Чем сегодня опасны вредоносные программы dr web ответы
Номер Вопрос Ваш ответ Время Результат
1 Можно ли «украсть» цифровую подпись, чтобы затем использовать ее в функционале вируса? да 00:15 Да
2 Использование ActiveX в браузере рекомендуется ограничивать по причине: они дают интернет-ресурсу возможность напрямую устанавливать необходимые элементы на ПК 00:24 Да
3 Вирус от троянца отличается тем, что: умеет размножаться 00:28 Да
4 ПК не может загрузиться с USB, но при этом точно известно, что флешка исправна. Как быть? изменить параметры BIOS, чтобы ПК обрабатывал флешку как первичный жесткий диск 00:17 Да
5 Каким способом можно проверить подлинность файла? 1. проверить md5-сумму, сравнив с имеющимися данными о файле 01:46 Да
6 Какой суффикс имеет троянец, встраивающий себя в другие процессы? Inject 02:50 Да
7 MSConfig работает с: ini-файлами 00:13 Да
8 Если антивирус не обновляется три дня подряд, причиной этому может быть: вирус заблокировал доступ антивируса к сети 00:27 Да
9 Ntuser.dat — это: файл реестра. Для активного пользователя — куст HKEY_CURRENT_USER 01:34 Да
10 Выберите верное утверждение: существуют мультиплатформенные руткиты 00:27 Да
11 Файл C:\Windows\System32\config\system это: файл реестра. Куст HKEY_LOCAL_MACHINE\System 01:10 Да
12 К ПК подключен съемный жесткий диск, флеш-карта и USB-модем. Какие устройства могут стать источником заражения вирусами? верны ответы 1, 2, 3 00:20 Да
13 UAC — это: система контроля учетных записей 00:09 Да
14 Файл C:\Windows\System32\config\system это: файл реестра. Куст HKEY_LOCAL_MACHINE\System 01:34 Да
15 Dr.Web CureIt! можно бесплатно использовать: для лечения домашнего ПК/ноутбука 00:39 Да
16 На ядре какой ОС основаны Dr.Web LiveCD и Dr.Web LiveUSB? Linux 00:07 Да
17 О чем может свидетельствовать невозможность загрузки в безопасном режиме и появление BSOD при попытке входа в него? система заражена Win32.Sector 01:48 Да
18 Выберите верное утверждение: существуют мультиплатформенные руткиты 01:23 Да
20 Какие из указанных файлов расположены не в стандартных местах? верны ответы 3, 4 01:50 Да
21 MSConfig работает с: ini-файлами 00:49 Да
22 В чем причины быстрого распространения червей и вирусов по LAN? верны ответы 1, 3, 5 00:31 Да
23 Какой хеш-функции для определения подлинности файлов не существует? md-3 01:28 Да
24 Стандартные почтовые порты — это: 110 и 25 00:27 Да
25 Нажатие какой кнопки может понадобиться для входа в BIOS? верны ответы 4, 5 00:06 Да
26 UAC необходим для: противодействия доступа к ресурсам системы со стороны вредоносных программ 01:10 Да
27 Ярлык в папке автозагрузка ведет не туда, куда положено, исходя из его названия (запускает иную программу). Это может быть связано с тем, что: все ответы верны 00:11 Да
28 BHO встречаются в: Internet Explorer 00:42 Да
29 Что представляет собой Origins Tracing? антивирусная технология «поиска похожести» 01:36 Да
30 Какие действия можно проводить с кустами реестра? загружать 00:32 Да
31 Shark-режим нужно использовать для: поиска неизвестных вирусов и руткитов 00:51 Да
32 Как вирусы могут использовать файл Userinit? подменить вирусным файлом, включающим системный функционал 01:03 Да
33 В каком файле хранится куст реестра HKEY_LOCAL_MACHINE\SOFTWARE? C:\Windows\System32\config\software 03:10 Да
34 Нажатие какой кнопки может понадобиться для входа в BIOS? верны ответы 4, 5 00:11 Да
35 Вирус от троянца отличается тем, что: умеет размножаться 00:12 Да
36 Ярлык в папке автозагрузка ведет не туда, куда положено, исходя из его названия (запускает иную программу). Это может быть связано с тем, что: все ответы верны 00:13 Да
Drive
специалист по антивирусной системе защиты предприяти
Выберите верное утверждение:
3) оба утверждения верны -Да
Система сбора информации, используемая в антивирусном решении, должна:
2) максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию-Да
Если компания использует решения на основе ОС Linux или Мас OS X, то
4) верны ответы 2 и 3-Да
Большинство современных вредоносных программ разрабатываются:
3) хорошо организованными преступными сообществами-Да
Использование централизованной системы обновлений позволяет
1) в режиме реального времени контролировать отсутствие известных уязвимостей на защищаемых рабочих станциях и серверах-Да
Антивирусная система защиты, позволяющая практически исключить возможность проникновения вируса на компьютер через съемные носители информации,должна включать:
1) систему ограничения доступа со сменных носителей информации — для исключения возможности проникновения вирусов с флешек-Да
Проверка компьютера антивирусным сканером позволяет:
1) найти и обезвредить все вредоносные программы на жестком диске-Да
Для атак на компьютерные:
3) оба ответа верны-Да
Для максимальной защиты антивирус должен:
3) уметь и то и другое -Да
Если компания хочет надежно защитить рабочие станции сотрудников, то:
1) только антивируса (файлового монитора) недостаточно для предотвращения заражения-Да
Если троянец-блокировщик заблокировал Windows:
4) верны ответы 2 и 3-Да
В связи с тем, что наиболее опасные вредоносные программы не обнаруживаются антивирусами в момент заражения:
1) используемый антивирус должен иметь систему самозащиты, способную противостоять попыткам вредоносной программы нарушить-Да
Компания арендует файловый сервер в дата-центре. Для связи с сервером не используется защищенный канал?
2) антивирусы для файловых серверов и для интернет-шлюзов, что не позволит получить,-Да
Антивирусы определяют вредоносные программы только по сигнатурам (записям в вирусных базах)?
2) нет, по записям невозможно поймать наиболее сложные вредоносные программы — в том числе изменяющиеся при каждом запуске — полиморфные-Да
Почему мнение о том, что антивирус должен обнаруживать 100% вирусов — неверное?
5) верны ответы 1 и 3 -Нет
Система контроля и ограничения доступа, препятствующая активации вредоносной программы, еще неизвестной антивирусу, должна включать: да)
5) все ответы верны -Да
Если компания использует не подключенные к сети компьютеры, то:
2) использование антивируса для них обязательно, так как вирусы могут проникать иными путями — например, с флеш-носителей-Да
Компания использует файловый сервер под управлением ОС Unix. На сервере установлен сервис Samba.?
2) антивирус для файловых серверов и антивирус для защиты самого сервера — для защиты как файлов ОС Unix, так и файлов, обрабатываемых сервисом Samba-Да
Чем опасны уязвимости нулевого дня?
2) вирусы проникают на компьютеры через эти уязвимости, т. к. те либо еще не закрыты-Да
18. Для исключения установки неизвестных, а также вредоносных программ:
1) работа пользователя должна происходить только под учетной записью с ограниченными правами-Да
Каким образом на компьютере, изолированном от локальной сети, могут появиться вирусы?
4) все ответы верны -Да
Для обнаружения вредоносных программ:
2) кроме файлового монитора необходимо также использовать систему проверки трафика. Должны проверяться все поступающие из локальной сети файлы до момента получения их используемыми приложениями-Да
Система защиты от вредоносных программ, включающая только антивирус:
2) не может защитить от наиболее опасных вредоносных объектов, протестированных злоумышленниками на актуальных версиях антивирусных программ перед выпуском «в дикую природу»-Да
Почему сравнительные тестирования антивирусов на обнаружение с использованием коллекций вредоносных объектов не отражают реальную картину?
4) верны ответы 2 и 3 -Да
Какой антивирусный продукт требуется для защиты тонких клиентов, подключающихся к терминальному серверу?
