Приключения неуловимой малвари, часть I / Блог компании Varonis Systems / Хабр

Источник: http://spyware-ru.com/malwarebytes-antimalware/comment-page-19/

Что за вирус Win32.Malware-gen?

Данная угроза является одной из самых небезопасных. Что за вирус Win32.Malware-gen? Это троян (причем далеко не самый обычный).

Его отличие от множества себе подобных состоит в том, что его появление в системе может оставаться совершенно незамеченным, некоторые антивирусы на входе его не распознают, а присутствие его на компьютере до определенного момента может оставаться незаметным, поскольку на первых порах угроза может не проявляться себя абсолютно ничем. Действие на операционную систему начинается намного позже, так сказать, по завершении инкубационного периода.

Источник: http://fb.ru/article/355546/chto-za-virus-win-malware-gen-kak-ot-nego-izbavitsya

Инструментарий

HEX-редакторы

Один из основных инструментов статического базового анализа — это HEX-редактор. Их много, но в первую очередь необходимо отметить Hiew. Это безусловный лидер и бестселлер. Помимо непосредственно функций HEX-редактора, в нем реализовано еще много дополнительных возможностей, связанных с анализом файла: это и дизассемблер, и просмотрщик секций импорта и экспорта, и анализатор заголовка исполняемых файлов. Главный недостаток — все это не бесплатно (хотя и весьма недорого — от 555 рублей).

HEX-редактор Hiew

Если не хочется тратить деньги, то можно обратить внимание, например, на Hex Editor Neo (есть бесплатный вариант) или на HxD Hex Editor.

Детекторы упаковщиков

Если есть подозрение, что файл упакован, то с помощью детектора упаковщиков можно попытаться определить, какой упаковщик при этом использовался, и попробовать распаковать исследуемый файл. Долгое время безусловным лидером здесь была программа PEiD, и в принципе можно пользоваться и ей, однако поддержка давно прекращена и новых сигнатур для определения типов упаковщика уже никто не выпускает. Альтернатива — Exeinfo PE.

Exeinfo PE

Эта программа, помимо детекта упаковщиков, имеет еще много других функций для анализа исполняемых файлов Windows, и во многих случаях можно обойтись ей одной.

Специализированные утилиты для исследования исполняемых файлов Windows

Программа CFF Explorer из пакета Explorer Suite — это настоящий швейцарский нож для исследователя PE-файлов. Позволяет получить огромное количество разнообразной информации обо всех компонентах структуры PE-файла и, помимо прочего, может служить HEX-редактором.

Так что настоятельно рекомендую CFF Explorer, тем более что программа бесплатная.

Python-модуль pefile

Python-модуль pefile позволит обойтись при анализе PE-файлов исключительно интерпретатором Python. С ним практически все операции по базовому статическому анализу можно реализовать путем написания небольших скриптов. Прелесть всего этого в том, что заниматься исследованием PE-файлов можно в Linux.

Модуль присутствует в PyPi, и установить его можно через pip:

pip install pefile

Yara

Ну и в завершение всего списка весьма популярный и востребованный инструмент, ставший своеобразным стандартом в среде антивирусной индустрии, — проект Yara. Разработчики позиционируют его как инструмент, который помогает исследователям малвари идентифицировать и классифицировать вредоносные сэмплы. Исследователь может создать описания для разного типа малвари в виде так называемых правил, используя текстовые или бинарные паттерны.

Источник: http://xakep.ru/2020/07/07/malware-analysis/

Как Malware попадает на компьютеры

Злоумышленники используют:

•         Уязвимости в операционной системе;
•         Уязвимости установленного программного обеспечения;
•         Дыры в сетевой безопасности;
•         Социальную инженерию.

Самые ценные уязвимости так называемые «0-day» (нулевого дня). Это бреши в безопасности, известные только тому хакеру, который их обнаружил, т.е. над их исправлением ещё никто даже не думает. Но большинство хакеров используют уже известные дыры, рассчитывая на множество людей с устаревшим ПО и необразованность.

Уязвимости ОС Windows и программ позволяют злоумышленнику выполнить произвольный код, и тем самым загрузить тело вируса в компьютер. Открытые сетевые порты дают прямой доступ к сетевым интерфейсам. Социальная инженерия – это один из самых эффективных способов заражения вирусами. Сюда относятся:

•         подставные сайты (фишинг);
•         самостоятельный запуск заражённых программ, скаченных из интернета;
•         сёрфинг по сомнительным сайтам;
•         клики на многообещающие заголовки.

Источник: http://it-tehnik.ru/virus/malware-how-to-be-secure.html

Как происходит заражение Malware

Malware должен запуститься. Для того, чтобы запуск состоялся, Malware маскируется, присоединяясь к интересному контенту, например, картинкам, видеороликам, анимированным GIF-картинками и очень часто прячется в видео и картинках для взрослых.

Источник: http://v-mire.net/what-is-malware/

Угроза Win32.Malware-gen: что это с точки зрения воздействия на компьютер?

Как уже говорилось, угроза является скрытой, поэтому на первых порах пользователь может даже не догадываться, что вирус обосновался в системе. Через некоторое время начинается воздействие. Вирус внедряется в браузеры и производит постоянную переадресацию на зараженные сайты, вследствие чего в систему проникает стороннее вредоносное программное обеспечение. Со временем возрастает нагрузка на системные ресурсы и нарушается интернет-подключение.

