Все про вирус касперского

Обновлено: 28.03.2024

В поисках смысла

Практическая польза от всего моего хобби, связанного с коллекционированием ноутбуков конца 90х, довольно сомнительная. Помня об этом, я в определенный момент перестал покупать новые-старые компьютеры. Сосредоточился на доведении конфигурации имеющихся у меня экземпляров до нужной кондиции (смотрите один из предыдущих постов и периодические апдейты в моем телеграм-канале). Но железо тут не так уж и важно. Софт, в контексте воссоздания тогдашнего окружения, интереснее и сложнее. Вот где подлинная цифровая археология, причем для нее даже старое железо не всегда требуется, достаточно эмуляторов (но не всегда).

Вероятность такого инцидента достаточно высокая: в ситуации, когда сайты производителей уже давно выключены, или контент на них тридцать три раза поменялся, откуда только не приходится доставать нужные дистрибутивы игр и программ. Могут ли они быть заражены? Да сколько угодно, и чем угодно. Мой опыт показывает, что со старыми вредоносными программами, как и с новыми, лучше всего справляется современное защитное ПО. Поэтому сетевые раскопки я провожу в изолированной виртуальной машине, и потом обязательно сканирую весь улов, во избежание. Древний антивирус на древней системе у меня теперь установлен по той же причине, по которой там стоит WinAMP — есть плееры поновее и поудобнее, но так аутентичнее.

Раскопки

Собственно сайт avp.su из 1997 года дает массу приятного чтива об антивирусной науке тех лет, иногда правда переключаясь с быстрой локальной копии на невероятно тормозной веб-архив. А вот файлов там нет, точнее есть только оффлайн-редакция "вирусной энциклопедии AVP". Впрочем оттуда можно добыть имена файлов, и по ним уже поискать. А какие вообще у нас рамки поиска? Для этого я все же отправился в веб-архив и копал сайт техподдержки, пока не нашел вот это.


Ой нет, не это. Вот это:


Судя по всему, Kaspersky Anti-Virus 6.0 — это самая свежия версия, которая пойдет на моем винтажном железе под управлением Windows 98. Windows XP в данном эксперименте я в расчет не беру — с третьим сервис-паком вы можете установить на нее Kaspersky Internet Security 2017, которая официально поддерживается до сих пор. Триалка шестой версии без особых проблем находится в сети: данные пятнадцатилетней давности обычно ищутся легко. Вот дальше уже сложнее, хотя в веб-архиве лежит копия некогда известного сайта Tucows, и там есть версия Kaspersky Anti-Virus Personal Pro от 2004 года.

А еще дальше? Вот тут начинаются проблемы. Веб-архив ранних версий сайтов как правило не хранит файлы, надежды найти там что-то немного, особенно если на сайте использовали динамические ссылки. Помогли уникальные имена файлов, креативное гугление по которым привело меня на пару FTP-серверов, которые, кажется, как настроили в 1998 году, так они и работают.


А что это там у нас в последней строчке? Ай-ай, Семен Семеныч, как же так… Ссылку на FTP давать не буду, опасаясь хабраэффекта: либо сломается, либо закроют, обидно будет терять такой артефакт. Все-таки в раннем интернете было хорошо: все свои, все открыто настежь, народу немного. По сравнению с сетью двадцатилетней давности интернет сегодня — это коллекция заборов разной степени высоты, и ведь по делу! Открытый FTP в 2018 году — это конечно не как открытый SMTP-сервер, но похоже.

Наконец-то дистрибутивы добыты, и можно начинать испытания. Я решил ограничиться тремя версиями антивируса: для DOS, ранняя версия для Windows 95 и самая современная версия для Windows 98.

AntiViral Toolkit Pro by Eugene Kaspersky для DOS Version 3.0

Для работы в чистой MS-DOS 6.22 и Windows 3.11 я использую один из пяти ноутбуков ThinkPad 600, подробнее о котором можно почитать тут. В DOS работают USB-флешки, поэтому переписать нужную программу с современного компьютера просто. А дальше мы видим…


Дальше мы видим, что я забыл установить русификатор. Добываю безотказный keyrus — кажется это та программа, с которой у меня никогда, нигде не возникало проблем. По крайней мере, последние 25 лет. Подробнее о программе и ее авторе — тут.


Так гораздо лучше, но не работает. Идем обратно на винтажный сайт: ах да, нужны же еще базы с информацией о самых свежих вирусах. В отсутствие механизма, да даже самой инфраструктуры для апдейтов онлайн, требовалось регулярно скачивать с сайта очередной архив с антивирусными базами. Подозреваю, что были и другие каналы, ныне нам неизвестные. BBS? Физическая почта?


Antiviral Toolkit Pro by Eugene Kaspersky for Microsoft Windows 95

Эта программа — новый шаг в борьбе с компьютерными вирусами, представляет из себя полностью 32 разрядное приложение, оптимизированное для работы в среде Microsoft Windows 95 и использующее все возможности, которые эта среда предоставляет.


Ах, этот винтажный дизайн. AVP для Windows, она же AVP32, уже имела знакомые нам функции, которые сейчас кажутся стандартными, вроде автоматического обновления.


Впрочем это не то автоматическое обновление, которое вы себе представляете.


Kaspersky Anti-Virus 6.0


Современные вредоносные программы могут внедряться на самые нижние уровни операционной системы, что делает их удаление практически невозможным. Обнаружив вредоносную активность на защищенной виртуальной машине с операционной системой Windows для рабочих станций, программа Kaspersky Security выполняет расширенную процедуру лечения, применяя специальную технологию лечения активного заражения.

Технология лечения активного заражения направлена на лечение операционной системы Windows от вредоносных программ, которые уже запустили свои процессы в оперативной памяти и мешают программе Kaspersky Security удалить их с помощью других методов. В результате применения технологии лечения активного заражения угроза нейтрализуется. В процессе лечения активного заражения не рекомендуется запускать новые процессы или изменять реестр операционной системы Windows.

В локальном интерфейсе Легкого агента для Windows технология лечения активного заражения по умолчанию включена, при необходимости вы можете ее выключить. В политике для Легкого агента для Windows технология лечения активного заражения по умолчанию выключена, при необходимости вы можете ее включить.

Технология лечения активного заражения требует значительных ресурсов операционной системы Windows, что может замедлить работу других программ.

После окончания процедуры лечения активного заражения программа выполняет перезагрузку защищенной виртуальной машины. После перезагрузки программа удаляет файлы вредоносного программного обеспечения и запускает облегченную полную проверку защищенной виртуальной машины.

Незапланированная перезагрузка операционной системы для серверов может повлечь за собой проблемы, связанные с временным отказом доступа к данным операционной системы или потерей несохраненных данных. Поэтому на защищенных виртуальных машинах с операционными системами Windows для серверов технология лечения активного заражения не используется.

Если Легкий агент работает на временной виртуальной машине, технология лечения активного заражения не используется. В случае активного заражения этой временной виртуальной машины требуется убедиться в отсутствии вирусов и других вредоносных программ на шаблоне виртуальной машины, из которого она была создана, и выполнить пересоздание временной виртуальной машины.

На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу, в которой анализируется реальная функциональность кнопки Mute в приложениях для конференц-связи. Да, по всем очевидным признакам кнопка Mute должна отключать запись звука с микрофона и передачу его на сервер, но так ли это на самом деле? Усомниться в этом заставляет встроенная функциональность ряда клиентов для удаленных переговоров, например Microsoft Teams:


Если у вас выключен микрофон и вы начинаете говорить, программа напоминает вам, что микрофон-то выключен и надо бы его включить обратно! А как они узнали, что микрофон выключен? И где эта проверка происходит, на клиенте или где-то на сервере? Для подробного исследования вопроса авторы работы перехватывали поток данных с микрофона и сравнивали с сетевым трафиком от клиента к серверу, дебажили работу самих клиентов и даже применяли машинное обучение. Результаты получили разнообразные, но можно сделать вывод, что наибольший режим приватности на конференц-звонках происходит при работе через веб-интерфейс.

Тестировало тестирование тестировщика, или Как мы используем и тестируем распределенную систему тестирования


Вам наверняка знакома ситуация, когда обновления, которые необходимо выкатить, — это россыпь отдельных файлов, которую надо соединить, протестировать на всех видах продуктов и поддерживаемых ОС, а потом загрузить на серверы, чтобы апдейты получили конечные пользователи.

Но что, если обновлений насчитывается 250+ типов? А если поддерживаемых ОС — порядка 250? И для тестирования требуется 7500+ тестовых машин? Такой вот типичный хайлоад. Который должен постоянно масштабироваться…

Security Week 2215: криптокошелек со встроенным трояном


Вредоносный код распространялся вместе с легитимной программой DeFi Desktop Wallet, имеющей открытый исходный код. Как и в предыдущих атаках Lazarus и связанных группировок, целью подобной операции, скорее всего, была чистая нажива — путем кражи и последующей реализации криптовалют.

