ГлавнаяНовостиСтатьиВендорыКаталог  +7 (495) 231-0169 © 

[ Список статей ] ...


ITSec.ru. Watchguard: во втором квартале 2020 года число атак уменьшилось, но вредоносное ПО стало агрессивнее

CISO CLUB. Ультимативный гайд по электронным подписям от УЦ ITCOM

WhatsBetter.ru. Лучшие антивирусы 2020

WhatsBetter.ru. Лучшие браузеры 2020

WhatsBetter.ru. Какая операционная система лучше?

WhatsBetter.ru. Что лучше: Windows 10, 8, 7, Vista или XP?

WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

Илья Шабанов. Названы самые комфортные в работе антивирусы

Мария «Mifrill» Нефедова. Облава: о том, как спецслужбы ловят дропов, и не только

Алексей Кадиев. Ботнет Bredolab. Конец истории?

Юрий Ильин. «Добровольные» DDoS-атаки: комментарии экспертов

Берд Киви. За кулисами кибервойны

Берд Киви. Шифровальщик устал...

Chad Perrin. Эффективное уничтожение данных на жестких дисках и других накопителях

Н.Н. Федотов. Риски системного администратора: семь и еще один способ подвести сисадмина под монастырь

Берд Киви. Ближе к железу

Microsoft TechNet. Десять непреложных законов безопасности

Анатолий Темкин. Как карта ляжет

Андрей Сидельников. Правообладатели не придумали, как делить болваночный сбор

Антон Носик. Лохотрон в зоне .рф

Максим Букин. Лжевирусы атакуют

habr.ru. Взгляд на современные системы защиты от спама веб-форм

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 Курт Баумгартнер 

  

Фальшивые антивирусы: актуальные тенденции


  Группы киберпреступников, распространяющие фальшивые антивирусы, в последние годы столкнулись со значительными трудностями, однако история на этом не заканчивается...

  Некоторые преступные группы были арестованы. Деятельность других, включая разработку кода и поддержку колл-центров, была пресечена. Какие-то группы соблазнились легкой добычей, привлекли к себе слишком много внимания и в результате были вынуждены оставить свои ботнеты. В ряде случаев киберпреступникам не хватило навыков и умений по разработке противо-антивирусных технологий, черной поисковой оптимизации и распространению зловредов. Они не поспевали за эволюцией антивирусных технологий, не прикладывали к этому достаточных усилий, и в результате сошли со сцены.

  Тем не менее, некоторые из выживших группировок, распространяющих фальшивые антивирусы, подняли ставки и теперь агрессивно развивают труднодетектируемые полиморфные установщики и трудноудаляемые вспомогательные компоненты. В число последних входят и только начинающие появляться «в дикой среде» по-настоящему опасные 64-разрядные вредоносные компоненты. С другой стороны, сам лже-антивирус по своей сути практически не изменился. Значительные силы тратятся на разработку технологий уклонения от обнаружения антивирусными решениями и «развод» пользователя с целью заставить его заплатить за фальшивый продукт. В качестве примера можно привести такие вспомогательные и руткит-технологии, как TDSS с его крайней сложностью или более свежий Black Internet (также известный как Trojan-Clicker.Win32.Cycler). Эти сложные MBR-вирусы, заражающие главную загрузочную запись диска, и другие руткит-компоненты предназначены для того, чтобы избежать удаления с компьютера пользователя лже-антивирусов, приносящих их создателям деньги. Все говорит о том, что для разработки подобных зловредов предпринимаются значительные усилия.

  В то же время, стандартные пакеты эксплойтов, используемые различными киберпреступными группировками для распространения своих фальшивых антивирусов, не усложнились. Налицо обратная тенденция: из интернет-канала сбыта исчезли более сложные пакеты экплойтов, а более простые, типа Eleonore и Phoenix, остались. В большинстве случаев шелл-код, технологии эксплуатации уязвимостей, а также шифрования и уклонения от обнаружения антивирусами практически не развиваются. Для распространения зловредов чаще всего используются уже существующие технологии и методы социальной инженерии, а новые технологии не применяются. По сути, происходит злоупотребление доверием пользователя, которого обманом заставляют запустить на своем компьютере не заслуживающий доверия исполняемый файл.

  О чем это говорит? Для доставки зловредов на компьютеры пользователей по-прежнему эффективны простые и недорогие методы. Отсюда можно сделать ряд выводов:

  1. Конечные пользователи не устанавливают обновления безопасности.
  2. Уязвимости недостаточно быстро обнаруживаются и/или закрываются, либо утилиты автоматического обновления применяются недостаточно оперативно.
  3. Многие пользователи все еще работают без эффективной защиты.

  Почему так получается? Причин множество, и их можно обсуждать. Возможно, пользователи сознательно не хотят тратить время и усилия на установку/обновление систем безопасности, считая, что риск заражения или взлома незначителен (хотя при общении с владельцами зараженных компьютеров рациональность их решения уже не кажется такой убедительной). Проблема также может заключаться в сетевых политиках, устанавливаемых IT-департаментами предприятий. Также нельзя исключить случаи недостаточного понимания необходимости установки систем безопасности и незнания того, как поддерживать и обновлять ПО. И наконец, может оказаться, что некоторые системы безопасности не вполне справляются с задачей защиты компьютеров от вредоносных программ. Вероятнее всего, мы имеем дело с сочетанием всех этих факторов.

  Киберпреступники усложняют свои зловреды только в тех случаях, когда им это выгодно. Поэтому усложнение таких вспомогательных инструментов, как руткит-компоненты, при одновременном упрощении способов доставки зловредов показывает, что наиболее эффективные способы предотвращения drive-by загрузок вредоносного ПО и распространения зловредов по-прежнему используются недостаточно широко.

  Плод, висящий ниже других, почти наверняка будет сорван первым.

Источник: securelist  

Рейтинг @Mail.ru
Rambler''s Top100