Может ли вирус быть в драйверах
Прошу помочь разобраться с комбинированным вирусом, возможно полиморфом.
История началась с произвольных выключений и перезагрузок компьютера(изначально перезагружался через 5-10-15 секунд после выключения пользователем).
Начал искать проблему в железе.
Уделив на это почти неделю, ничего серьезного не нашел кроме двух BSOD'ов.
Дампы(увы, удалил) указывали на конфликт модулей внутри оперативки (ntdll.dll, либо kernel32.dll и ntdll.dll).
Резетнул БИОС и все вроде стало хорошо, но не тут-то было. Вирус всё это время находился в драйверах с ключевым словом 'USB'.Отключил их, и тут же система выдала BSOD с ошибкой 0x000007b. Вернул дрова в исходное состояние и решил снести винду. Сегодня переустановил винду, настроил, поставил Outpost Firewall Pro и уже предвкушая свой серфинг по инету, устанавливал дрова для LAN-контроллера. Всё сделал, к инету был доступ и тут же решил сменить пароль на роутере(HG8245H), а мне в ответ - неправильное имя пользователя или пароль.
И тут я отчаялся.
Резетнул роутер простым нажатием, нажатием при отключении от питания, при отключении питания и последовательной его подачей через секунд 20-30(все это время зажимая кнопку резет). Ничего не помогло - дефолтные данные для входа, данные ростелекомом не подходят. Были мысли, что вирус мог перепрошить роутер - но это ведь маловероятно?
Также замечал странные следы использования(Game explorer, rdpclip.exe, mctadmin.exe, Windows Media Player, еще что-то) очищая систему софтом CCleaner или HJT. В следующий раз залью скриншоты из CCleaner.
Привет.
Вложения
Qresminh
Новый пользователь
Qresminh
Новый пользователь
Подозреваю, что проблема отпадет сама собой при полном вайпе и последующей установке оригинальной 64ч семерки. Почему? Пруф в прикрепленных - автор моей сборки засветился даже на лурке, где его так лестно увековечили. Это полный трындец, ведь я пользуюсь этой осью уже года 3-4. Надо обязательно сносить.
Остается решить проблему с роутером. Никак не могу зайти в интерфейс. Думается мне тут 2 варианта - либо троян блокирует нормальный доступ к нему, либо же вирус перепрошил роутер. Маловероятно, что троян смог бы реализовать второй вариант. Но все же лучше быть готовым во всеоружии.
Вчера не нашел прошивку на HG8245H. Не знаю, может плохо искал. Выделю на это еще какое-то время.
З.Ы. Подскажите, пожалуйста - какие признаки заражения BIOS'а вирусом, как его оттуда выселить без существенных финансовых затрат?
Установив операционную систему Microsoft Windows достаточно часто встает вопрос: где взять драйвера для имеющегося оборудования?
Microsoft Windows 10, в большинстве случаев, этот вопрос умеет решать сама. А что делать пользователям других операционных систем семейства Windows ?
Многие пользуются различными DriverPack, с одной стороны, довольно удобный программный продукт - запустил, нажал кнопку "установить" и все готово. Но, у такого рода решений есть одно довольно существенное НО. Заключается оно в том, что драйвера запакованные в эти самые драйверпаки не всегда действительно подходят к Вашему оборудованию, устройств очень много. Собирать драйвера на каждое из устройств довольно тяжело, поэтому в драйверпаки собирают универсальные драйвера, которые подходят под целые линейки устройств.
Условно говоря, Вы хотите посадить у себя в огороде помидоры "Бычье сердце", приходите в магазин, спрашиваете у продавца семена именно этого сорта помидор, а продавец дает Вам семена каких-то других помидор, уверяя что это именно те самые, нужные Вам. Т.е. вроде бы как условие выполнено - Вы получили помидоры, правда немного не те что хотели, либо совсем не те что хотели. Именно так может случиться и при установке драйвера с драйверпака. Следующее включение компьютера может завершиться зависанием загрузки, потому что драйверпак установил драйвер похожий, но всё же не тот что было необходимо.