Приглашаем на онлайновый митап про системы сборки С++ кодовой базы


Security Week 2214: готовые наборы для фишинга


Security Week 2213: взлет и падение группировки LAPSUS$


Можно сказать, что LAPSUS$ вела себя нагло, открыто занимаясь поиском сотрудников компаний, готовых за вознаграждение предоставить доступ к корпоративной инфраструктуре или как-то еще посодействовать взлому. В отличие от других киберпреступников-вымогателей, деятельность этой группировки велась с необычной степенью открытости. Сейчас уже можно предположить, что и наглость, и безрассудный слив информации об атаках прямо в процессе взлома были скорее не стратегией, а следствием молодецкого задора участников. Конспирацию они тоже соблюдать не старались. Поводом для ареста стал слив персональных данных того же WhiteDoxbin другими киберпреступниками, которые, видимо, также не оценили инновационные практики ведения дел.

Security Week 2212: взлом шифрования методом Ферма

Типичным следствием уязвимости в алгоритме шифрования становится лишь теоретическая возможность кражи секретных данных. Например, решение о полном отказе от алгоритма хеширования SHA-1 было принято еще до практической атаки в 2017 году, стоимость которой (в условных виртуальных вычислительных ресурсах) составила внушительные 100 с лишним тысяч долларов. Тем интереснее пример уязвимого алгоритма, который можно моментально взломать при помощи метода, известного уже более 300 лет.


Security Week 2211: новый вариант Spectre

Исследования об уязвимостях Spectre и Meltdown были опубликованы в январе 2018 года. С тех пор появилось множество работ, развивающих общую идею использовать механизм предсказания ветвлений в процессоре (или других аппаратных особенностей) для выполнения произвольного кода и кражи секретов. Подтвердилась теоретическая возможность удаленной эксплуатации, нашлись варианты эксплуатации для процессоров всех крупных производителей. Эти многочисленные проблемы решали как в софте, так и в новом железе.



Свежая работа исследователей из Амстердамского свободного университета (описание и FAQ, исходник в PDF) показывает новый вариант атаки Spectre v2, который позволяет обойти как программные заплатки, так и аппаратные. Несущественная, но любопытная деталь данного исследования: компания Intel признала наличие проблемы в собственных процессорах и присвоила соответствующим уязвимостям красивые номера CVE-2022-0001 и CVE-2022-0002.

Security Week 2210: поддельный драйвер для майнинга и утечка данных Nvidia


Более ранняя попытка ограничить майнинг криптовалюты и тем самым повлиять на дефицит видеокарт в рознице провалилась: в марте 2021 года для карты RTX3060 утек драйвер, восстанавливающий полную мощность вычислений. В других случаях помогала перепрошивка BIOS от другой платы — процесс несколько более опасный, чем смена версии драйверов. Утилита LHR v2 unlocker также обещала модифицировать BIOS видеокарты для восстановления мощности криптомайнинга. Но по факту программа запускает вредоносный Powershell-скрипт, пользуясь предоставленными жертвой правами в системе.

Security Week 2209: криптография в смартфонах

На прошлой неделе исследователи из Тель-Авивского университета опубликовали научную работу, в которой сообщили об обнаружении серьезных недостатков в системе шифрования данных смартфонов Samsung. Уязвимости, на данный момент исправленные, были найдены в защищенном приложении Keymaster Trusted Application.


Security Week 2208: NFT-фишинг


Psion 5MX против Planet Gemini: иногда КПК возвращаются


Security Week 2207: связь между DDoS и стоимостью криптовалют


Интерес представляют причины, по которым такой рост происходит. С одной стороны, это сезонные факторы: на конец года традиционно приходится рост заказов на черном рынке. Еще одной причиной серьезного роста могли стать флюктуации на рынке криптовалют. Дело в том, что мощности, используемые для DDoS и для майнинга, не полностью, но взаимозаменяемые. При падении курса криптовалют увеличивается количество и мощность DDoS-атак, и наоборот. Тем временем курс биткойна, поставив в середине ноября очередной рекорд, начал резко снижаться.

Security Week 2206: нетривиальный взлом браузера Safari


Есть более сдержанное описание работы Райана: он построил достаточно сложную, но вполне реалистичную атаку, воспользовавшись рядом уязвимостей (скорее даже логических ошибок) в MacOS. Главным элементом атаки является особенность формата для хранения копий веб-страниц, известного как Web Archive. При отображении такой сохраненной страницы браузер Safari по умолчанию наделяет копию правами оригинала. Модификация архива, соответственно, позволяет получить доступ к секретным данным или воспользоваться разрешениями сайта, например для доступа к веб-камере.

Это штатная фича архивов страниц, сомнительная сама по себе с точки зрения безопасности. Впрочем, заставить пользователя скачать и открыть модифицированный файл .webarchive достаточно сложно, в том числе благодаря встроенным средствам защиты. Обход этой защиты и представляет собой самую интересную часть исследования.

Sony MZ-N10: о любви к 20-летнему минидисковому рекордеру



Это не значит, что мне больше нечего изучать. Часть устройств в моей коллекции умеренно сломана и требует ремонта. Сегодня я хочу рассказать про мелкий ремонт Sony MZ-N10. Это портативный минидисковый рекордер с возможностью прямого подключения к ПК. Тонкий и легкий аппарат был выпущен к десятилетнему юбилею минидиска, в 2002 году. В этом году ему, соответственно, исполняется 20 лет, а носителю — тридцать. Заодно давайте посмотрим, какой за последние три года появился современный софт для работы с ретроустройствами. Музыку на минидиск теперь можно записывать прямо из браузера!

О хороших практиках построения инфраструктуры ML-моделей

Не все дата-сайентисты умеют хорошо писать код. Их этому не учили. Также их не учили писать веб-сервисы, и они могут забывать, что код должен быть проверен. Дата-сайентисты — не разработчики, от них ждут высоких метрик и решения поставленных задач, а не умения писать модульные тесты и следить за кодом. По крайней мере, им это не прививают. Не говоря уже о том, что они не работают с Kubernetes и не пишут для него Helm charts.


Всю эту историю расскажу на примере живого проекта MDR (Kaspersky Managed Detection and Response).

Security Week 2205: эскалация привилегий в Linux и Windows

Важной новостью прошлой недели стало обнаружение уязвимости в PolKit — открытом ПО, использующемся в большинстве популярных дистрибутивов Linux для контроля пользовательских привилегий. С 2009 года в коде входящей в состав PolKit утилиты pkexec существовала ошибка, вызывающая повреждение памяти. Эксплуатация данной уязвимости — простой и надежный способ получить привилегии root, если у вас уже есть доступ к системе в качестве обычного пользователя.



Технические детали уязвимости приводятся в отчете компании Qualys, а пример эксплуатации уязвимости на скриншоте выше взят из этой публикации. Для распространенных дистрибутивов (как минимум Ubuntu, Debian, Fedora, CentOS) патч был выпущен до публикации информации об уязвимости. Назвали уязвимость по мотивам имени компонента: PwnKit.

Security Week 2204: MoonBounce, вредоносный код в UEFI


Артефакты в CLR: как маскируют современные кибератаки и как SOC может их обнаружить



С другой стороны, киберпреступники стали более избирательными и всесторонне исследуют цель, прежде чем целенаправленно атаковать ее.

Капитанская вещь, но: для защиты рабочей станции как минимум необходимо использовать всем давно знакомый антивирус. Впрочем, благодаря политике Microsoft, он сейчас есть на каждой машине с Windows. В пик роста кибератак и удивительной находчивости хакеров многие считают, что антивирус работает лишь как плацебо: поставил его на машину и спи себе спокойно.


На сегодняшний момент классический антивирус, который сигнатурно проверяет файлы, действительно не эффективен. Злоумышленники стали активнее и умнее. Поэтому для защиты рабочих станций нужно использовать продукт, совмещающий в себе как классический антивирус, так и разнообразные варианты поиска вредоноса, например, по поведению.

Не стоит забывать о таких важных вещах, как мониторинг уязвимости в программах на всех машинах предприятия, антивирусные проверки файлов в оперативной памяти и на флешках, проверку почтового и веб-трафика.

Многие организации переводят свои мощности на виртуальные машины. В данном случае виртуальную среду тоже необходимо как-то защищать. Можно, конечно, поставить защиту на каждую такую машину, но так как обычно виртуалкам выделяется мало ресурсов, то хорошо бы строить защиту виртуальный среды с отдельной виртуальной машины. Выделенная машина обрабатывает все данные, а на рабочие виртуалки устанавливаться только агент, который не дает большой нагрузки.


Можно также использовать агентское решение, доступное только для VMware. В этом случае агент не устанавливается на виртуальную машину, а осуществляет защиту и проверяет машины на наличие угроз через гипервизор. Именно такая схема реализована в том же Kaspersky Security для виртуальных и облачных сред.


Если злоумышленник пробрался во внутрь сети и на 443-й повесил ssh, а потом пошел на другую машину и с нее хочет подключится и выполнить вредоносные действия, то у него ничего не выйдет. В случае использования классического firewall — по 443 порту можно делать все, что хотите. В качестве open source варианта для создания firewall можно рассмотреть pfSense, который, кроме основных функций, предоставляет возможности по маршрутизации и балансировке трафика.

DDOS — штука неприятная. К тому же если конкуренты решили вывести ваш сайт из строя в самое неподходящее время, то атака может вылиться в большие потери.

Еще один компонент платформы — песочница — изолированная среда, в которой запускаются файлы и анализируется их поведение.

Читайте также: