Эксклюзив: реплики всемирно известных... антивирусов

Эксклюзив: реплики всемирно известных... антивирусов

В социальной сети Facebook распространяется новая вредоносная программа, привлекающая потенциальных жертв "интересным видео на YouTube". Явление это в наши дни совершенно обыденное; однако специфика этого случая - в исключительном имитаторском таланте, которым наделены образцы свежей инфекции.


Если наивный пользователь попадется на уловку и попытается "посмотреть видео", то вместо желаемого зрелища получит опасную нагрузку - троянскую программу, обладающую в определённой степени уникальным функционалом. Проникнув в целевую систему, вредоносная программа определяет, каким антивирусным продуктом она защищена (различается 16 наиболее популярных противоинфекционных средств), а затем, если распознавание прошло успешно, предпринимает попытку уничтожить систему защиты.

Когда же антивирус ликвидирован, вредоносная программа проявляет свой "актерский талант" - устанавливает вместо него точную копию интерфейса уничтоженного защитника. Имитация подбирается в полном соответствии исходным данным, включая даже язык локализации. "Лицо" программы, согласно имеющимся на данный момент сведениям, воспроизводится до мелочей, создавая весьма качественную иллюзию; не исключено, что обычный пользователь вообще не увидит разницы.

Разница, однако, имеется, причем критическая - естественно, реплика даже не пытается бороться с вирусами, какой бы то ни было защитный функционал у нее полностью отсутствует. Вместо этого она загружает и распространяет другие вредоносные программы, а также подключает компьютер жертвы к ботнету, превращая машину в зомби-инструмент злоумышленников. Сообщается, что исходный установочный файл этого троянского коня предлагается к загрузке под видом обновления для проигрывателя Flash Player.

А ваш антивирус - тот, за кого себя выдает? Проверьте...

SC Magazine Australia

Письмо автору

" />

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В ARMA Industrial Firewall появилась поддержка протокола СПОДЭС

Группа компаний InfoWatch представила обновление промышленного межсетевого экрана ARMA Industrial Firewall до версии 3.15. Новая версия ориентирована на повышение защиты критической инфраструктуры, в том числе промышленных и энергетических объектов.

Главное нововведение — поддержка промышленного протокола СПОДЭС, разработанного ПАО «Россети» для передачи данных с интеллектуальных приборов учёта электроэнергии.

Благодаря глубокой инспекции этого протокола экран способен контролировать и защищать каналы обмена информацией между оборудованием, что особенно актуально на фоне роста кибератак на энергетическую инфраструктуру.

В числе других изменений — автоматическая загрузка индикаторов компрометации (IoC), предоставляемых ФСТЭК России. Ранее такие данные приходилось вводить вручную, теперь же система может оперативно применять защитные меры по поступающим признакам угроз.

Кроме того, в версии 3.15 улучшены инструменты мониторинга и интеграции: реализовано отслеживание состояния системы по протоколу SNMP, добавлен контроль состояния дисков и доработаны функции управления. Это позволяет быстрее обнаруживать сбои и снижать риски простоев.

По словам представителей компании, развитие линейки ARMA связано с ростом числа атак на промышленные сети и необходимостью адаптации решений под требования российских регуляторов и специфику отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru