов, сычей и сов, но в народе все эти птицы — «совы». Специалисты отличают хакеров от «детворы со скриптами» и кракеров, но для неспециалистов все эти категории людей остаются хакерами.

Со зловредными приложениями такая картина — технически они подразделяются на вирусы , черви , трояны , adware (навязчивую рекламу) и «страшилки» , но почти никого не заботят такие тонкости. Мол, вирусы — они и есть вирусы.

Различия между «сортами радости» следующие:

  • Вирус — зловредная программа, которая незаметно проникает на компьютер благодаря уязвимости системы. И, что самое важное — не занимается вредительством самостоятельно, а заражает другие файлы в системе. Такой зловред в случае с Android должен бы был проникать после банального клика на рекламу или посещения сайта, а потом «переписывать» под себя Gmail, ВКонтакте и другие приложения таким образом, чтобы после удаления оригинального вируса заражённые приложения продолжали делать своё чёрное дело.
  • Червь — делает плохое дело и жёстко, беспощадно, всеми возможностями распространяет самого себя по всем каналам связи. На компьютерах черви рассылали себя по e-mail, мессенджерам, локальной сети, флешкам — то есть, клонировали себя самым бесстыжим образом.
  • Троян никогда не стучится в систему извне — вы устанавливаете и запускаете зловредную программу собственноручно. Так происходит, потому что трояны подменяют рядовые, привычные и известные всем приложения, а иногда их просто «пришивают» к вполне работоспособным программам. То есть, покупаете скачиваете полезную программу — и получаете вредоносную в подарок!
  • «Страшилки» (scareware) — приложения, наводящие панику: «О боже, да у вас весь смартфон в вирусах и приложениях для прослушки спецслужбами всего мира! Скачайте наш антивирус и узнайте всю правду!». Скачиваете, запускаете, проводите так называемую проверку, после которой программа говорит: «Ужасающее количество вирусов в системе! Ваш телефон умрёт, если не удалить вирусы, но для этого Вы должны ввести данные своей банковской карты здесь и вот здесь». Такую прелесть зачастую игнорируют все антивирусы, потому что она ничего не взламывает и не ворует в системе — просто обманывает покупателя и просит денег.

Загрузка приложений не из Google Play — самый очевидный путь заражения андроидофона

Большинство зловредных приложений для Android представляют собой трояны. И, сколько бы энтузиасты не хихикали, вероятность подхватить троян на смартфоне далеко не нулевая. Потому что, если Google Play проверяет исполняемый код приложений, то порядочность софта и игр из «неизвестных источников» никак не гарантируется.

А к «неизвестным источникам» не всегда прибегают по глупости. Там можно найти облегчённые мессенджеры WhatsApp, Viber, Skype, которые занимают меньше места в памяти и работают быстро даже на старых смартфонах. Или перепакованные банковские клиенты, которые не будут ругаться на Cyanogenmod вместо официальной прошивки. А еще из Google Play периодически удаляют эмуляторы консолей, позволяющие сыграть, например, в Gran Turismo на Android. В конце-концов, в Play просто есть не все приложения.

Антивирусы: взгляд изнутри

В наше время, когда бурно развиваются телекоммуникации (в частности Интернет), вирусы появляются как грибы после дождя и очень легко распространяются. Чего только стоят нашумевшие вирусные эпидемии LoveLetter , Klez . Число вирусов на сегодняшний день очень велико. Они могут заразить любой компьютер, уничтожив при этом ценную информацию. Именно поэтому пользователь должен иметь представление о том, как работает антивирусная программа, как она “ищет”, “лечит” зараженные вирусом данные, какие методы антивирусной защиты существуют и насколько они эффективны. На сегодняшний день по алгоритмам работы можно выделить 5 основных групп антивирусных программ.

Тернии классификации

Антивирусные сканеры
Пионеры борьбы с компьютерными вирусами. Появились они практически одновременно с первыми вирусами. В основе работы таких программ стоит простой принцип — поиск в файлах, оперативной памяти, загрузочных секторах знакомых участков вирусного кода (так называемых сигнатур ). Под сигнатурой понимают такую запись о вирусе, которая позволяет однозначно идентифицировать сам вирус, его присутствие в файле, памяти. Чаще всего сигнатурой является именно участок вирусного кода, а иногда и его контрольная сумма (или дайджест).
Антивирусный сканер просматривает сначала оперативную память компьютера, ища вирус там. Существуют так называемые stealth-вирусы, которые перехватывают системные функции и в результате могут контролировать поток данных от периферийного устройства к пользователю. А значит, они, перехватив управление, могут заразить любой открываемый файл в системе. Вирус первым узнает об обращении к периферийному устройству.
Представьте, что у вас в памяти присутствует stealh-вирус, а вы начали антивирусное сканирование без проверки оперативной памяти. Тогда зараженными могут оказаться все файлы. Именно поэтому сначала нужно провести поиск вирусов в оперативной памяти и при обнаружении stealth-вируса удалить его из памяти и потом искать тело в файле. Хочется вас успокоить: в наши дни stealth-вирусы надежно обнаруживаются в памяти и не представляют серьезной угрозы (если, конечно, регулярно проводить антивирусные проверки).
Человеческая мысль не стоит на месте. Вирусы также развиваются. Головной болью разработчиков антивирусного ПО стали “копии” известных вирусов. Дело в том, что существует огромное количество вирусных программ, алгоритм работы которых повторяет алгоритм работы других вредоносных программы. Поскольку код изменился, изменилась и сигнатура.
Каждую неделю появляется огромное количество вирусов. И разработчики просто не успевают внести в базу все сигнатуры. К тому же есть еще и малораспространенные вирусы, которые не попадают в базу. Мало того, существуют еще и полиморфные вирусные программы. Такой вирус изменяется от заражения к заражению. Просто, если в теле вирусной программы раскидать случайным образом ничего не делающие команды (для тех, кто знаком с программированием — NOP; MOV AX,AX;), то алгоритм работы не изменится, а вот тело и сигнатура претерпят значительные изменения.
Еще одной проблемой для борцов с вирусами стали программы, создаваемые вирус-генераторами (имея под рукой такой генератор, можно создать очередную “пакость” буквально за 5 минут). Во всех вышеперечисленных случаях помогает оригинальный алгоритм обнаружения неизвестных вирусов — эвристический анализатор . С его помощью антивирус способен находить аналоги известных вирусов, сообщая об этом пользователю. Принцип работы эвристического анализатора примерно такой. Любые данные он представляет в виде машинных кодов: в компьютере одна и та же информация может быть представлена в виде данных и в виде программы. Анализатор просматривает код, и если программа выполняет некоторые подозрительные (странные) действия, то ей добавляется условный балл. При превышении какого-то количества баллов эвристик делает вывод, что программа содержит вирус. Конечно, вероятность как ложного срабатывания, так и пропуска велика. Однако если правильно использовать данные эвристика, то можно прийти к правильному выводу. Если антивирус указывает, что заражен единичный файл, то это, скорее всего, имело место ложное срабатывание. Если же такое повторяется не один раз, то можно говорить о вирусном заражении вашей системы с большой долей уверенности.

Антивирусные мониторы
Антивирусные мониторы по своей сути — это лишь некая разновидность сканеров. Но! Антивирусный монитор постоянно присутствует в оперативной памяти компьютера и в фоновом режиме проверяет все открываемые и загружаемые файлы. Почти каждый современный антивирус имеет в своем составе такой монитор.

Ревизоры изменений
Ревизоры — это антивирусные программы, которые следят за изменениями файлов. Ревизоры сохраняют в своих базах данных контрольные суммы файлов. И потом просто сравнивают сохраненные значения с текущими (ведь вирусы изменяют файлы). Результаты работы сообщаются пользователю, поскольку пользователь также может изменять файлы.
У ревизоров есть свои недостатки. Во-первых, крайне важно, чтобы ревизор первые несколько раз запускался на “чистой” машине. Во-вторых, ревизоры не способны поймать вирус в момент его появления в системе, а находят его уже после распространения. В-третьих, они не могут найти вирус в новых файлах (полученных по e-mail, скачанных с BBS, Internet и прочее), поскольку в базах данных информация по таким файлам отсутствует. Именно этим недостатком пользуются некоторые вирусы, заражая только новые файлы.

Иммунизаторы
Обычно иммунизаторы записываются в файл (совсем как вирус) и при запуске файла проверяют его на изменения. Современные вредоносные программы научились прятаться от такого типа иммунизаторов.
Второй тип иммунизаторов защищает систему от поражения каким-то определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Конечно, нельзя иммунизировать файлы от всех известных вирусов. Из-за этого недостатка данный тип антивирусов не получил широкого распространения и практически не используется.

Поведенческие блокираторы
Такой антивирус постоянно находится в оперативной памяти и перехватывает все происходящие в системе события. В случае обнаружения “подозрительных” действий в системе (то есть тех, которые может производить вирусная программа), блокирует их или спрашивает у пользователя разрешение на их выполнение. Блокиратор не ищет вирус, а просто предотвращает его действия.
В принципе, блокиратор может остановить распространение любого вируса. Но вирусоподобные действия могут производить операционная система и различные программы. Поведенческий блокиратор не в состоянии самостоятельно определить, кто именно выполняет подозрительные действия — вирус, ОС, программа — и вынужден спрашивать у пользователя подтверждение. Именно в этом главный недостаток поведенческого блокиратора — чрезмерная навязчивость.

Сила совмещения
Мы с вами рассмотрели все типы антивирусов, существующих на сегодняшний день. У каждого типа есть свои достоинства и недостатки. В современных антивирусных пакетах сочетаются практически все пять вышеперечисленных типов, так как только их совместное использование позволяет выйти из войны с вирусами победителем.

ОБЗОР НАИБОЛЕЕ ПОПУЛЯРНЫХ АНТИВИРУСОВ

Рейтинг
( Пока оценок нет )
Загрузка ...
Adblock
detector