Meriv çawa PC-ya xwe ji malwareyên nedîtbar ên wekî XWorm û NotDoor diparêze

Ewlekariya sîber bûye pirsgirêkek rojane, û dîsa jî, gelek gef hîn jî bêbersiv dimînin li dijî bikarhêneran û amûrên parastinê. Di nav van gefan de tiştê ku jê re "malwareya nedîtî" tê gotin heye, komek teknîkên ku armanca wan hêsan e: li ber çavan veşêrin û şopên xwe veşêrin da ku heta ku pêkan be çalak bimîne.

Ji çîrokên zanistî dûr, em behsa rêbazên ku jixwe di gerê de ne dikin: ji rootkitên ku di nav pergalê de dihelin up Trojanên mobîl dikarin bêyî ku em tiştekî dest bidin ekranên bankayan teqlîd bikin an jî sîxuriyê bikin. Û erê, her wiha hene êrîşên sifir-klîk û rewşên ekstrem di firmware de ku piştî ji nû ve sazkirinên OS-ê sax dimînin.

Mebesta me bi "malware ya nedîtî" çi ye?

Dema ku em behsa "nexuya" dikin, ne ew e ku kod bi rastî nayê dîtin, lê ew e ku teknîkên veşartinê têne bikar anîn armanc ew e ku guhertin û çalakiyên malware li ser pergala vegirtî veşêre. Ev pênase, bo nimûne, dihewîne, rootkit, ku pergalê manîpule dikin da ku pelan, pêvajoyan, mifteyên qeydê an girêdanan veşêrin.

Di pratîkê de, ev celebên weha dikarin erkên sîstemê bigire ser xwe û performansê bêyî ku gumanan çêbike kêm bike. Tewra dema ku antîvîrusek tevgerên anormal tespît bike jî, mekanîzmayên nedîtbariyê dihêlin ji tespîtkirinê dûrketin an paşxistin, bo nimûne, bi dûrketina demkî ji pelê qirêj, klona wê bo ajokerek din, an jî mezinahiya pelan veşartin guhertin. Ev hemû çalakiya motorên tespîtkirinê û analîza dadwerî.

Çawa dikeve hundir û çawa vedişêre

"Vîrûsek nedîtî", an jî bi awayekî berfirehtir, malware ku teknîkên veşartî bikar tîne, dikare bi çend awayan were: pêvekên xerabkar di e-nameyan de, dakêşanên ji malperên gumanbar, nermalavê de nehatiye piştrastkirin, sepanên sextekar ên ku xwe wekî amûr an sazkirinên populer nîşan didin bi rêya girêdanên li ser torên civakî û peyamên.

Dema ku ew dikeve hundir, stratejiya wî eşkere ye: berdewam bike bê dîtinHin guhertoyên wan dema ku guman dikin ku skanek heye, ji pelê vegirtî "derdikevin", xwe kopî dikin cihekî din û cîhek dihêlin. cîgirê paqij ji bo dûrketina ji dayîna hişyariyan. Yên din metadata, mezinahiya pelan û tomarên pergalê vedişêrin, ku jiyanê ji bo wan dijwar dike. motorên tespîtkirinê û sererastkirina pelan piştî enfeksiyonek.

Rootkit: pênase, xetere, û karanînên ku dibe ku rewa bin

Di koka xwe de di jîngehên UNIX, rootkit komek amûrên ji sîstemê bi xwe bû (wek mînak ps, netstat an jî passwd) ji aliyê dagirkerekî ve hatiye guhertin bo gihîştina root bêyî ku were tespîtkirin biparêzeNavê "root", ango superuser, ji vir tê. Îro, di Windows û pergalên din de, ev têgeh wekî xwe dimîne: bernameyên ku ji bo veşartina hêmanan hatine çêkirin (pel, pêvajo, mifteyên qeydê, bîr û heta girêdan) bo pergala xebitandinê an sepanên ewlehiyê.

Bikaranîna teknolojiya veşartî, bi serê xwe, bi xwezayî ne xerabkar e. Ew dikare ji bo armancên rewa yên wekî çavdêriya şîrketan, parastina milkê rewşenbîrî, an parastina li dijî xeletiya bikarhêner. Pirsgirêk derdikeve holê dema ku ev şiyan li ser têne sepandin veşartina malware, deriyên paşîn, û çalakiyên sûcdar, lihevhatî bi dînamîkên heyî yên sûcên sîber re, ku hewl dide dema xebitandinê herî zêde bike bêyî ku balê bikişîne.

Meriv çawa rootkitan tespît dike û kêm dike

Ti teknîkek bêqusûr nîne, ji ber vê yekê stratejiya çêtirîn ev e rêbazên hevber bikin û amûr. Rêbazên klasîk û pêşketî ev in:

• Tesbîtkirina îmzeyê: Skenkirin û berawirdkirin li hember katalogên malware yên naskirî. Ew ji bo bandorker e varyantên ku berê hatine katalogkirin, ji bilî yên nehatine weşandin.
• Heurîstîk an jî li ser bingeha tevgerê: destnîşan dike cûdahiyên di çalakiya normal de yên sîstemê, ji bo kifşkirina malbatên nû an jî mutasyonkirî kêrhatî ye.
• Tesbîtkirin bi berawirdkirinê: tiştên ku sîstem rapor dike bi xwendinên ji asta nizm; eger nelihevhatin hebin, guman tê kirin ku veşartî heye.
• Yekîtiya: Pel û bîrê li hember kontrol dike rewşa referansê ya pêbawer (bingehîn) ji bo nîşandana guhertinan.