1) никакой, т. к. тонкий клиент не имеет жесткого диска, и единственная его функция — подключение к терминальному клиенту, так что защищать там нечего-Да
В 2020 году одними из самых распространенных угроз, с которыми массово сталкивались пользователи, стали трояны-дропперы, распространяющие и устанавливающие другое вредоносное ПО, многочисленные рекламные приложения, мешающие нормальной работе устройств, а также различные модификации троянов-загрузчиков, запускающих в инфицированной системе исполняемые файлы с набором вредоносных функций. Кроме того, на протяжении всего года хакерские группировки активно распространяли троянские программы, использующие функциональность популярных утилит для удаленного администрирования. Так, вирусная лаборатория «Доктор Веб» зафиксировала несколько атак с использованием RAT-троянов, которые позволяют злоумышленникам дистанционно управлять зараженными компьютерами и доставлять на них вредоносную нагрузку.
Также в этом году вирусные аналитики «Доктор Веб» расследовали несколько масштабных целевых атак, направленных на корпоративный сектор. В ходе работы были выявлены несколько семейств троянов, которыми были инфицированы компьютеры различных государственных учреждений.
Несмотря на то, что большая часть выявленных угроз представляла опасность для пользователей ОС Windows, владельцы компьютеров под управлением macOS также были в зоне риска. В течение года были обнаружены трояны-шифровальщики и шпионские программы, работающие под управлением macOS, а также руткиты, которые скрывали работающие процессы. Также под видом разнообразных приложений активно распространялись рекламные установщики, которые загружали на компьютеры различную потенциально опасную нагрузку. В большинстве случаев под угрозой находились те пользователи, которые отключали встроенные системы безопасности и загружали приложения из недоверенных источников.
Пользователям мобильных устройств на базе ОС Android угрожали рекламные, шпионские и банковские троянские программы, а также всевозможные загрузчики, которые скачивали другие вредоносные приложения и выполняли произвольный код. Значительная часть вредоносного ПО распространялась через каталог Google Play.
Главные тенденции года
- Рост числа таргетированных атак, в том числе атак троянов-вымогателей
- Рост числа фишинговых атак и спам-кампаний с применением социальной инженерии
- Появление новых угроз для macOS
- Активное распространение вредоносных программ для ОС Android в каталоге Google Play
Наиболее интересные события 2020 года
В феврале вирусные аналитики «Доктор Веб» сообщили о компрометации ссылки на скачивание программы для обработки видео и звука VSDC в каталоге популярного сайта CNET. Вместо оригинальной программы посетители сайта загружали измененный установщик с вредоносным содержимым, позволяющим злоумышленникам дистанционно управлять инфицированными компьютерами. Управление было реализовано при помощи компонентов программы TeamViewer и троянской библиотеки семейства BackDoor.TeamViewer, которая устанавливала несанкционированное соединение. При помощи бэкдора злоумышленники могли доставлять на зараженные устройства полезную нагрузку в виде других вредоносных приложений.
В марте специалисты «Доктор Веб» рассказали о компрометации ряда сайтов, созданных на CMS WordPress. JavaScript-сценарий, встроенный в код взломанных страниц, перенаправлял посетителей на фишинговую страницу, где пользователям предлагалось установить важное обновление безопасности для браузера Chrome. Загружаемый файл представлял собой установщик вредоносного ПО, которое позволяло дистанционно управлять инфицированными компьютерами. В этот раз злоумышленники вновь использовали легитимные компоненты TeamViewer и троянскую библиотеку, которая устанавливала соединение и скрывала от пользователей работу программы.
Летом вирусная лаборатория «Доктор Веб» выпустила масштабное исследование вредоносного ПО, применявшегося в APT-атаках на государственные учреждения Казахстана и Киргизии. В рамках расследования аналитики обнаружили ранее неизвестное семейство мультимодульных троянских программ XPath, предназначенных для несанкционированного доступа к компьютерам с последующим выполнением различных вредоносных действий по команде злоумышленников. Представители семейства использовали сложный механизм заражения, при котором работа каждого модуля соответствовала определенной стадии работы вредоносной программы. Кроме того, трояны обладали руткитом для сокрытия сетевой активности и следов присутствия в скомпрометированной системе.
Позже в вирусную лабораторию «Доктор Веб» поступили новые образцы ВПО, обнаруженные на одном из зараженных компьютеров локальной сети госучреждения Киргизии. Самой интересной находкой оказался многокомпонентный троян-бэкдор ShadowPad, который, по нашим данным, может являться эволюцией другого мультимодульного APT-бэкдора — PlugX, ранее также обнаруженного в скомпрометированных сетях пострадавших организаций. Сходствам в коде образцов ShadowPad и PlugX, а также некоторым пересечениям в их сетевой инфраструктуре было посвящено отдельное исследование.
