Теги → руткиты
Быстрый переход

Создан прототип руткита, работающего на графическом процессоре

Группа исследователей создала экспериментальный руткит Jellyfish, который использует графический процессор (GPU) и память видеокарты вместо центрального процессора (CPU) и системной памяти.

По заявлениям авторов программы, подобные зловреды могут быть в разы опаснее традиционных вирусов, троянов и бэкдоров. Прежде всего, пока попросту не существует комплексных решений для детектирования вредоносного ПО, работающего на видеокартах. Кроме того, программы вроде Jellyfish смогут сканировать системную память в обход центрального процессора, используя средства DMA (Direct Memory Access). А это сильно затруднит отслеживание их активности. Наконец, Jellyfish может оставаться в памяти GPU даже после перезагрузки компьютера.

Эксплуатация GPU вместо CPU выгодна киберпреступникам и ещё по одной причине. Графические чипы при выполнении определённых операций обеспечивают значительно более высокую производительность по сравнению с центральными процессорами. 

John Fedele/Blend Images/Corbis

John Fedele/Blend Images/Corbis

Прототип руткита использует OpenCL API, а потому требует наличия драйверов OpenCL в атакуемой системе. В текущем виде Jellyfish представляет собой концептуальную разработку, однако даже в таком виде руткит позволяет понять, насколько опасными могут быть GPU-зловреды. Прототипы Jellyfish создаются платформ Windows, Linux и Mac OS X.

Исследователи также создали экспериментальную программу Demon для отслеживания клавиатурного ввода, также полагающуюся на графический процессор. 

HP, Lenovo и Dell закрывают уязвимости UEFI

Технология UEFI, которая в наши дни активно продвигается на смену классическому BIOS, имеет ряд неоспоримых достоинств, но у неё есть и серьёзные недостатки. К числу последних можно отнести сложность и комплексность кода, ведь UEFI, по сути, представляет собой мини-ОС. А сложного кода без ошибок не бывает: рано или поздно в нём обязательно обнаруживаются «дыры». А вслед за «дырами» — те, кто планирует ими воспользоваться в своих целях, почти всегда вредоносных. Беда в том, что UEFI имеет доступ ко всем компонентам системы, а сама она прописана во флеш-памяти системной платы, так что вредоносный код, попавший в UEFI, может принести немало вреда, оставаясь крайне сложным объектом не то что для лечения, а даже для простого обнаружения.

Намного красивее скучного бело-синего экрана BIOS, не так ли?

Намного красивее скучного бело-синего экрана BIOS, не так ли?

Исследователи из MITRE Corporation обнаружили серьёзные уязвимости в механизме капсульного обновления (capsule update), реализованном в эталонной версии UEFI EDK2. Причём найдены эти уязвимости были ещё в августе этого года. Из-за ошибок, допущенных в реализации этой версии UEFI, стали возможны два типа атаки: «Buffer overflow in Capsule Processing Phase» (CVE-2014-4859) и «Write-what-where condition in Coalescing Phase» (CVE-2014-4860). В обоих случаях была возможна инъекция вредоносного кода, имеющего привилегии уровня системного ПО, что позволяло создавать практически не поддающиеся удалению руткиты, спокойно обходящие Secure Boot или выполняющие различные вредоносные действия без ведома пользователя. Ирония судьбы: система, созданная для повышения уровня информационной безопасности, на самом деле понизила его, и весьма серьёзно.

Уже существуют специализированные антивирусные средства для UEFI

Уже существуют специализированные антивирусные средства для UEFI

К счастью, эталонная реализация UEFI была исправлена, за этим последовал ряд закрывающих уязвимость обновлений от Intel, а вот крупные производители готовых систем, такие как HP, Dell или Lenovo, отреагировали только сейчас. Компания HP называет около 1500 продуктов, подверженных этой проблеме, и предлагает соответствующие обновления. Системы Lenovo, по словам компании, уязвимы не в столь серьёзных количествах. Для ряда решений уже доступно исправление, информацию можно получить на официальном веб-сайте Lenovo. Dell в своих клиентских решениях не использует скомпрометированный код UEFI, хотя в пассивном виде в BIOS он может присутствовать. Компания всё же рекомендует обновление BIOS в качестве меры, гарантированно закрывающей потенциальную «дыру». Сообщений на аналогичную тему от Apple, IBM, NEC, Sony и Toshiba пока не поступало, так что пока не известно, насколько выпускаемые ими системы подвержены вышеописанной опасности.