Di asta pêşîlêgirtinê de, karanîna rêbazek tê pêşniyar kirin antimalware baş çalak û nûjenkirî, bikar bînin firewall, biparêze sîstem û sepanên nûjenkirî bi patchan, û îmtiyazan sînordar bikin. Carinan, ji bo tespîtkirina hin enfeksiyonan, tê pêşniyar kirin ji medyaya derveyî boot bike û "ji derve" pergala têkçûyî bişopîne, her çend wê demê jî hin malbat dikarin ji nû ve entegrekirin di pelên pergalê yên din de.

Du rewşên malware yên nedîtî: XWorm û NotDoor

Dibe ku ev gefên malware yên nedîtî û herî xeternak bin niha. Ji bo ku hûn bizanin ka hûn çawa xwe ji wan biparêzin, çêtirîn e ku hûn wan baş fam bikin:

XWorm

XWorm Ew malwareyek navdar e ku di demên dawî de bi karanîna navên pelên bicîhkirî yên ku xuya dikin rewa bi awayekî metirsîdar pêş ketiye. Ev dihêle ku ew xwe wekî serîlêdanek bêzerar veşêre, baweriya hem bikarhêneran û hem jî sîsteman bi dest xist.

Êrîş bi gavekê dest pê dike pelê .lnk yê veşartî Bi gelemperî bi rêya kampanyayên phishing tê belavkirin, ew fermanên PowerShell-ê yên xerabkar bicîh tîne, pelek nivîsê dakêşîne navnîşana demkî ya pergalê, û dûv re pelek pêkanînê ya sexte ya bi navê discord.exe ji serverek dûr ve dimeşîne.

Dema ku XWorm dikeve nav PC-ya me, dikare hemî cûreyên fermanên ji dûr ve bicîh bîne, ji dakêşanên pelan û beralîkirinên URL-an bigire heya êrîşên DDoS.

NeDerî

Yek ji gefên malware yên nedîtî yên herî cidî niha ev e NeDerîHedefa vê vîrusa sofîstîke ya ku ji hêla hackerên Rûsî ve hatî pêşve xistin ev e Bikarhênerên Outlookê, ku ew daneyên wan ên nepenî ji wan didizin. Ew dikare kontrola tevahî ya pergalên xeternak jî bigire destê xwe. Pêşveçûna wê ji hêla APT28 ve tê vegotin, ku komeke sîxuriya sîber a Rûsî ya navdar e.

NotDoor bi wê tê zanîn ku malwareyek veşartî ku bi Visual Basic for Applications (VBA) hatiye nivîsandin, dikare e-nameyên hatî ji bo peyvên sereke yên taybetî bişopîne. Bi rastî, ew ji bo çalakkirina xwe şiyanên bernameyê bi kar tîne. Dûv re ew peldankek veşartî diafirîne da ku pelên demkî yên ku ji hêla êrîşkar ve têne kontrol kirin hilîne.

Rêbazên çêtirîn ji bo parastina xwe (û çawa bertek nîşan bidin ger hûn jixwe vegirtî bin)

Parastina bi bandor adet û teknolojiyê li hev dicivîne. Ji bilî "aqilê selîm", hûn hewce ne prosedur û amûran ku xetera rastîn li ser PC û mobîl kêm dike:

• Tenê sepanan ji çavkaniyên fermî saz bikin û pêşdebir, destûr û şîroveyan kontrol bikin. Li hember lînkên di peyaman de, li ser medyaya civakî, an jî li ser malperên nenas hişyar bin.
• Çareseriyên ewlehiyê yên pêbawer bikar bînin li ser mobîl û PC-yê; ew ne tenê sepanên xerab tespît dikin, di heman demê de we jî hişyar dikin reftarên gumanbar.
• Her tişt rojane bimînin: sîstem, gerok, û sepan. Patches hatine birîn rêyên îstismarkirinê di nav êrîşkaran de pir populer e.
• Verastkirina du-gavekî çalak bikin di bank, poste û xizmetên girîng de. Ew bêqusûr nîne, lê ew lê zêde dike astengiya zêde.
• Destûrên gihîştinê û agahdariyan bişopînin; eger amûrek hêsan kontrola tevahî bixwaze, tiştek xelet e.
• Mobîla xwe bi awayekî periyodîk ji nû ve vemirîne an jî vemirîne; girtina heftane ya tevahî dikare ji holê rake împlantên bîranînê û berdewamiyê dijwar dike.
• Firewall çalak bike û mîheng bike, û karanîna hesabên bi destûrên rêveberiyê sînordar dike heya ku bi tevahî pêwîst nebe.

Heke hûn guman dikin ku enfeksiyonek malware ya nedîtî heye (mobîla hêdî, germahiya neheq, ji nû ve destpêkirinên ecêb, sepanên ku hûn sazkirina wan ji bîr nakin an jî tevgerên neasayî): sepanên gumanbar jê bibe, mobîl di moda ewle de bidin destpêkirin û skaneke tevahî derbas bikin, şîfreyan ji biguherînin cîhaza din, banka xwe agahdar bikin û nirxek bidin vesazkirina kargehê Ger nîşan berdewam bikin, ji bo skankirinê bêyî ku malware kontrol bike, ji medyaya derveyî li ser PC-yê boot bikin.

Ji bîr meke ku malwareya nedîtî bi rîtma me dilîze: alternatîf bike dengê herî kêm bi lêdanên cerrahî. Ew ne gefek abstrakt e, lê katalogek ji teknîkên veşartinê ku her tiştê din çalak dikin: Trojanên bankayî, spyware, diziya nasnameyê, an jî berdewamiya firmware. Ger hûn adetên xwe xurt bikin û amûrên xwe baş hilbijêrin, hûn ê bibin gavek li pêş ji tiştê ku nayê dîtin.