В сентябре компания «Доктор Веб» сообщила о выявлении спам-кампании с элементами социнженерии, нацеленной на ряд предприятий топливно-энергетического комплекса России. Для первичного заражения злоумышленники использовали электронные письма с вредоносными вложениями, при открытии которых устанавливались бэкдоры, позволяющие управлять инфицированными компьютерами. Анализ документов, вредоносных программ, а также использованной инфраструктуры свидетельствует о возможной причастности к этой атаке одной из китайских APT-групп.
В ноябре вирусные аналитики «Доктор Веб» зафиксировали рассылку фишинговых писем корпоративным пользователям. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. Чтобы заставить потенциальных жертв открыть вложения, злоумышленники применяли методы социальной инженерии.
Вирусная обстановка
Анализ данных статистики Dr.Web показал, что в 2020 году пользователей чаще всего атаковали трояны-дропперы и загрузчики, которые устанавливали другие вредоносные приложения и выполняли произвольный код. Кроме того, пользователям по-прежнему угрожали трояны и скрипты, выполняющие скрытый майнинг криптовалют.
Trojan.BPlug.3867 Вредоносное расширение для браузера, предназначенное для веб-инжектов в просматриваемые пользователями интернет-страницы и блокировки сторонней рекламы. Trojan.Starter.7394 Представитель семейства троянов, основное назначение которых — запуск в инфицированной системе исполняемого файла с определенным набором вредоносных функций. Trojan.MulDrop9.2530 Дроппер, распространяющий и устанавливающий другое вредоносное ПО. Win32.HLLW.Rendoc.3 Сетевой червь, распространяющийся в том числе через съемные носители информации. VBS.BtcMine.13 Вредоносный сценарий на языке VBS, выполняющий скрытую добычу криптовалют. JS.IFrame.634 Скрипт, который злоумышленники внедряют в html-страницы. При открытии таких страниц скрипт выполняет перенаправление на различные вредоносные и нежелательные сайты. Trojan.Encoder.11432 Многокомпонентный сетевой червь, известный под именем WannaCry. Вредоносная программа имеет несколько компонентов, троян-шифровальщик — лишь один из них. Trojan.InstallCore.3553 Семейство обфусцированных установщиков рекламного и нежелательного ПО, использующее недобросовестные методы распространения. Win32.Virut.5 Полиморфный вирус, заражающий исполняемые файлы. Содержит функции управления инфицированными компьютерами с использованием IRC-канала. Trojan.BtcMine.3165 Троянская программа, выполняющая на зараженном устройстве скрытую добычу криптовалют.
В почтовом трафике преобладали трояны-банкеры, бэкдоры и вредоносное ПО, использующее уязвимости офисных документов. Кроме того, злоумышленники распространяли скрипты для скрытого майнинга и фишинга, а также перенаправления пользователей на нежелательные и потенциально опасные сайты.
Шифровальщики
По сравнению с 2019 годом, в 2020 году число запросов на расшифровку файлов от пользователей, пострадавших от шифровальщиков, в антивирусную лабораторию «Доктор Веб» поступило на 18,4% меньше. Динамика регистрации таких запросов в 2020 году показана на графике:
Наиболее распространенные шифровальщики в 2020 году:
Trojan.Encoder.26996 Шифровальщик, известный как STOP Ransomware. Пытается получить приватный ключ с сервера, а в случае неудачи пользуется зашитым. Один из немногих троянов-вымогателей, который шифрует данные поточным алгоритмом Salsa20. Trojan.Encoder.567 Шифровальщик, написанный на Delphi. История развития трояна насчитывает множество версий с использованием различных алгоритмов шифрования. Как правило, распространяется в виде вложений к электронным письмам. Trojan.Encoder.29750 Шифровальщик из семейства Limbo/Lazarus. Несет в себе зашитый авторский ключ, применяемый в случае отсутствия связи с управляющим сервером и возможности выгрузить приватную часть сгенерированного ключа. Trojan.Encoder.858 Шифровальщик, известный как Troldesh Ransomware. Скомпилирован с использованием Tor — cразу после запуска инициализируется Tor, при этом подключение происходит к одному из мостов, адрес которого зашит в трояне. Для шифрования данных используется алгоритм AES в режиме CBC. Trojan.Encoder.11464 Шифровальщик, также известный как Scarab Ransomware. Впервые обнаружен в июне 2017 года. Изначально распространялся через ботнет Necurs. Для шифрования пользовательских файлов программа использует алгоритмы AES-256 и RSA-2048.Опасные и нерекомендуемые сайты
Базы Родительского (Офисного) контроля и веб-антивируса SpIDer Gate в продуктах Dr.Web регулярно пополняются новыми адресами нерекомендуемых и потенциально опасных сайтов. Среди них — мошеннические и фишинговые ресурсы, а также страницы, с которых распространяется вредоносное ПО. Наибольшее число таких ресурсов было зафиксировано в третьем квартале, а наименьшее — во втором. Динамика пополнения баз нерекомендуемых и опасных сайтов в уходящем году показана на диаграмме ниже.