«Лаборатория Касперского» запатентовала технологию обнаружения руткитов

Патентное ведомство США (USPTO) выдало «Лаборатории Касперского» патент №8,677,492 на технологию «Детектирования скрытых объектов в компьютерной системе» (Detection of hidden objects in a computer system). Речь идёт о методе обнаружения присутствия руткитов — особых программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), предназначенных для обеспечения маскировки объектов, контроля событий в системе, скрытого сбора данных и пр.

welivesecurity.com

welivesecurity.com

Злоумышленники используют руткиты, чтобы скрыть присутствие вредоносных программ от защитных решений. Для этого руткит под видом легитимного драйвера интегрируется с ядром ОС, перехватывает вызовы системных функций от приложений и модифицирует результаты их выполнения, удаляя упоминания файлов и процессов, связанных с трояном. Это позволяет скрыть присутствие вредоносного кода — опасная программа становится «невидимой» для пользователя и других приложений.

Патент, полученный «Лабораторией Касперского», описывает вспомогательный модуль, дублирующий критически важные функции ядра системы: работу с файлами, контроль процессов, чтение записей системного реестра и т. д. Ключевой задачей модуля является обнаружение объектов, замаскированных руткитом. Для этого защитное решение запрашивает список файлов или запущенных процессов через основное ядро и параллельно дублирует запрос через вспомогательный модуль. Сравнение полученных ответов позволяет выявить объекты, которые отсутствуют в списке от ядра ОС. Любое несовпадение является признаком наличия руткита, и защитное решение может предпринять действия, чтобы обезвредить скрываемые объекты.

quirkeysolutions.com

quirkeysolutions.com

Вспомогательное ядро может быть использовано в разных режимах. На домашнем компьютере поводом для проверки может служить сигнал от других защитных подсистем о подозрительном поведении объекта, что позволит экономить ресурсы. В корпоративном окружении, требующем более высокого уровня безопасности, контроль может быть постоянным. В обоих случаях запатентованный механизм обеспечивает эффективное выявление объектов, скрытых в системе, позволяя справляться с самыми опасными атаками. 

Malwarebytes Anti-Malware 1.75.0.1300: очистка ПК от вредоносных программ

Доступна новая версия Malwarebytes Anti-Malware — популярного приложения для обнаружения и удаления вредоносных программ с компьютера. Приложение борется с троянами, руткитами, шпионскими модулями и прочими образцами вредоносного кода. Anti-Malware предлагает несколько режимов сканирования, в том числе проверку памяти и объектов автозапуска.

Коммерческая версия приложения дополнительно предлагает защиту в реальном времени, эвристический анализатор, способный защитить от новых атак, модуль для блокирования вредоносных сайтов и проверку по составленному пользователем расписанию.

В последней версии добавлено сканирование файлов внутри архивов.

Разработчик: Malwarebytes Corporation
Операционная система: Windows All
Размер 10,1 Мбайт
Скачать можно отсюда.

Материалы по теме:

Источник:

Malwarebytes Anti-Rootkit 1.1.0 Beta: новое средство для защиты от руткитов

Компания Malwarebytes Corporation, известная своей программой Anti-Malware, выпустила новый инструмент для защиты компьютера. На этот раз пользователям предлагается защищаться от руткитов. Anti-Rootkit, который пока что доступен в виде бета-версии, сделан в виде пошагового мастера. На первом этапе можно обновить базы программы, на втором — просканировать систему и, наконец, на третьем — очистить ее от обнаруженных угроз. Кроме этого, в состав приложения входит средство для восстановления некоторых функций системы (доступ к Интернету, брандмауэр Windows и пр.), которые могли быть отключены в результате заражения.

Разработчик: Malwarebytes Corporation
Распространяется: бесплатно
Операционная система: Windows All
Размер 12,4 Мбайт
Скачать можно отсюда.

Материалы по теме:

Источник:

Malwarebytes Anti-Malware 1.65.1.1000: очистка ПК от вредоносных программ

Доступна новая версия Malwarebytes Anti-Malware — популярного приложения для обнаружения и удаления вредоносных программ с компьютера. Приложение борется с троянами, руткитами, шпионскими модулями и прочими образцами вредоносного кода. Anti-Malware предлагает несколько режимов сканирования, в том числе проверку памяти и объектов автозапуска.

Коммерческая версия приложения дополнительно предлагает защиту в реальном времени, эвристический анализатор, способный защитить от новых атак, модуль для блокирования вредоносных сайтов и проверку по составленному пользователем расписанию.

В последней версии  исправлены ошибки, связанные с некорректным сканирвоанием и с запуском службы MBAMService.

Разработчик: Malwarebytes Corporation
Операционная система: Windows All
Размер 10,1 Мбайт
Скачать можно отсюда.

Материалы по теме:

Источник:

McAfee RootkitRemover 0.8.1: удаление руткитов ZeroAccess и TDSS

Компания McAfee выпустила новую небольшую утилиту для обеспечения безопасности компьютера. Приложение RootkitRemover предназначено для удаления сложных руткитов и связанных с ними вредоносных модулей. В настоящее время программа может определять и удалять семейства руткитов ZeroAccess и TDSS, однако McAfee Labs планирует добавить поддержку и других семейств в будущих версиях.

 

 

Разработчик: McAfee
Распространяется: беcплатно
Операционная система: Windows All
Размер 466 Кбайт
Скачать можно отсюда.

Материалы по теме:

Источник:

ThreatFire 4.10.1: в дополнение к антивирусу

Вышла новая версия программы, предназначенной для защиты компьютера от разного рода вредоносных модулей – троянов, шпионов, руткитов, кейлоггеров и т.д. Во время работы программа использует не базу записей о вредоносных приложениях, а специальную технологию, позволяющую определять вредителя по его поведению. ThreatFire постоянно следит за активностью разных приложений и оповещает пользователя, если находит поведение какого-нибудь из них подозрительным. Работа программы происходит в фоновом режиме и никак не мешает основным занятиям пользователя. ThreatFire может служить хорошим дополнением к основному антивирусу.
threatfire
ThreatFire распространяется в двух версиях: бесплатной и коммерческой. Вторая отличается наличием встроенного антивируса, расширенными функциями настройки и возможностью выполнять сканирование всей системы в ручном режиме. Разработчик: PC Tools
Операционная система: Windows All
Скачать можно отсюда. Материалы по теме: - Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- В дополнение к антивирусу - утилиты для защиты от шпионов.

Обзор вирусных событий 2009 года от компании "Доктор Веб"

Компания "Доктор Веб" представила обзор вирусных событий уходящего года. Больше всего загадок разработчикам антивирусных технологий Dr.Web в 2009 году задали авторы новых руткитов. Наиболее заметными вредоносными программами данного класса стало семейство BackDoor.Tdss (название приводится по классификации Dr.Web). Интересно, что новые модификации BackDoor.Tdss злоумышленники стали оснащать инструментами сокрытия в системе. К примеру, специально создаваемый зашифрованный виртуальный диск и механизм обхода некоторых типов поведенческих анализаторов.
ChristmasWorm
В последние месяцы уходящего года существенно увеличилась активность распространения лжеантивирусов, которые по классификации Dr.Web называются Trojan.Fakealert. Эти программы при запуске внешне похожи на настоящие антивирусные программы, но не являются таковыми. Цель создателей лжеантивирусов - завлечь пользователя на специально подготовленный вредоносный сайт, на котором он должен приобрести якобы полную версию продукта. Много бед в 2009 году принесли пользователям и блокировщики Windows – вредоносные программы, которые по классификации Dr.Web называются Trojan.Winlock. Эти вредоносные программы при старте Windows выводят поверх всех окон сообщение о том, что доступ в систему заблокирован, и для того, чтобы данное окно исчезло, необходимо отправить платное СМС-сообщение. Ещё одной модификацией троянцев-вымогателей является семейство вредоносных программ, устанавливаемых в качестве дополнения к используемому интернет-браузеру. В результате установки появляется окно, которое может занимать до половины полезной площади окна браузера. Для удаления этого окна требуется отправить СМС-сообщение. Очередной проблемой, с которой столкнулись многие пользователи в 2009 году, стали шифровальщики документов – вредоносные программы, которые определяются антивирусом Dr.Web как различные модификации Trojan.Encoder. Данная вредоносная программа, проникая в систему, шифрует с помощью определённого алгоритма документы пользователей, не затрагивая файлы, относящиеся к операционной системе. После этого на рабочий стол выводится уведомление о том, что данные пользователя зашифрованы, а для восстановления необходимо перечислить злоумышленникам определённую сумму денег. Полную версию обзора можно прочитать здесь. Материалы по теме: - Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Антивирус Касперского и его конкуренты.

ThreatFire 4.7.0.9: в дополнение к антивирусу

Вышла новая версия программы, предназначенной для защиты компьютера от разного рода вредоносных модулей – троянов, шпионов, руткитов, кейлоггеров и т.д. Во время работы программа использует не базу записей о вредоносных приложениях, а специальную технологию, позволяющую определять вредителя по его поведению. ThreatFire постоянно следит за активностью разных приложений и оповещает пользователя, если находит поведение какого-нибудь из них подозрительным. Работа программы происходит в фоновом режиме и никак не мешает основным занятиям пользователя. ThreatFire может служить хорошим дополнением к основному антивирусу.
threatfire
ThreatFire распространяется в двух версиях: бесплатной и коммерческой. Вторая отличается наличием встроенного антивируса, расширенными функциями настройки и возможностью выполнять сканирование всей системы в ручном режиме. Разработчик: PC Tools
Операционная система: Windows All
Скачать можно отсюда. Материалы по теме: - Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Dr.WEB для Windows - Антивирус + Антиспам.

ThreatFire 4.6: в дополнение к антивирусу

Вышла новая версия программы, предназначенной для защиты компьютера от разного рода вредоносных модулей – троянов, шпионов, руткитов, кейлоггеров и т.д. Во время работы программа использует не базу записей о вредоносных приложениях, а специальную технологию, позволяющую определять вредителя по его поведению. ThreatFire постоянно следит за активностью разных приложений и оповещает пользователя, если находит поведение какого-нибудь из них подозрительным. Работа программы происходит в фоновом режиме и никак не мешает основным занятиям пользователя. ThreatFire может служить хорошим дополнением к основному антивирусу.
threatfire
ThreatFire распространяется в двух версиях: бесплатной и коммерческой. Вторая отличается наличием встроенного антивируса, расширенными функциями настройки и возможностью выполнять сканирование всей системы в ручном режиме. Разработчик: PC Tools
Операционная система: Windows All
Скачать можно отсюда. Материалы по теме: - Kaspersky Internet Security 2010 - отправьте вирусы в песочницу;
- Dr.WEB для Windows - Антивирус + Антиспам.

ThreatFire 4.5.0.20: в дополнение к антивирусу

Вышла новая версия программы, предназначенной для защиты компьютера от разного рода вредоносных модулей – троянов, шпионов, руткитов, кейлоггеров и т.д. Во время работы программа использует не базу записей о вредоносных приложениях, а специальную технологию, позволяющую определять вредителя по его поведению. ThreatFire постоянно следит за активностью разных приложений и оповещает пользователя, если находит поведение какого-нибудь из них подозрительным. Работа программы происходит в фоновом режиме и никак не мешает основным занятиям пользователя. ThreatFire может служить хорошим дополнением к основному антивирусу.
threatfire
ThreatFire распространяется в двух версиях: бесплатной и коммерческой. Вторая отличается наличием встроенного антивируса, расширенными функциями настройки и возможностью выполнять сканирование всей системы в ручном режиме. Разработчик: PC Tools
Операционная система: Windows 2000/XP/Vista
Скачать можно отсюда. Материалы по теме: - Kaspersky Internet Security 2009: новый щит от современных угроз;
- Dr.WEB для Windows - Антивирус + Антиспам.

ThreatFire 4.5: в дополнение к антивирусу

Вышла новая версия программы, предназначенной для защиты компьютера от разного рода вредоносных модулей – троянов, шпионов, руткитов, кейлоггеров и т.д. Во время работы программа использует не базу записей о вредоносных приложениях, а специальную технологию, позволяющую определять вредителя по его поведению. ThreatFire постоянно следит за активностью разных приложений и оповещает пользователя, если находит поведение какого-нибудь из них подозрительным. Работа программы происходит в фоновом режиме и никак не мешает основным занятиям пользователя. ThreatFire может служить хорошим дополнением к основному антивирусу.
threatfire
ThreatFire распространяется в двух версиях: бесплатной и коммерческой. Вторая отличается наличием встроенного антивируса, расширенными функциями настройки и возможностью выполнять сканирование всей системы в ручном режиме. Разработчик: PC Tools
Операционная система: Windows 2000/XP/Vista
Скачать можно отсюда. Материалы по теме: - Kaspersky Internet Security 2009: новый щит от современных угроз;
- Dr.WEB для Windows - Антивирус + Антиспам.

Новая модификация BackDoor.Tdss отключает антивирусы

Компания «Доктор Веб» информирует о появлении новой модификации бэкдора, являющегося одним из компонентов крупной и активно развивающейся бот-сети Tdss. В компонентах вредоносных программ, используемых для того, чтобы заставить бот-сеть Tdss работать, применяется множество современных методов защиты от обнаружения, а также техник, затрудняющих анализ вредоносных файлов. Среди них, в частности, встречаются полиморфные упаковщики, руткит-методы скрытия в системе. Так, в арсенале нового бэкдора, найденного специалистами компании «Доктор Веб», есть функция, позволяющая отключать файловые мониторы антивирусов. Существуют также методы скрытия от обнаружения некоторыми популярными антируткитами.
danger
Новые модификации BackDoor.Tdss могут загружать другие вредоносные модули с заранее подготовленных серверов. После этого бэкдор либо запускает их на исполнение, либо внедряет в память системных процессов. Распространяется BackDoor.Tdss несколькими довольно популярными в последнее время способами – с использованием эксплуатации ряда уязвимостей Windows и в виде якобы кодеков для просмотра видеофайлов. Компания «Доктор Веб» в связи с широким распространением вредоносных программ, использующих для проникновения известные уязвимости ОС семейства Windows, рекомендует всем пользователям своевременно устанавливать обновления на используемую систему. Также рекомендуется использовать антивирус с автоматическим обновлением не только вирусных баз, но и остальных компонентов антивируса для более эффективного противодействия современным интернет-угрозам, использующим новые методы скрытия в системе. Материалы по теме: - Dr.WEB для Windows - Антивирус + Антиспам.

ThreatFire 4.1.0.25: в дополнение к антивирусу

Вышла новая версия программы, предназначенной для защиты компьютера от разного рода вредоносных модулей – троянов, шпионов, руткитов, кейлоггеров и т.д. Во время работы программа использует не базу записей о вредоносных приложениях, а специальную технологию, позволяющую определять вредителя по его поведению. ThreatFire постоянно следит за активностью разных приложений и оповещает пользователя, если находит поведение какого-нибудь из них подозрительным. Работа программы происходит в фоновом режиме и никак не мешает основным занятиям пользователя. ThreatFire может служить хорошим дополнением к основному антивирусу.
threatfire
ThreatFire распространяется в двух версиях: бесплатной и коммерческой. Вторая отличается наличием встроенного антивируса, расширенными функциями настройки и возможностью выполнять сканирование всей системы в ручном режиме. Разработчик: PC Tools
Операционная система: Windows 2000/XP/Vista
Скачать можно отсюда. Материалы по теме: - Kaspersky Internet Security 2009: новый щит от современных угроз;
- Dr.WEB для Windows - Антивирус + Антиспам.

window-new
Soft
Hard
Тренды 🔥