Подобного рода программы зачастую предлагают заодно установить антивирус, различные чистилки системы, оптимизаторы и прочие дополнительные программные продукты. Фактически, сразу после установки операционной системы изгадив её разным мусором.
Не будем скрывать, множество пользователей, имея легальную операционную систему, купленную вместе с компьютером или ноутбуком, довольно часто переустанавливает её на различные сборки скачанные из сети интернет. Происхождение этих сборок крайне сомнительно, и так же как и драйверпак, в эти сборки бывают вшиты разные программы: антивирусы, оптимизаторы и т.д. устанавливаемые в автоматическом режиме, при установке этой самой сборки.
И вот, представьте, Вы установили операционную систему из сборки, он Вам установил всяческих оптимизаторов, затем скачали драйверпак, запустили его и с его помощью установили еще множество мусорного программного обеспечения. Как после этого будет работать Ваш компьютер?
Более того, существует множество страничек-фейков, где вместо "качественного" софта (хотя пиратский софт априори сложно назвать качественным, и в данном контексте имеется ввиду сборка Windows), можно скачать завирусованное ПО.
Устанавливать драйвера наиболее правильно, используя либо установочный диск поставляемый вместе с Вашей техникой при покупке. Если у Вас нет DVD-привода, предпочтительнее скачивать необходимый драйвер с сайта производителя оборудования.
Посмотрите в документах, выданных при покупке - в большинстве случаев там указана, конкретная модель устройства приобретенного Вами. Так же, достаточно часто указана ссылка на официальный сайт изготовителя, либо телефон технической поддержки.
Например, Вы приобрели ноутбук Asus VivoBook S551LA, после сбоя жесткого диска переустановили операционную систему. Заходите на официальный сайт Asus, в меню поиск, вводите номер модели своего ноутубка и заходите на страницу поддержи продукта.
Видимо навсегда уходят времена, когда мы не ждали подвоха от полюбившихся утилит, к которым уже успели привыкнуть. Была у меня одна такая палочка-выручалочка для автоматического поиска и установки драйверов под Windows и называлась она DriverPack Solution. Вот только сейчас, этот мегаудобный инструмент, позволявший существенно сократить время на поиск подходящих драйверов, окончательно скатился, перейдя на тёмную сторону.
Начиная с 15-ой версии, разработчик начал постепенно набивать сборку всякими рекламными модулями, телеметрией, и прочей дрянью. Вместе с драйверами, тебе до кучи прилетало несколько браузеров, антивирус, парочка архиваторов и ещё чего-то по мелочи.
Не скажу что это, прямо, совсем барахло, но зачем навязывать установку программ, которых я не заказывал? Отключить это безобразие, выбрав только нужные драйвера (далеко не всегда требуется всё, что предлагается утилитой) можно было перейдя в режим эксперта. Однако, не опытные пользователи даже не подозревают что так можно делать, и получают весь набор от автора DriverPack.
Все эти программы появились в сборке не просто так и, полагаю, автору перечисляется какое-то вознаграждение за из установку. И ладно, если только за установку и в самих программах не зашито ещё что-то более неприятное, ведь мы не знаем откуда, на самом деле, берутся их дистрибутивы. А сомнения такие появляются после попытки удаления ещё одного интересного приложения DriverPack Cloud.
Что такое DriverPack Cloud и как его удалить с компьютера
Вот что говорится на сайте разработчика о DriverPack Cloud:
DriverPack Cloud является новым продуктом от команды DriverPack, предназначенным для повышения производительности компьютера без каких-то дополнительных трат или апргейда «железа» вашего ПК. Не удовлетворены скоростью работы CS: GO или Dota 2 на своём компьютере? Попробуйте DriverPack Cloud!
Слушайте, ну прямо молочные реки и кисельные берега обещают. Неужели такое возможно? И да и нет. да - возможно, нет - не бесплатно. Если упростить по максимуму, то все вычисления будут производиться в облачном сервисе, а вам только передаваться готовая картинка.
С производительностью всё понятно, халявы не ждите, имеется гораздо более подозрительный функционал. Например, как пишут на сайте, DriverPack Cloud постоянно следит за состоянием драйверов и подгружает важные обновления, а также позволяет находить и удалять потенциально вредоносные программы, помогая вашему антивирусу. То есть, эта вся дребедень постоянно имеет полный доступ к вашим данным и работает на системном уровне.
Вы удивитесь, узнав насколько глубоко DriverPack Cloud запустил свои щупальца в вашу систему. И тут мы подходим к главному, что больше всего меня смутило в новом DriverPack Solution. Даже в режиме эксперта, если вы отказываетесь от установки и снимаете галочку с DriverPack Cloud, он всё равно ставится в вашу систему.
Но это ещё полбеды, данное приложение (DriverPack Cloud) не удаляется штатными средствами, пытаясь закрепиться где только возможно в системе, то есть ведёт себя как типичный троян.
Как удалить DriverPack Cloud
Итак, DriverPack Cloud плевать хотел на любые действия через штатную установку/удаление программ в Windows, однако вывести его всё-таки можно.
В сети можно найти советы использовать CCleaner, который сам не лучше, собирая информацию о пользователях, о чём я уже рассказывал ранее в статье CCleaner следит за тобой. На самом деле всё можно сделать штатными средствами Windows.
Первым делом останавливаем выполнение приложения cloud.exe в диспетчере задач (вызывается классической комбинацией Ctrl+Alt+Del, если кто не в теме). Таких процессов может быть несколько, прибить нужно все.
Далее запускаем редактор реестра командой regedit и через поиск в реестре находим и удаляем все упоминания "DriverPack Cloud".
Остаётся удалить созданные утилитой DriverPack Cloud файлы и каталоги с жёсткого диска. Кроме основного местоположения в каталоге C:/Program Files/ и чистки временных файлов, загляните в собственный пользовательский каталог (предварительно включив отображение скрытых файлов):
Выделенные на скриншотах каталоги подлежат безжалостному истреблению со всем содержимым.
Какой можно сделать вывод из всего сказанного? К сожалению, DriverPack Solution из удобного и простого инструмента превратился практически во вредоносную программу и рекомендовать его к использованию я бы не стал, особенно новичкам.
Лучше потратить чуть больше времени, скачивая драйвера с официального сайта производителя оборудования, но сэкономить кучу сил и нервов, потраченных на избавление от последствий применения данного универсального установщика. А ведь когда-то было хорошо.
Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.
Комментариев: 37
согласен - беда этой программы - именно полускрытная установка доп приложений - но если не полениться - их можно отключить в настройках при установке через меню эксперт. а вообще - переходите уже на SDI - весит он правда больше 20 Гб - но скачав раз - потом просто обновляетесь - флешка с такой программой выручит во многих ситуациях - когда нет интернета или он медленный - а тут все под рукой. и без лишней рекламы.
Скрины научись делать
Статья была бы хороша, если бы автор не поленился поискать замену пресловутому DRPS, и нашёл бы утилиту от профессионалов, - SDI (Snappy Driver Installer), которая ведёт себя прилично, не устанавливая ничего, кроме выбранных тобой драйверов!
Раньше пользовался SDI (Snappy Driver Installer), а с повсеместным внедрением десятки (Windows 10) вообще стали не нужны подобные программы. Чаще всего Windows 10 сама все оборудование определяет и скачивает драйвера.
никогда не доверял всяким драйвероустановщикам, т.к. давно знал об этом
есть прога uninstalltool которая сама ищет всё что осталось от прог в реестре и appdata после деинсталятора и предлагает удалить. так же есть портабл версии DPS с вырезанным контентом
я сам неделю вычищал этот драйвер пак с тремя переустановками виндус с нуля , прилипчатый как гонорея.