Сетевое мошенничество
В течение 2020 года интернет-аналитиками компании было выявлено множество мошеннических сайтов, маскирующихся под официальные ресурсы государственных организаций. Чаще всего мошенники предлагали получить несуществующую компенсацию или инвестировать в крупные компании.
Для получения обещанных выгод посетителям чаще всего требовалось ввести свои данные, включая данные банковских карт, и предварительно внести оплату. Таким образом, пользователи теряли не только деньги, но и передавали свои персональные данные злоумышленникам.
Для мобильных устройств
В 2020 году владельцам Android-устройств угрожали различные вредоносные и нежелательные приложения. Например, пользователи часто сталкивались со всевозможными рекламными троянами, которые показывали надоедливые уведомления и баннеры. Среди них было множество вредоносных программ семейства Android.HiddenAds, распространявшихся в том числе через каталог Google Play. В течение года вирусные аналитики «Доктор Веб» выявили в нем десятки этих троянов, которых загрузили более 3 300 000 пользователей. На долю таких вредоносных приложений пришлось свыше 13% от общего числа угроз, выявленных на Android-устройствах.
Кроме того, в марте вирусные аналитики обнаружили в Google Play многофункционального трояна Android.Circle.1, которой получал команды с BeanShell-скриптами и также мог показывать рекламу. Помимо этого, он мог переходить по ссылкам, загружать веб-сайты и нажимать на размещенные там баннеры. Позднее были найдены и другие вредоносные программы, принадлежащие к этому семейству.
Другой угрозой, с которой часто сталкивались пользователи, стали всевозможные трояны-загрузчики. Среди них были многочисленные представители семейства Android.RemoteCode, скачивающие и выполняющие произвольный код. На их долю пришлось более 14% угроз, выявленных антивирусными продуктами Dr.Web для Android. Кроме того, владельцам Android-устройств угрожали трояны семейств Android.DownLoader и Android.Triada, загружавшие и устанавливавшие другие приложения.
Наряду с троянами-загрузчиками широкое распространение получили потенциально опасные утилиты, позволяющие запускать программы без их установки. Среди них — утилиты Tool.SilentInstaller и Tool.VirtualApk. Вирусописатели активно применяли их для распространения различного ПО, получая вознаграждение от партнерских сервисов.
Для распространения вредоносных и нежелательных приложений злоумышленники активно эксплуатировали тему пандемии коронавируса. Например, они создавали различные мошеннические сайты, на которых жертвам предлагалось установить справочные или медицинские программы, связанные с коронавирусной инфекцией, а также приложения для получения материальной помощи. В действительности с таких сайтов на Android-устройства загружались шпионские программы, различные банковские трояны, трояны-вымогатели и другое вредоносное ПО.
В течение года вирусные аналитики «Доктор Веб» выявили в каталоге Google Play множество вредоносных приложений семейства Android.FakeApp, предназначенных для загрузки мошеннических сайтов. Злоумышленники выдавали этих троянов за справочники с информацией о социальных выплатах и компенсациях. В период пандемии и непростой экономической ситуации пользователей интересовали такие сведения, и на уловку киберпреступников попалось множество владельцев Android-устройств.
Также в 2020 году на Android-устройствах было выявлено множество приложений, позволяющих следить за их владельцами. Они могли применяться для кибершпионажа и собирать широкий спектр персональной информации — переписку, фотографии, документы, список контактов, информацию о местоположении, сведения о контактах, телефонных разговорах и т. д.
