-
añadir a favoritos
Preventivo quiere decir eficaz
lunes, 9 de octubre de 2017
En WikiLeaks otra vez fue publicada la información sobre las herramientas (programas nocivos) de la CIA para recibir los datos desde PCs en Windows XP и 7. Entre estos “ayudantes” hay dos bastante interesantes.
El componente BadMFS es un sistema de archivos paga guardar otros componentes del programa nocivo, cifrados y ofuscados.
El quinto componente es Windows Transitory File System. Según WikiLeaks, el sistema de archivos fue desarrollado como una alternativa a la utilidad BadMFS. El componente usaba los archivos temporales sin contar con el sistema de archivos local.
¿Para qué los programas nocivos necesitarán sus propios sistemas de archivos? Es que siempre pueden grabar los datos en un archivo ordinario o transferirlos por Internet.
Se trata de la protección preventiva: hasta si un programa nocivo ha podido iniciarse (por ejemplo, si el usuario excluyo del escaneo los discos o el tráfico de aplicaciones), una vez iniciado, el funcionamiento de su proceso será supervisado por este componente del antivirus. La actividad del nuevo programa será de interés para la protección preventiva. Y los malintencionados inventaron cómo se puede esquivarlo.
Se puede crear un solo archivo, y en el mismo – un sistema de archivos propio. En el SO Linux se puede formatear el espacio dentro de un archivo con utilidades estándar que normalmente se usan para formatear el disco duro. En el SO Windows es un poco más complicado crear un disco virtual propio, pero no hay nada imposible para una utilidad especial.
Como resultado, la protección preventiva simplemente no notará las acciones de los malintencionados que en su mayoría se realizarán dentro del archivo y se interpretarán como trabajo con el mismo.
En estos almacenes se puede ocultar tanto los componentes del programa nocivo como la información robada.
Trojan.Bolik.1 usa el sistema de archivos heredado de Carberp que se guarda en un archivo especial. El troyano guarda este archivo en un directorio del sistema o en la carpeta del usuario. El sistema virtual de archivos le permite al programa nocivo guardar de forma oculta la información necesaria para su funcionamiento en el equipo infectado.
Los malintencionados también pueden cifrar su sistema de archivos, y, como resultado, todos los intentos de recibir la información de su almacén no aportarán resultados. Lo hacía. Regin que creó su propio sistema de archivos virtual (EVFS) cifrado. Como método de cifrado EVFS, se usaba una variante de cifrado por bloques RC5. Y también se puede guardar el almacén creado fuera del sistema de archivos, al reducir su tamaño (es decir, al desplazar el borde de la sección). Por ejemplo, los rootkits TDL 3/4 crearon el sistema de archivos TDLFS en los últimos sectores del disco duro.
#Windows #software_nocivo #troyano #protección_preventivaEl mundo de antivirus recomienda
Los ciberdelincuentes inventaron muchos métodos de ocultar sus “obras” al antivirus. Pero, sin embargo, se puede encontrar y desinfectar los programas nocivos.
- Ningún archivo nocivo puede ser iniciado sin haber penetrado anteriormente en el sistema, no hay milagros. Por lo tanto, se recomienda instalar las actualizaciones de seguridad y los componentes del antivirus responsables del escaneo de todo lo que penetra en el equipo. En particular, el web antivirus Dr.Web SpIDer Gate y el monitor de correo Dr.Web SpIDerMail.
- Por mucho que se oculte un programa nocivo, su actividad será detectada. Por lo tanto, es obligatorio usar la protección preventiva. En los productos Dr.Web para la protección de Windows, Dr.Web Security Space, el Аntivirus Dr.Web y Dr.Web KATANA disponen de la misma.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Compartido 0 veces")
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
vasvet
12:15:26 2018-08-07
Неуёмный Обыватель
00:11:00 2018-07-12