Вирус связывается со своими серверами и передает на них конфиденциальную пользовательскую информацию. В конечном итоге, воздействие приводит к изменению критически важных ключей реестра, сбоям в работе Windows, блокировке некоторых сайтов и даже к дисфункции антивирусного ПО.

Источник: http://fb.ru/article/355546/chto-za-virus-win-malware-gen-kak-ot-nego-izbavitsya

Шаг первый: Отключение автозапуска

Первым шагом в удалении вируса Win32 Malware Gen является завершение исполняющего файла в списке «Диспетчера задач». Для проведения этой манипуляции:

1. Зажать сочетание клавиш Ctrl+Alt+Delete и перейти в нижнее меню «Диспетчер задач».
2. В разделе «Фоновые процессы» найти подозрительный процесс – его название похоже на random.exe.
3. Кликнуть по нему правой клавишей мыши и щелкнуть по опции «Снять задачу» либо воспользоваться кнопкой в правом нижнем углу утилиты.
4. Выйти из диспетчера.

Далее потребуется исключить зловред из списка автозагрузки: в противном случае удалить его из Windows не получится. Чтобы настроить автозапуск, надо:

1. Зайти в меню «Выполнить» зажать комбинацию Win+R либо кликнуть по значку поиска в виде лупы, расположенному справа от меню «Пуск», и ввести команду «msconfig».
2. В окне «Конфигуратора» зайти на вкладку «Службы», отметить галочкой нижний пункт меню «Не отображать службы Майкрософт» и найти странный процесс вручную. Обычно имя файла выглядит как «(RANDOM).EXE», но если такого наименования в списке нет, а другое – неизвестно, то можно временно нажать на клавишу «Отключить все».
3. После очистки автозагрузки перейти к следующему шагу.

Важно! Нужно удалять только те компоненты, которые не затрагивают контрольные суммы системных программ. Поэтому желательно воспользоваться сторонней утилитой.

Источник: http://softlakecity.ru/internet/kak-udalit-malware-gen

Описание Norman Malware Cleaner

Из всех программ мне больше всего приглянулась Norman Malware Cleaner. Многие довольно яро советуют и пользуются Malwarebytes’ Anti-Malware, но у меня оное чудо программистского разума зачем-то попыталось под видом вредоносного софта удалить Webmoney и пару других полезностей, что не есть хорошо и посему пришлось от неё сразу отказаться.

Собственно, у выбранной мной Norman Malware Cleaner, на мой взгляд, всего один недостаток — это необходимость постоянно качать новую версию, а точнее отсутствие обновления баз без перезакачки самого дистрибутива программы.

В остальном одни только плюсы — бесплатность, минималистичный и удобный интерфейс, хорошее качество и скорость работы.. В общем все замечательно, не хватает разве что поддержки русского языка.

к содержанию ↑

Источник: http://sonikelf.ru/kak-udalit-spyware-i-chto-eto-takoe/

Удаление Win32.Malware-gen вручную

Такова угроза Win32.Malware-gen. Что за вирус перед нами, думается, уже понятно. Проникает он в систему, как считается, с неблагонадежных сайтов или через торренты. Но давайте посмотрим, как удалить Win32.Malware-gen, если под рукой никаких мощных инструментов нет, а антивирус угрозу уже пропустил.

Первым делом можно использовать стандартную процедуру удаления через раздел программ и компонентов. Только в списке установленных приложений нужно искать не только саму угрозу по названию, но и сомнительные программы, инсталлированные в последнее время (список лучше отсортировать по дате). Их все нужно удалить, предварительно записав названия.

После этого следует зайти в реестр и задать поиск по названию удаленных приложений. Соответственно, от всех найденных ключей тоже нужно избавиться. Аналогичные процедуры следует проделать в «Проводнике» или в каком-то другом файловом менеджере.

Для браузеров можно использовать функцию сброса настроек, как самое простое средство восстановления первичных параметров, или заменить поисковую систему и стартовую страницу вручную. Также желательно проверить установленные расширения.

После этого следует проверить свойства ярлыков обозревателей на предмет того, чтобы в типе объекта после расширения EXE с названием браузера или указания на лаунчер (файл запуска) не было дописано что-то еще.

Источник: http://fb.ru/article/355546/chto-za-virus-win-malware-gen-kak-ot-nego-izbavitsya

Может и ваш компьютер «болен» Malware

Malware представляет собой постоянную опасность для корпоративных сетей. На текущий момент Malware разносится с неумолимой скоростью и самыми разнообразными способами. Вполне возможно, что и ваш ПК поражен им. Что можно с этим поделать?

Если случилось так, что ваш компьютер получил это зловредное ПО, то не стоит устанавливать новую версию Windows. Лучше сначала попытаться избавиться от Malware самостоятельно, либо, если вы не уверены в своих силах, вам понадобится антивирусное программное обеспечение.

Существуют настолько хорошо защищенные Malware, что их практически нельзя удалить, если они запущены. Стоит отметить, что многие из anti-Malware сервисов могут удалить лишь половину «инфекций», поэтому нужно использовать сразу несколько продуктов, чтобы быть уверенными в максимально полной очистке системы.

Источник: http://v-mire.net/what-is-malware/

Технические характеристики

Нажмите здесь, чтобы ознакомиться с полной историей выпусков наших продуктов.