Перспективы и вероятные тенденции
Прошедший год продемонстрировал устойчивое распространение не только массового вредоносного ПО, но и APT-угроз, с которыми сталкивались организации по всему миру.
В 2021 году следует ожидать дальнейшего распространения цифрового вымогательства, при этом целевым атакам с использованием троянов-шифровальщиков все чаще будут подвержены частные компании и корпоративный сектор. Этому способствует развитие модели RaaS (Ransomware as a Service — вымогательство как услуга), а также ощутимый для хакерских группировок результат, стимулирующий их преступную деятельность. Возможное сокращение расходов на информационную безопасность также может привести к стремительному росту числа подобных инцидентов.
Пользователям по-прежнему будет угрожать массовое вредоносное программное обеспечение —банковские и рекламные трояны, майнеры и шифровальщики, а также шпионское ПО. Стоит также готовиться к появлению новых мошеннических схем и фишинговых кампаний, с помощью которых злоумышленники будут пытаться завладеть не только деньгами, но и персональными данными.
Владельцы устройств под управлением macOS, Android, Linux и других операционных систем останутся под пристальным вниманием вирусописателей, и вредоносное ПО продолжит свое распространение на эти платформы. Также можно ожидать, что участятся и станут более изощренными атаки на устройства интернета вещей. Можно с уверенностью сказать, что киберпреступники продолжат использовать для своего обогащения любые методы, поэтому пользователям необходимо соблюдать правила информационной безопасности и применять надежные антивирусные средства на всех устройствах.
Компьютеры Windows и Mac, ноутбуки, смартфоны и планшеты находятся под постоянной угрозой заражения растущим количеством вредоносных программ и других угроз безопасности.
В качестве первого шага для защиты своих устройств и своих действий в Интернете стоит убедиться, что вы хорошо осведомлены об основных категориях вредоносного ПО и других угроз.
Что такое вредоносное ПО?
Под вредоносной программой подразумевается любая программа, созданная для выполнения любого несанкционированного — и, как правило, вредоносного — действия на устройстве пользователя. Примеры вредоносных программ: Компьютерные вирусы
- вирусы;
- макровирусы для Word и Excel;
- загрузочные вирусы;
- скрипт-вирусы, включая batch-вирусы, заражающие оболочку ОС Windows, Java-приложения и т.д.;
- клавиатурные шпионы;
- программы для кражи паролей;
- троянцы-бэкдоры;
- crimeware — вредоносные программы, созданные для автоматизации совершения финансовых преступлений;
- шпионские программы;
- рекламные программы и другие типы вредоносных программ
Чем вирус отличается от червя?
Компьютерные вирусы это вредоносные программы, которые могут воспроизводить сами себя и заражать файл за файлом на компьютере, а также может распространяться с одного компьютера на другой.
Обычно компьютерные вирусы запрограммированы на выполнение разрушающих действий, таких как повреждение или удаление данных.
Чем дольше вирус остается необнаруженным на компьютере, тем больше файлов он заразит.
Черви, как правило, считаются разновидностью компьютерных вирусов, но с некоторыми отличиями:
Червь – это вредоносная программа, которая многократно копирует сама себя, но не наносит прямого вреда безопасности.
Червь, однажды попавший на компьютер, будет искать способы распространения на другие компьютеры и носители.
Если вирус является фрагментом программного кода, добавляющимся к обычным файлам, червь – это самостоятельная программа.
Дополнительную информацию о компьютерных вирусах и червях читайте в статье «Что такое компьютерный вирус и компьютерный червь?»
Что такое троянская программа?
Троянская программа— разновидность вредоносного ПО, проникающая в компьютер под видом легального программного обеспечения и после своего запуска выполняющая вредоносные действия.
В отличие от вирусов и червей троянские программы не умеют распространяться самостоятельно.
Как правило, троянцы тайно загружаются в компьютер пользователя и начинают осуществлять несанкционированные им вредоносные действия.
Киберпреступники используют множество троянских программ разных типов, каждый из которых предназначен для выполнения особой вредоносной функции. Наиболее распространены:
- Бэкдоры (в их состав часто входят программы-кейлоггеры);
- троянские шпионские программы;
- троянские программы для кражи паролей;
- троянские прокси-серверы, которые преобразуют ваш компьютер в средство распространение спама.
Дополнительную информацию о троянских программах читайте в статье «Что такое троянская программа?»
Почему троянские программы называются «троянскими»?
В греческой мифологии во время Троянской войны греки пошли на хитрость, чтобы проникнуть в город Трою. Они построили огромного деревянного коня и преподнесли его в подарок жителям Трои, а те, не зная, что внутри коня находились греческие воины, внесли коня в город.
Ночью греки покинули коня и открыли городские ворота, чтобы греческое войско смогло войти в Трою.
Сегодня в троянских программах применяются различные трюки для того, чтобы они могли проникнуть на устройства ничего не подозревающих пользователей.
Дополнительную информацию о троянских программах читайте в статье «Что такое троянская программа?»
Что такое клавиатурный шпион?
Клавиатурный шпион, или кейлоггер, — это программа, которая записывает все нажатия клавиш на клавиатуре зараженного компьютера.
Киберпреступники используют клавиатурные шпионы для кражи конфиденциальных данных, наприме, имен пользователей, паролей, номеров и PIN-кодов кредитных карт, а также прочих сведений. Как правило, кейлоггеры входят в состав бэкдоров.
Что такое фишинг?
Фишинг — это особый вид компьютерных преступлений, который заключается в том, чтобы обманом заставить пользователя раскрыть ценную информацию, например сведения о банковском счете или кредитных картах.
Как правило, киберпреступники создают фальшивый сайт, который выглядит так же, как легальный, например официальный сайт банка.
При посещении фальшивого сайта, как правило, предлагается ввести конфиденциальные данные, например имя пользователя, пароль или PIN-код.
Дополнительную информацию о фишинге читайте в статье «Спам и фишинг»
Что такое шпионская программа?
Шпионские программы предназначены для сбора данных и их отправки стороннему лицу без уведомления или согласия пользователя. Как правило, шпионские программы:
- отслеживают, какие клавиши пользователь нажимает на клавиатуре;
- собирают конфиденциальную информацию, такую как пароли, номера кредитных карт, номера PIN и т.д.;
- собирают адреса электронной почты с компьютера пользователя;
- запоминают наиболее посещаемые вами веб-страницы.
Кроме возможного ущерба при доступе киберпреступников к этому типу информации, шпионская программа также отрицательно влияет на производительность компьютера.
Что такое drive-by загрузка?
При drive-by загрузке заражение компьютера происходит при посещении веб-сайта, содержащего вредоносный код.
Киберпреступники ведут в интернете поиск уязвимых серверов, которые можно взломать. Когда уязвимый сервер найден, киберпреступники могут разместить свой вредоносный код на веб-страницах сервера.
Если операционная система компьютера или одно из приложений, работающих на компьютере, имеет незакрытую уязвимость, вредоносная программа автоматически загрузится на компьютер при посещении зараженной веб-страницы.
Что такое руткит?
Руткиты — это программы, используемые хакерами для предотвращения обнаружения при попытке получить несанкционированный доступ к компьютеру.
Очень часто руткиты используются в качестве прикрытия действий троянской программы.
При установке на компьютер руткиты остаются невидимыми для пользователя и предпринимают действия, чтобы вредоносные программы не были обнаружены антивирусным программным обеспечением.
Благодаря тому, что многие пользователи входят в систему компьютера с правами администратора, а не создают отдельную учетную запись с ограниченными правами, киберпреступнику проще установить руткит.
Что такое Adware?
Рекламные программы используются либо для запуска рекламных материалов (например, всплывающих баннеров) на компьютере, либо для перенаправления результатов поиска на рекламные веб-сайты.
Рекламные программы часто встраиваются в бесплатные или в условно-бесплатные программы.
При загрузке бесплатной или условно-бесплатной программы в систему без уведомления или согласия пользователя может быть установлена рекламная программа.
В некоторых случаях рекламная программа скрытым образом загружается с веб-сайта и устанавливается на компьютере пользователя троянцем.
Если у вас установлена не последняя версия веб-браузера, хакеры могут воспользоваться его уязвимостями, используя специальные инструменты (Browser Hijackers), которые могут загрузить рекламную программу на компьютер.
