Компьютериңизди XWorm жана NotDoor сыяктуу көрүнбөгөн зыяндуу программалардан кантип коргоо керек

Акыркы жаңыртуу: 06/09/2025
Author: Даниел Терраса

  • Stealth кесепеттүү программа аныктоодон качуу үчүн жашыруун ыкмаларды (руткиттер, виртуалдаштыруу, нөл чыкылдатуу) колдонот.
  • Android'деги Crocodilus жана Godfather өркүндөтүлгөн спуфинг жана уруксаттар менен банктык эсеп дайындарын уурдашат.
  • UEFI туруктуулугу (CosmicStrand) системаны кайра орнотууда аман калат; коргоону айкалыштыруу негизги болуп саналат.
көрүнбөгөн зыяндуу программа

Киберкоопсуздук күнүмдүк маселе болуп калды, бирок, көптөгөн коркунучтар байкалбай калууда колдонуучуларга жана коргонуу куралдарына каршы. Бул коркунучтардын арасында "көрүнбөгөн кесепеттүү программа" деп аталган, максаты жөнөкөй болгон ыкмалардын жыйындысы бар: көрүнгөн жерге жашынып, изин камуфляж кылуу мүмкүн болушунча көпкө активдүү болуу.

Илимий фантастикадан алыс, биз жүгүртүүдө болгон ыкмалар жөнүндө сөз болуп жатат: тартып системага аралашкан руткиттер чейин мобилдик трояндар Биз эч нерсеге тийбей туруп, банк экрандарын же тыңчылык кылууга жөндөмдүү. Ооба, ошондой эле бар нөл чыкылдатуу чабуулдары жана OS кайра орнотуудан аман калган микропрограммадагы экстремалдуу учурлар.

"Көрүнбөгөн кесепеттүү программа" деп эмнени айтабыз?

Биз "көзгө көрүнбөгөн" жөнүндө сөз кылганда, кодду түзмө-түз көрүү мүмкүн эмес, бирок бул жашыруу ыкмалары колдонулат вирус жуккан системадагы кесепеттүү программанын өзгөрүүлөрүн жана иш-аракеттерин жаап-жашыруу үчүн арналган. Бул аныктама, мисалы, камтыйт руткиттер, файлдарды, процесстерди, реестр ачкычтарын же байланыштарды жашыруу үчүн системаны башкарган.

Иш жүзүндө, бул штаммдар мүмкүн системалык милдеттерди аткарат жана шек жаратпастан иштин сапатын төмөндөтөт. Антивирус аномалдуу жүрүм-турумду аныктаганда да, көрүнбөгөн механизмдер жол берет аныктоодон качуу же кийинкиге калтыруу, мисалы, булганган файлдан убактылуу алыстап, аны башка дискке клондоо же файлдардын өлчөмүн жашыруу өзгөртүлгөн. Мына ушунун бардыгы иш-аракетин татаалдантат аныктоо кыймылдаткычтары жана соттук-медициналык анализ.

көрүнбөгөн зыяндуу программа

Ал кантип кирип, кантип жашырат

"Көрүнбөгөн вирус", же кененирээк айтканда, жашыруун ыкмаларды колдонгон зыяндуу программа бир нече формада келиши мүмкүн: зыяндуу тиркемелер электрондук почталарда, шектүү веб-сайттардан жүктөөлөр, программалык камсыздоо текшерилген эмес, аркылуу популярдуу коммуналдык же орнотуулар катары пайда болгон алдамчылык колдонмолор коомдук желелерде жана билдирүүлөр боюнча шилтемелер.

Эксклюзивдүү мазмун - Бул жерди басыңыз  Биометрика коопсуздукта кантип колдонулат?

Ичке киргенден кийин анын стратегиясы айкын: көрүнбөгөн бойдон калууКээ бир варианттар сканерден шектенип, башка жерге көчүрүлүп, вирус жуккан файлдан "жылышат". таза алмаштыруучу эскертүүлөрдү көтөрбөө үчүн. Башкалары метадайындарды, файл өлчөмдөрүн жана система жазууларын жашырып, жашоону кыйындатат аныктоо кыймылдаткычтары жана файлды калыбына келтирүү инфекциядан кийин.

Руткиттер: мыйзамдуу болушу мүмкүн болгон аныктама, тобокелдиктер жана колдонуу

чөйрөдө анын келип чыгышында UNIX, руткит системанын өзүнөн алынган куралдардын жыйындысы болгон (мисалы ps, netstat же passwd) бузуучу тарабынан өзгөртүлгөн аныкталбастан тамыр мүмкүнчүлүгүн сактап калуу"Тамыр" деген аталыш, супер колдонуучудан келип чыккан. Бүгүнкү күндө Windows жана башка системаларда түшүнүк ошол эле бойдон калууда: элементтерди жашыруу үчүн арналган программалар (файлдар, процесстер, реестр ачкычтары, эс тутум жана ал тургай байланыштар) операциялык системага же коопсуздук колдонмолоруна.

Жашыруун технологияны колдонуунун өзү эле зыяндуу эмес. сыяктуу мыйзамдуу максаттарда колдонулушу мүмкүн корпоративдик мониторинг, интеллектуалдык менчикти коргоо же колдонуучунун катасынан коргоо. Бул мүмкүнчүлүктөр колдонулганда көйгөй пайда болот зыяндуу программаларды, бэкдорлорду жана кылмыштуу аракеттерди жаап жашыруу, киберкылмыштуулуктун учурдагы динамикасына шайкеш келтирүү, ал көңүлдү бурбастан иштөө убактысын көбөйтүүгө умтулат.

Руткиттерди кантип аныктоо жана азайтуу керек

Эч бир техника жаңылбас, ошондуктан эң жакшы стратегия ыкмаларды айкалыштыруу жана аспаптар. Классикалык жана прогрессивдүү ыкмалары төмөнкүлөрдү камтыйт:

  • Кол коюуну аныктоо: Скандоо жана белгилүү кесепеттүү каталогдор менен салыштыруу. үчүн натыйжалуу варианттар мурунтан эле каталогго коюлган, жарыяланбагандарды кошпогондо.
  • Эвристикалык же жүрүм-турумга негизделген: аныктайт нормалдуу ишмердүүлүктүн четтөөлөр жаңы же мутацияланган үй-бүлөлөрдү табуу үчүн пайдалуу.
  • Салыштыруу жолу менен аныктоо: системанын отчетторун окууларга карама-каршы коёт төмөн деңгээл; карама-каршылыктар бар болсо, жашыруу шектенет.
  • Актык: Файлдарды жана эстутумдарды а ишенимдүү шилтеме абалы (базалык) өзгөрүүлөрдү көрсөтүү.
Эксклюзивдүү мазмун - Бул жерди басыңыз  Инстаграм сырсөзүн кантип билсе болот

Алдын алуу деңгээлинде а жакшы antimalware активдүү жана жаңыртылган, колдонуу тармактык, сакта системалар жана колдонмолор актуалдуу тактар ​​менен, жана артыкчылыктарды чектөө. Кээде, кээ бир инфекцияларды аныктоо үчүн сунушталат тышкы медиадан жүктөө жана бузулган системаны "сырттан" сканерлешет, бирок кээ бир үй-бүлөлөр ошондой болсо да кайра интеграциялоо башка система файлдарында.

эшик жок

Көрүнбөгөн зыяндуу программанын эки учуру: XWorm жана NotDoor

Булар азыр эң коркунучтуу көрүнбөгөн кесепеттүү коркунучтар болушу мүмкүн. Өзүңүздү алардан кантип коргоону билүү үчүн, аларды жакшы түшүнгөнүңүз жакшы:

XWorm

XWorm Бул мыйзамдуу көрүнгөн аткарылуучу файл аталыштарын колдонуу менен жакында эле коркунучтуу түрдө өнүккөн белгилүү кесепеттүү программа. Бул ага мүмкүндүк берет зыянсыз колдонмо катары өзүн камуфляж, колдонуучулардын да, системалардын да ишенимине ээ болуу.

Кол салуу а менен башталат жашыруун .lnk файлы Адатта фишинг кампаниялары аркылуу таратылат, ал зыяндуу PowerShell буйруктарын аткарып, системанын убактылуу каталогуна текст файлын жүктөйт, андан кийин алыскы серверден discord.exe деп аталган жасалма аткарылуучу файлды ишке киргизет.

Биздин компьютерге киргенден кийин, XWorm болот алыскы буйруктардын бардык түрлөрүн аткаруу, файлдарды жүктөөдөн жана URL даректеринен DDoS чабуулдарына чейин.

NotDoor

Учурдагы эң олуттуу көрүнбөгөн кесепеттүү коркунучтардын дагы бири NotDoorОрус хакерлери тарабынан иштелип чыккан бул татаал вирустун максаты болуп саналат Outlook колдонуучулары, алардын купуя маалыматтарын кимден уурдашат. Ал ошондой эле бузулган системаларды толук көзөмөлдөй алат. Анын өнүгүшү россиялык белгилүү кибершпиондук топ болгон APT28ге таандык.

NotDoor экени белгилүү Visual Basic for Applications (VBA) менен жазылган жашыруун зыяндуу программа, белгилүү бир ачкыч үчүн келген каттарды көзөмөлдөөгө жөндөмдүү. Ал чындыгында өзүн активдештирүү үчүн программанын өз мүмкүнчүлүктөрүн колдонот. Андан кийин ал чабуулчу башкарган убактылуу файлдарды сактоо үчүн жашыруун каталогду түзөт.

Эксклюзивдүү мазмун - Бул жерди басыңыз  Substrack боюнча кимдир бирөө жөнүндө кантип кабарлоо керек?

Өзүңдү коргоонун эң жакшы ыкмалары (жана инфекция жуккан болсо, кандай реакция кылуу керек)

Натыйжалуу коргонуу адаттар менен технологияны айкалыштырат. "Жакшы акылдан" тышкары, сизге керек процедуралар жана аспаптар бул PC жана мобилдик реалдуу коркунучун төмөндөтөт:

  • Колдонмолорду расмий булактардан гана орнотуңуз жана иштеп чыгуучуну, уруксаттарды жана комментарийлерди текшериңиз. Билдирүүлөрдөгү, социалдык медиадагы же белгисиз веб-сайттардагы шилтемелерден этият болуңуз.
  • Ишенимдүү коопсуздук чечимдерин колдонуңуз мобилдик жана компьютерде; алар зыяндуу колдонмолорду гана аныктабастан, сизге эскертет шектүү жүрүм-турум.
  • Баарын жаңыртып туруңуз: система, браузер жана тиркемелер. Чачтар кесилген эксплуатациялоо жолдору чабуулчулардын арасында абдан популярдуу.
  • Эки кадамдуу текшерүүнү жандырыңыз банк, почта жана маанилүү кызматтарда. Бул жаңылбас эмес, бирок ал кошумчалайт кошумча тоскоолдук.
  • Атайын мүмкүнчүлүктөрдүн уруксаттарын жана эскертмелерин көзөмөлдөө; жөнөкөй утилита толук башкарууну сураса, бир нерсе туура эмес.
  • Уюлдук телефонуңузду мезгил-мезгили менен өчүрүп же өчүрүп туруңуз; толук жумалык өчүрүү жок кыла алат эс имплантаттары жана туруктуулукту кыйындатат.
  • Брандмауэрди иштетиңиз жана конфигурациялаңыз, жана өтө зарыл болбосо, администратордун уруксаттары менен каттоо эсептерин колдонууну чектейт.

Эгерде сизде көзгө көрүнбөгөн кесепеттүү инфекция бар деп шектенсеңиз (жай мобилдик, негизсиз ысык, кызыктай кайра жүктөөлөр, орнотуп жатканыңыз эсиңизде жок колдонмолор же анормалдуу жүрүм-турум): шектүү колдонмолорду алып салуу, мобилдик телефонду коопсуз режимде баштаңыз жана толук сканерден өтүңүз, сырсөздөрдү өзгөртүңүз башка түзмөк, банкыңызга кабарлаңыз жана бааны а баштапкы абалга келтирүү Эгерде белгилер кайталана берсе, кесепеттүү программа көзөмөлгө албастан сканерлөө үчүн компьютердеги тышкы медиадан жүктөөнү карап көрүңүз.

Көзгө көрүнбөгөн зыяндуу программа биздин ритм менен ойноорун унутпаңыз: кезектешип минималдуу ызы-чуу хирургиялык соккулар менен. Бул абстрактуу коркунуч эмес, бирок каталогу жашыруу ыкмалары башканын бардыгын иштетет: банктык трояндар, шпиондук программалар, идентификацияны уурдоо же микропрограмманын туруктуулугу. Эгерде сиз өзүңүздүн адаттарыңызды бекемдеп, куралдарыңызды жакшы тандасаңыз, анда сиз болосуз бир кадам алдыда көрүнбөгөн нерседен.

Окшош макала:
сиздин PC жашырылат коөт табуу