. с ужасом вспоминаю"танцы с бубном" на своейToshiba Qosmio..Несмотря на наличие на спорте и всех драйверов и TVAP, ставить их, в количестве >50 ти штук для WIN, удовольствие сомнительное..) Потом поставил UBUNTU MATE, встала на все устройства "из пакета", включая специфические. а потом и Винду снес. ))) И не жалею, вообще перестал думать о драйверах, обновлениях и прочей головной боли)
Давно использую SamDrivers, мне нравиться.
Правильная статья.Не так давно это программа накачала мне вирусов.благо антивирус вовремя заметил
Давно пользуюсь паком, как то не особо напрягает отключить лишнее при установке. Хотя может из-за того что часто пользуюсь уже привык и не замечаю. Дома 4 стационарных и 2 ноута, да и по работе тоже частенько. Сейчас заинтересовался, последний раз дрова недавно пак ставил, полез смотреть, ни чего лишнего нет. А вообще всё это от лени, надо флешку с дровами завести отдельную)
Как говорится, плохому тонцору, яйца мешают. Троянов и малварей в ДРПС нет. Вообще нужно понимать, что ты делаешь. Убрать галочки, где нужно. Или добавить. Так же, не устанавливать сразу все. Есть правило, сначала чипсет, перезагрузка. Звук, перезагрузка. Видео, перезагрузка и т.д. ДРПС клуд, если убрать галочку, не устанавливается. А в идеале качай с офф сайта и устанавливай.
Раньше постоянно пользовался, перестал после появления 10. Самый простой способ, это скачать дрова с оффсайта заранее)
Почему? У драйверов из пака периодически не бывает цифровой подписи, а отключить на начальных редакциях их проверку нельзя на 10 из за отсутствия групповых политик
Мдаа. DPS уже не тот((( его даже браузер отказывается скачивать!
Типичное нытье от системного администратора образца 2010х годов с главной методикой "далее-далее-готово".
Кто же драйвера ставит часто? Раз поставил стабильные версии и пусть работает годами.
Ставлю на новых машинах драйверы через DRP (десяток в месяц в среднем новых установок ОС на самом разном зоопарке рабочих станций) и, о ужас, у всех все нормально работает и на зловреды ни Касперский, ни ДРВеб, ни аваст, ни 360 не ругаются.
О боги, что я делаю не так?
после того как установила и программа сделала свои делишки у меня ноут полетел после перезагрузки вышел синий экран с надписями на анг. перезагрузила еще раз попросила система восстановления и все бесконечно загрузка файлов система не может выявить проблему раз 100 уже наверно. остается один выход переустанавливать а это все пароли утеряны программы да и короче геморрой.
Ради хохмы просканировал Malwarebytes, Emsisoft Emergency kit, Trojan killer, Combofix. Ничего не обнаружено. Как писал выше, нужно понимать что делаешь. А не пускать все на самотек, в авто режиме с настройками по умолчанию.
Делают этакие проги жадные подлецы мошенники. Oт таких уродов надо избавлять общество всем миром. Но рыночная экономика плодит их как тараканов. Предлагаю создать сообщество для борьбы с этим злом. Но потребуются средства для поиска вот таких нечестных людей, которые выросли на собственной жадности.
Вы скачиваете бесплатное приложение которое как вы сами выразились что экономит ВАШЕ время. Но на создание данного приложения уходит время РАЗРАБОТЧИКОВ. Из этого следует что разрабам хочется кушать для этого делается подобная "реклама" за которую разрабы получают свою копейку. Так в чем собственно проблема ? Как вариант что они сделают данную программу платной , а будете ли вы тогда сами ей пользоваться ?
Мда, поленился, потом возиться. Спасибо, статья очень помогла!
Очень неудобно, особенно на ноутбуках когда еще не установилось всё: маленькое разрешение и работает только точпад приходится как ниндзя искусстно бороться с алисой и галочками которые как петухи напали на пьяного человека, а теперь принудительный режим перезагрузки не дает включится компьютеру. зачем продолжать установку после перезагрузки? это как. включил оперу в установку и установка ускорится, хах! увеличение дистрибутива с каких пор уменьшает время его установки? или как windows 98 вы теперь умеете управлять временем установки? Спасибо за драйвера, но все же - на рекламе можно зарабатывать не прибегая к стиранию нервов людей.
открываешь DPS, заходишь в папку SOFT и стираешь ненужные программы, включая Cloud
Т.е. никто не попробовал даже заглянуть в файл settings.json и настроить DriverPack Solutions под себя?
Спасибо автору за статью. После установки драйверов заметил что DPS начал доставлять программы. После этого попал на статью и все удалил. Крутая прога, не раз выручала, но аваст в нагрузку и самоуправство конешно это плохо)
DriverPack Solution я давно перестал использовать.
Теперь только Snappy Driver Installer
Но и у последнего есть некоторый недостаток - столкнулся с повреждением его баз драйверов.Т.е. Snappy Driver Installer скачал, разархивировал (без ошибок), запустил, ставишь драйвера,а на каком-то из них в процессе установки может сообщить - "ошибка распаковки" Мне это попалось на видеокарте AMD и еще на чем-то. Поэтому держу у себя несколько версий Snappy Driver Installer, они все имеют ошибки баз, но в разных местах и друг друга перекрывают.
Во время установки Driverpack Solution компьютер перезагрузился и перестал работать интернет. Значок сети на панели без подключения к сети. Программы нигде не нашел, даже в реестре. Помогла утилита AVZ . В интерфейсе AVZ
установить драйвер расширинного мониторинга процессов, выполнить перезагрузку и запустить сканер с расширенными функциями по маскимуму . После чего перезагрузится и все работает. Благодарность разработчику!
Не все драйвера устанавливает windows 10, не все драйвера лежат на официальных сайтах. Установите и скачайте "всё", посмотрите в диспетчере устройств (devmgmt.msc) сколько устройств использует стандартные драйвера по умолчанию. То же Sata. На многих моделях Asus только древними сборниками DPS поборол некорректное управление питанием, и некорректное чтение с клавиатуры.
Оказалось, что на самом деле компания собирает личные данные соискателей для своего нового продукта, связанного с рекрутингом и помощью при трудоустройстве.
Удалять персональные данные отказываются.
Такой компании я не стал бы доверять, и вам не советую.
Спасибо за вашу статью.Мне очень помогла.
DriverPack когдато был отличным решением, которое я с успехом юзал быдучи сисадмином лет 15 назад. Так вот, недавно купил я на "алике" HDMI-Stick на Win 10 - отличная штука! Сделал себе "супер-пупер-смарт-ТВ" и возрадывался. "Добрый китаяц" добросовестно заинсталил туда Win 10 (кажись Pro), причём все дрова были новыми и установлены корректно, без мусора. Погоняв всё это на предмет стабильности (и убедившись, что она присутствует), решил я поставить кошерную нормальную винду - LTSC. На всякий случай - выпилил установленные дрова и забэкапил их, доверившись одной испытаной проге. Грохнул партиции и накатил LTSC. Запустилось. Всё норм. Потом смотрю - звука нет! Я в Device manager: Unknown device. Ну, я показываю на кучу, куда заранее сбросил дрова, предвидя такое развитие событий. Нифига! "Испытаная прога" подвела. и дрова записались мусором.
НИ В КОЕМ СЛУЧАЕ НЕ ПОЛЬЗУЙТЕСЬ ЭТИМ ОТСТОЕМ! ЭТО РАЗВОД!
Ныненшний Драйвер пак солюшен типичный троянский вирус- предлагает одно, ставит совсем другое. Причем он, в отличии от драйвер бустера и других драйвер паков так и не установил нужных драйверов, зато установил кучу ненужного хлама, котрый сначала ССклинером пришлось деинсталировать, отключать загрузку, потом пару раз малваре антивирусом выкорчевывать. испортился это солюшен в ноль. думаю на дурной репутации далеко не удешь и много не заработаешь..
Скачал 14 DSP с выкаченными дровами на сетевухи, весит всего 40 Мб в архиве. Решает 95% всех проблем с драйверами на винде. Мусора нет, левый софт сам по себе не ставится.
Действительно, раньше была хорошая прога. Сейчас скачал, запустил от имени админа - вообще ничего не установил, кроме программ
@lexey, Ты шутишь? Лучше вообще не ставить DriverPack от греха подальше. Driver booster чем не нравится? Лучшая прога по обновлению дров, из всех что сейчас есть. По крайней мере пока что.
Можно скачать с торента старые версии DPS (я использую 14-ую). Но и их следует запускать СТРОГО БЕЗ ПОДКЛЮЧЕНИЯ К ИНТЕРНЕТУ. Иначе сразу получаете вышеописанный Cloud и троян.
я просто хотел скачать драйвер для блютуз, а драйвер пак ещё сверху мне скачал браузер, какую то игру, ярлыки ссылок на рабочий стол, вирусы и троян ymacco ab99 который я уже 6 часов подряд все никак не могу удалить
Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.
Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.
Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память
Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.
По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.
До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.
Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.
Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.
Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.
Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
2 место: жесткие диски
Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.
Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.
Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
3 место: интерфейс USB
На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.
На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.
Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!
Скептики могут возразить, что в стандартном адаптере питания вредоносный код не запишешь, ибо некуда. Но это беда поправимая: при желании зарядку можно «творчески доработать» (аналогичная задача по инфицированию iPhone через зарядное устройство была решена уже больше двух лет назад).
Дальше остается только стратегически грамотно поместить такое «троянское питание» для публичного использования в каком-нибудь публичном месте. Или подменить зарядку жертвы, если речь идет об адресной атаке.
4 место: интерфейс Thunderbolt
Четвертое место в чарте занимает тоже «портовая» уязвимость, только связанная с другим интерфейсом — Thunderbolt. Оказывается, подключение через него также весьма небезопасно. Соответствующий сценарий атаки для устройств под управлением Mac OS X продемонстрировал в конце прошлого года исследователь в области безопасности Тремелл Хадсон.
Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.
После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.
5 место: BIOS
Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.
С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.
Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.
Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
Пользователи компьютеров Windows и Mac, смартфонов и планшетов находятся под постоянно растущей угрозой, исходящей от компьютерных вирусов и вредоносных программ. Принятие мер означает понимание того, с чем вы столкнулись. Рассмотрим основные типы вредоносных программ и их последствия.
Краткий обзор
Термин «вредоносное ПО» используется для описания любой вредоносной программы на компьютере или мобильном устройстве. Эти программы устанавливаются без согласия пользователей и могут вызывать ряд неприятных последствий, таких как снижение производительности компьютера, извлечение из системы персональных данных пользователя, удаление данных или даже воздействие на работу аппаратных средств компьютера. Поскольку киберпреступники придумывают все более сложные способы проникновения в системы пользователей, рынок вредоносных программ существенно расширился. Давайте рассмотрим некоторые из наиболее распространенных типов вредоносных программ, которые можно встретить в интернете.
1. Вирусы
Компьютерные вирусы получили свое название за способность «заражать» множество файлов на компьютере. Они распространяются и на другие машины, когда зараженные файлы отправляются по электронной почте или переносятся пользователями на физических носителях, например, на USB-накопителях или (раньше) на дискетах. По данным Национального института стандартов и технологий (NIST) , первый компьютерный вирус под названием «Brain» был написан в 1986 году двумя братьями с целью наказать пиратов, ворующих ПО у компании. Вирус заражал загрузочный сектор дискет и передавался на другие компьютеры через скопированные зараженные дискеты.
2. Черви
В отличие от вирусов, червям для распространения не требуются вмешательства человека: они заражают один компьютер, а затем через компьютерные сети распространяются на другие машины без участия их владельцев. Используя уязвимости сети, например, недостатки в почтовых программах, черви могут отправлять тысячи своих копий и заражать все новые системы, и затем процесс начинается снова. Помимо того, что многие черви просто «съедают» системные ресурсы, снижая тем самым производительность компьютера, большинство из них теперь содержит вредоносные «составляющие», предназначенные для кражи или удаления файлов.
3. Рекламное ПО
Одним из наиболее распространенных типов вредоносных программ является рекламное ПО. Программы автоматически доставляют рекламные объявления на хост-компьютеры. Среди разновидностей Adware - всплывающие рекламные объявления на веб-страницах и реклама, входящая в состав «бесплатного» ПО. Некоторые рекламные программы относительно безвредны, в других используются инструменты отслеживания для сбора информации о вашем местонахождении или истории посещения сайтов и вывода целевых объявлений на экран вашего компьютера. BetaNews сообщил об обнаружении нового типа рекламного ПО, который может отключить антивирусную защиту. Поскольку Adware устанавливается с согласия пользователя, такие программы нельзя назвать вредоносными: обычно они идентифицируются как «потенциально нежелательные программы».
4. Шпионское ПО
Шпионское ПО делает то, что предполагает его название - следит за вашими действиями на компьютере. Оно собирает информацию (например, регистрирует нажатия клавиш на клавиатуре вашего компьютера, отслеживает, какие сайты вы посещаете и даже перехватывает ваши регистрационные данные), которая затем отправляется третьим лицам, как правило, киберпреступникам. Оно также может изменять определенные параметры защиты на вашем компьютере или препятствовать сетевым соединениям. Как пишет TechEye, новые типы шпионских программ позволяют злоумышленникам отслеживать поведение пользователей (естественно, без их согласия) на разных устройствах.
5. Программы-вымогатели
Программы-вымогатели заражают ваш компьютер, затем шифруют конфиденциальные данные, например, личные документы или фотографии, и требуют выкуп за их расшифровку. Если вы отказываетесь платить, данные удаляются. Некоторые типы программ-вымогателей могут полностью заблокировать доступ к вашему компьютеру. Они могут выдавать свои действия за работу правоохранительных органов и обвинить вас в каких-либо противоправных поступках. В июне 2015 года в Центр приёма жалоб на мошенничество в Интернете при ФБР обратились пользователи, сообщившие о финансовых потерях на общую сумму 18 000 000 долларов в результате деятельности вируса-вымогателя CryptoWall.
6. Боты
Боты - это программы, предназначенные для автоматического выполнения определенных операций. Они могут использоваться для легитимных целей, но злоумышленники приспособили их для своих вредоносных целей. Проникнув в компьютер, боты могут заставить его выполнять определенные команды без одобрения или вообще без ведома пользователя. Хакеры могут также пытаться заразить несколько компьютеров одним и тем же ботом, чтобы создать бот-сеть, которая затем будет использоваться для удаленного управления взломанными машинами - красть конфиденциальные данные, следить за действиями жертвы, автоматически распространять спам или запускать разрушительные DDoS-атаки в компьютерных сетях.
7. Руткиты
Руткиты позволяют третьей стороне получать удаленный доступ к компьютеру и управлять им. Эти программы используются IT-специалистами для дистанционного устранения сетевых проблем. Но в руках злоумышленников они превращаются в инструмент мошенничества: проникнув в ваш компьютер, руткиты обеспечивают киберпреступникам возможность получить контроль над ним и похитить ваши данные или установить другие вредоносные программы. Руткиты умеют качественно маскировать свое присутствие в системе, чтобы оставаться незамеченными как можно дольше. Обнаружение такого вредоносного кода требует ручного мониторинга необычного поведения, а также регулярного внесения корректировок в программное обеспечение и операционную систему для исключения потенциальных маршрутов заражения.
8. Троянские программы
Более известные как троянцы, эти программы маскируются под легитимные файлы или ПО. После скачивания и установки они вносят изменения в систему и осуществляют вредоносную деятельность без ведома или согласия жертвы.
9. Баги
Баги - ошибки в фрагментах программного кода - это не тип вредоносного ПО, а именно ошибки, допущенные программистом. Они могут иметь пагубные последствия для вашего компьютера, такие как остановка, сбой или снижение производительности. В то же время баги в системе безопасности - это легкий способ для злоумышленников обойти защиту и заразить вашу машину. Обеспечение более эффективного контроля безопасности на стороне разработчика помогает устранить ошибки, но важно также регулярного проводить программные корректировки, направленные на устранение конкретных багов.
Мифы и факты
Существует ряд распространенных мифов, связанных с компьютерными вирусами:
Между тем, рост количества устройств взаимодействующих друг с другом в Интернете Вещей (IoT), открывает дополнительные интересные возможности: что если зараженный автомобиль съедет с дороги, или зараженная «умная» печь продолжит нагреваться, пока не случится превышение нормальной нагрузки? Вредоносного ПО будущего может сделать такой физический ущерб реальностью.
У пользователей есть ряд неправильных представлений о вредоносных программах: например, многие считают, что признаки заражения всегда заметны и поэтому они смогут определить, что их компьютер заражен. Однако, как правило, вредоносное ПО не оставляет следов, и ваша система не будет показывать каких-либо признаков заражения.
Tweet: Как правило, вредоносное ПО не оставляет следов, и ваша система не будет показывать каких-либо признаков заражения. Твитни это!
Так же не стоит верить, что все сайты с хорошей репутацией безопасны. Они также могут быть взломаны киберпреступниками. А посещение зараженного вредоносным кодом легитимного сайта – еще большая вероятность для пользователя расстаться со своей личной информацией. Именно это, как пишет SecurityWeek, произошло с Всемирным банком. Также многие пользователи считают, что их личные данные - фотографии, документы и файлы - не представляют интереса для создателей вредоносных программ. Киберпреступники же используют общедоступные данные для того, чтобы атаковать отдельных пользователей, или собрать информацию, которая поможет им создать фишинговые письма, чтобы проникнуть во внутренние сети организаций.
Стандартные методы заражения
Конфиденциальные данные, такие как пароли, являются главной целью киберпреступников. Помимо использования вредоносных программ для перехвата паролей в момент их ввода, злоумышленники также могут собирать пароли с веб-сайтов и других компьютеров, которые они взломали. Вот почему так важно использовать уникальный и сложный пароль для каждой учетной записи. Он должен состоять из 15 и более символов, включающих буквы, цифры и специальные символы. Таким образом, если киберпреступникам удастся взломать один аккаунт, они не получат доступ ко всем вашим учетным записям. К сожалению, большинство пользователей имеют очень слабые пароли: вместо того, чтобы придумать труднодоступную комбинацию, они обращаются к standby-паролям типа «123456» или «Password123», которые преступники легко подбирают. Даже контрольные вопросы не всегда могут служить эффективной защитой, потому что многие люди дают один и тот же ответ на вопрос «Ваше любимая еда?», например, если вы находитесь в Соединенных Штатах, то почти наверняка ответ будет - «Пицца».
Признаки заражения
Хотя большинство вредоносных программ не оставляет никаких явных следов, и ваш компьютер работает нормально, иногда все же можно заметить признаки возможного заражения. Самый первый из них - снижение производительности, т.е. процессы происходят медленные, загрузка окон занимает больше времени, в фоновом режиме работают какие-то случайные программы. Еще одним настораживающим признаком может считаться измененных домашних интернет-страниц в вашем браузере или более частое, чем обычно, появление всплывающих объявлений. В некоторых случаях вредоносное ПО даже может влиять на базовые функции компьютера: не открывается Windows, нет подключения к Интернету или доступа к более высокоуровневым функциям управления системой более высокого уровня. Если вы подозреваете, что ваш компьютер может быть заражен, немедленно произведите проверку системы. Если заражение не обнаружено, но вы все еще сомневаетесь, получите второе мнение - запустите альтернативный антивирусный сканер.
Другие полезные статьи и ссылки по теме «Компьютерные вирусы и вредоносное ПО»
Компьютерные вирусы и вредоносное ПО: факты и часто задаваемые вопросы
Пользователи компьютеров Windows и Mac, смартфонов и планшетов находятся под постоянно растущей угрозой, исходящей от компьютерных вирусов и вредоносных программ. Принятие мер означает понимание того, с чем вы столкнулись. Рассмотрим основные типы вредоносных программ и их последствия.
Читайте также: