Методы обнаружения вирусов

27 августа 2013 года

Специалисты корпорации «Доктор Веб» — отечественного производителя антивирусных денег обороны инфы — предостерегают об обнаружении новенькой вредной программы для Linux — Linux.Hanthie. По итогам проведенного изучения получилось выяснить, чисто настоящий троянец (также популярен сколько хэнд of Thief) владеет закончить чуть-только машистым вредным функционалом, однако так что в силах хоронить от антивирусов свое наличность в системе.

На нынешний денек заданная вредная программа использует немалый известностью на подпольных хакерских форумах, где-либо преступники интенсивно продают ее. Linux.Hanthie позиционируется сколько бот класса FormGrabber так что BackDoor для ОС Linux, имеющий механизмы антиобнаружения так что скрытую автозагрузку, закончить требующий привилегий администратора, использующий стойкое шифрование для коммуникации с панелью управления (256 бит). эластичная настройка бота исполняется сквозь файл конфигурации.

После пуска троянец перекрывает доступ к адресам, с коих исполняется инсталляция обновлений либо загрузка антивирусного ПО. В троянце предназначены деньги противодействия анализу так что запуску в отделенных так что виртуальных окружениях.

Текущая версия Linux.Hanthie закончить владеет какими-либо механизмами самокопирования, соответственно разработчики троянца в своих сообщениях на хакерских форумах советуют разносить его с внедрением способов общественной инженерии. Троянец возможно трудиться в разных дистрибутивах Linux, в книжка числе Ubuntu, Fedora так что Debian, так что поддерживает 8 типов десктоп-окружений, например, GNOME так что KDE.

После пуска вредной программы инсталлятор троянца инспектирует личное наличность в системе, а уж уж уж уж тоже определяет, закончить запущена ли на персональном компьютере виртуальная машина. дальше Linux.Hanthie монтируется в системе способом создания файла автозапуска так что размещения личной клоны в одной из папок на диске. В папке для сохранения временных файлов троянец созидает исполняемую библиотеку, коию пробует встроить во шабаш запущенные процессы. в случае если вредной программе закончить удается встроить личную библиотеку в который процесс, Linux.Hanthie запускает из временной папки новоиспеченный исполняемый файл, отвечающий чуть-только за взаимодействие с управляющим сервером, а уж уж уж уж начальную копию удаляет.

Троянец имеет в своем составе чуток активных модулей: в одном из них, представленном в облике библиотеки, реализован главной вредный функционал. С внедрением предоставленного модуля троянец встраивает граббер в известные браузеры мозилла Firefox, гугл Chrome, Opera, а уж уж уж уж тоже действенные чуть-только под Linux браузеры Chromium так что Ice Weasel. Граббер разрешает перехватывать HTTP так что HTTPS-сессии так что отправлять злодеям заданные из заполняемых юзерам экранных форм. тоже заданная книгохранилище продает опции бэкдора, при конкретно в этом трафик при обмене заданными с управляющим сервером шифруется.

Троянец в силах исполнить чуток команд, в частности, по команде socks он запускает на инфицированной машине прокси-сервер, по команде bind запускает скрипт для прослушивания порта, по команде bc подключается к удаленному серверу, по команде update загружает так что устанавливает освеженную версию троянца, а уж уж уж уж по команде rm — самоудаляется. При попытке воззвания к запущенным скриптам bind либо bc троянец выводит в командной консоли надлежащее сообщение:

screenshot

Еще одинешенек модуль разрешает троянцу реализовывать куцый функционал без исполнения инжектов.

Сигнатура предоставленного троянца добавлена в вирусные базы, он счастливо определяется так что удаляется из инфицированной системы антивирусным ПО Dr.Web.

НОВОЕ НА САЙТЕ

25 марта 2024 годы

С 1 апреля текущего годы «Доктор Веб» обновляет цена лицензий на употребление ряда программных продуктов Dr.Web для индивидуального употребления эдак как для бизнеса эдак как госучреждений. помимо того, вводятся некие перемены в правилах лицензирования.

Так, будут повышены цены на Dr.Web Security Space для обороны 1... Антивирус Dr.Web

22 марта 2024 года

Комплексное решение для обороны любых объектов корпоративной сети, испытания почтового так что интернет-трафиков Dr.Web Enterprise Security Suite прошло инспекционный контроль ФСТЭК России.

Успешное прохождение испытаний доказано сертификатом соответствия №3509, реальным перед началом 27 января 2029 года.

С мо... Антивирус Dr.Web

Скачать в PDF Горячая лента угроз и предупреждений о вирусной опасности!

Скачать в PDF Вирусные новости

6 марта 2024 года

«Доктор Веб» информирует о масштабном обновлении продуктов Dr.Web 12.0 так что 13.0 с централизованным управлением для бизнеса, а уж а а также продукта для обороны АСУ ТП Dr.Web Industrial.Теперь системным админам доступны новейшие способности управления системой защиты, в то период как-либо выявленные ошибки были исправлены.... Антивирус Dr.Web