Browser Hijackers могут изменять настройки браузера, перенаправлять неправильно или не полностью набранные URL-адреса на специальный сайт или поменять домашнюю страницу, загружающуюся по умолчанию.
Они также могут перенаправлять результаты поиска в интернете на платные и порнографические веб-сайты.
Дополнительную информацию о рекламных программах см. в статье «Adware, Pornware и Riskware».
Что такое ботнет?
Ботнет — это сеть компьютеров, контролируемых киберпреступниками с помощью троянской или другой вредоносной программы.
Дополнительную информацию о ботнетах см. в статье «Что такое ботнет?»
Что такое атака типа «отказ в обслуживании»?
Атаки типа «отказ в обслуживании» (Denial-of-Service, DoS) затрудняют или прекращают нормальное функционирование веб-сайта, сервера или другого сетевого ресурса.
Хакеры добиваются этого несколькими способами, например, отправляют серверу такое количество запросов, которые он не в состоянии обработать.
Работа сервера будет замедлена, веб-страницы будут открываться намного дольше, и сервер может совсем выйти из строя, в результате чего все веб-сайты на сервере будут недоступны.
Что такое распределенная атака типа «отказ в обслуживании»?
Распределенная атака типа «отказ в обслуживании» (Distributed-Denial-of-Service, DDoS) действует аналогично обычной атаке типа «отказ в обслуживании».
Однако распределенная атака типа «отказ в обслуживании» осуществляется с использованием большого количества компьютеров.
Обычно для распределенной атаки типа «отказ в обслуживании» хакеры используют один взломанный компьютер в качестве «главного» компьютера, который координирует атаку со стороны других зомби-компьютеров.
Как правило, киберпреступник взламывает главный компьютер и все зомби-компьютеры, используя уязвимость в приложениях для установки троянской программы или другого компонента вредоносного кода.
Дополнительную информацию о распределенных атаках типа «отказ в обслуживании» см. в статье «Распределенные сетевые атаки/DDoS».
Newbie Перенести тему невозможно ( точнее говоря в этом нет смысла - все темы кроме ESET и uVS - закрыты ) Несколько лет назад создали алгоритм идентификации по набору текста. Каждый человек набирая текст имеет свой почерк ( это заметили ещё в первую мировую войну - когда человек работал на ключе - радиопередатчике ) Сейчас работают машинные алгоритмы. Думаю и с курсором та же история. ( всё сводиться к накоплению статистических данных - чем больше их обьём тем надёжнее идентификация ) Во всех странах есть своё законодательство. И считывание чужой информации - равносильно её краже. Если _специалисты этим и занимаются - то только в рамках борьбы с орг. преступностью. т.е. в рамках расследования инцидентов и слежки за подозреваемыми. + читаем лицензионное соглашение к программе. И ? Яндекс - зарабатывает на рекламе. Он может и должен интересоваться местоположением потенциального клиента. Чем он интересуется - какие рядом находятся места отдыха - аэропорты - магазины и т.д. и пользователю выдаётся контекстная реклама. Моторика человека индивидуальна . Но речь не о 100% результате, а % совпадении\схожести. Но нужен образец для сравнения. Такая технология разрабатывалась. Приминяется ли она на практике - не интересовался. ----------- Вообще форум мёрт. Рекомендую найти другой форум.
Хотелось бы чтобы Инфо. ( для создания\настройки критерия ) Содержало информацию: CPU: 96.75% * Внимание превышен 15% Порог. CPU: 483.75% * Внимание превышен 15% Порог. так как нагрузка плавает и невозможно задать точное значение.
Домашние антивирусы ESET были обновлены до версии 15.0.18.
RP55, отслеживание процессов, задач, cmdline для закрытых процессов начинается с момента загрузки системы. (потому и важна перезагрузка системы после применения твиков) все записи событий выполняются системой, uVS здесь только меняет настройки системы для расширенной записи в журналы системы. А затем использует эти записи для формирования образа автозапуска охватывая период с момента начала загрузки системы. это дает возможность понять - откуда развивается атака: из системы, из локальной сети, или из внешней сети. Если нужен более расширенный анализ событий в системе - изучаем возможности Sysmon. Выше уже приводилась утилита (Chainsaw), которая как раз работает с расширенными журналами событий и приложений.
Читайте также: