Несколько вопросов о HIPS , Пробую его изучать, но есть некоторые моменты

RSS
1. Устанавливаю игры, само собой не лицензионные, некоторые из них хотят получить доступ к csrss.exe https://sun9-7.userapi.com/impf/ZM3eGyLmwJPKdL7LnF-fn799gbX6q-wFJfSDvQ/5OqOZApphUA.jpg?size=1041x276... и мне хочется узнать, нормально ли это или стоит опасаться?

2. Эта игра так и вовсе хочет прописать ключик в реестре https://sun9-29.userapi.com/impf/sdMAexR7YwiLil2nm33XON7XFas5r7gwi5Ij-Q/5sBgNDZCgUY.jpg?size=694x513... и еще пытается получить не только доступ к csrss.exe но и к службам ESET https://sun9-7.userapi.com/impf/OwdiWzI6M9gOnMqiTLgKJiqY-LW0h5YYFjtkig/KPgSrGUfno8.jpg?size=1007x771... что тоже меня заинтересовало

3. Еще одна игра тоже меня заинтересовала. Мне показывает это при сканировании https://sun9-27.userapi.com/impf/uuzSiNU6qVNz6rM0SJRb9-ZzitExsElUxWyKNA/U9p96-4xOHg.jpg?size=798x393...  как я понимаю, это кряк для взлома игры, но могу ошибаться, дефендер мелкомягких показал это https://sun9-7.userapi.com/impf/pKL_NfzKnN1M0PWQR4ad0DOilWv9hsOokt5gyA/9ma3-rTJoTk.jpg?size=448x367&... а доктор веб cureit  молчит, пробовал удалить через дефендер, но это как я понял уже ЕСЕТ не разрешает)) ну это я так для эксперимента https://sun9-72.userapi.com/impf/6cu_W7WN087QhuNbs_baaZq39mXAxtI3-FlkOw/vKUnjsPxTfE.jpg?size=788x316...
а самим ЕСЕТом я удалил https://sun9-61.userapi.com/impf/U4s-kIDJJ5TLDp3-U8aXazFU8PoQEkqnwPr-lw/F7lQbah6h_o.jpg?size=745x547... и повторно просканил - всё нормас. Правда в windows defender один хрен он показывает, но это насколько я знаю баг такой (хз как от него избавиться теперь)

И вот что интересно:
а) Зачем некоторые экзешники лезут в csrss.exe ? Ведь некоторые другие игры с торрента вообще не пытаются лезть туда, да и не собираются менять параметры системы
б) За каким лешим спираченой игре ключ в реестр запиливать?
в) Может ли безопасная без вирусов спираченая игра лезть к антивируснику с попыткой получить доступ? (наверное глупый вопрос) Может ей типо разрешение надо для чего-то?
г) Что за Windows32HackToolCrack.CS такой? Кряк/таблетка для игры или что? В других спираченых игрушках при сканировании ничего такого обнаружено не было, от слова совсем, однако там таблэтки наверняка тоже есть, весь не лицензионные же игрушки то.
Изменено: Подозрительный Человек - 10.12.2020 13:33:09

Ответы

Ну я так думаю, подобные вирусы как правило не водятся на всяких трекерах и подобным им интернет-ресурсах. Поскольку на такую малварь требуются хорошие мозги и ресурсы, которые тратить на какого-нибудь Васю Пупкина из 7Б, качающего игрушечки, уж слишком геморно. Я так полагаю, что этот вирус для кого-то посерьёзнее предназначен. На счёт руткитов и буткитов, увы не знаю. И как их вычислять тоже не знаю
Вначале вирусы под BIOS\UEFI  были больше как научный эксперимент. т.е. случаи единичные и лабораторные.
Сейчас случаи заражения могут идти на тысячи.
т.е. ситуация похожа на первые компьютерные "вирусы".

Сейчас сложно прогнозировать что будет дальше.

По поводу заработка на Пупкиных  - "Один Пупки рубль - Десять Пупкиных червонец"
Сейчас продаётся\перепродаётся любая информация.

Дорого стоит новый\оригинальный вирус - а потом его продают\перепродают со скидкой, или вообще выкладывают в свободный доступ и т.д.
т.е. в конце концов распространяют вирус люди к его созданию не имеющие никакого отношения.
Есть деньги есть, вирус - купили\заказали\модифицировали.

т.е. если данный метод заражения окажется эффективным и прибыльным... последуют новые заказы.

Сейчас наблюдается спад активности обычных вирусов\угроз и народ несколько расслабился...
Изменено: RP55 RP55 - 12.12.2020 08:04:09
В общем касательно этого вируса - единственный вариант, менять материнку. А так на него ещё нарваться надо. К примеру на торрентах 2летней давности вряд ли попадёшь на него. А этот вирус не специально против простого смертного сделан. Потом да, когда он потеряет актуальность... то тогда уже как Вы и написали - будет чуть ли не в свободном доступе. Я конечно вообще поражаюсь, что к примеру могут просто пак с вирусами выложить, ведь это же вроде как уголовно наказуемо.

Ещё как вариант не качать с торрентов однодневок, есть бухта, ест рутрекер, рутор... на крайняк thelastgame. Для фильмов тоже свои торренты есть.

А то, что спад - так это хорошо. Ну конечно расслабляться нет стоит)
Цитата
Подозрительный Человек написал:
В общем касательно этого вируса - единственный вариант, менять материнку.
Это категоричное заявление :)
Если есть DUAL BIOS - то сброс настроек должен пройти нормально.
Сейчас риск выше чем раньше - BIOS\UEFI всё больше унифицированы и железо производят всего несколько компаний.
т.е.  намного проще подобрать ключ.
Если пользователь не научиться решать эту проблему - то у него не будет денег на покупку нового железа ( всё сопрут )

Цитата
Подозрительный Человек написал:
А этот вирус не специально против простого смертного сделан.
Есть ещё промышленный шпионаж  Таргетированные (или целенаправленные) атаки - А есть на удачу - т.е.  Одним махом семерых побивахом ...
Из 100 атакованных PC - хоть один да содержит нужную информацию... А это потенциально миллионы $...

Цитата
Подозрительный Человек написал:
Я конечно вообще поражаюсь, что к примеру могут просто пак с вирусами выложить, ведь это же вроде как уголовно наказуемо.
Есть сайты\ресурсы - где можно скачать вирус - для изучения.
они работают вполне легально.

Есть Даркнет
Купля\продажа\обмен кодом\зверями.

Цитата
Подозрительный Человек написал:
А то, что спад - так это хорошо.
Не уверен. Многие антивирусные компании откидывают копыта - протягивают ласты.
Нет смысла не выгодно создавать новые компании.

Будущее за машинным обучением искусственным интеллектом - квантовыми PC ( в плане отлова зверья )
Цитата
Есть ещё промышленный шпионаж   Таргетированные  (или целенаправленные) атаки - А есть на удачу - т.е.  Одним махом семерых побивахом ...
Из 100 атакованных PC - хоть один да содержит нужную информацию... А это потенциально миллионы $...
Плюс ещё эти компьютеры попадут в ботнет-сеть, из которой я так понимаю выбраться трудно, или ждать, когда её накроют. Ну или ОС переустановить с полным форматированием всех дисков... наверное...
Цитата
RP55 RP55 написал:
Есть  Даркнет
Купля\продажа\обмен кодом\зверями.
Слышал об этом. Мне кажется, что уже лазая по даркнету, можно нахватать чего не попадя. Но насколько я знаю, ZOG не дремлет и хватает за задницу зазевавшихся киберпреступников как раз в даркнете
Цитата
Подозрительный Человек написал:
ОС переустановить с полным форматированием всех дисков... наверное...

Нет, это не поможет.
BIOS\UEFI  - информация записана на чип который встроен в материнскую плату.
На диске могут быть дополнительные компоненты вируса - которые вирус загрузит по сети - при форматировании диска они будут удалены ( но вирус их снова запросит по сети )
Но если преступников накроют - вирус не сможет загружать дополнительные компоненты, получать обновления и информация от вируса - её некуда будет передавать.
Цитата
Нет, это не поможет.
BIOS\UEFI  - информация записана на чип который встроен в материнскую плату.
Получается из ботнета можно только выбраться, перепрошив БИОС? А если к примеру запретить фаерволом, хипсом и UAC скачивать вредоносное ПО или что-то в этом роде?
Как я понял, вирус, который из компьютера делает зомби для ботнет-сети - заседает в BIOS
Цитата
Подозрительный Человек написал:
Получается из ботнета можно только выбраться, перепрошив БИОС?
От _этого "вируса" Да, сброс\прошивка.
Цитата
Подозрительный Человек написал:
запретить фаерволом, хипсом и UAC скачивать вредоносное ПО или что-то в этом роде?
" Вирус "  запускается до старта системы и средств защиты, они или не увидят его, или увидят - но не смогут удалить.
Могут эксплуатироваться уязвимости браузеров - и тогда загрузка будет идти за счёт браузера.
Компоненты которые загрузит " вирус " можно блокировать.
Но в этом нет смысла. Это как битва с ветряными мельницами.

Цитата
Подозрительный Человек написал:
Как я понял, вирус, который из компьютера делает зомби для ботнет-сети - заседает в BIOS

В статье об этом и говориться...
1) Можно предотвратить заражение - настроив режим безопасности в BIOS
2) Нужно знать данные о своей родной прошивке - и отслеживать изменения.
3) Чтобы PC функционировал - нужен BIOS чтобы BIOS  работал нужен нормальный код. В чипе мало памяти, а у "вируса" должен быть определённый функционал.
т.е. он должен решать определённые задачи - для этого ему нужны доп. модули и новые инструкции которые он и получает  ( как правило по сети ).
Цитата
он должен решать определённые задачи - для этого ему нужны доп. модули и новые инструкции которые он и получает  ( как правило по сети ).
И вот отсюда начинается настоящая информационная безопасность - выдёргивание провода))

Ну с этим трикботом понятное дело... трудновато бороться, это не простой вирус. Но а что вот, касательно простых троянов, которые машину заражают и потом в ботнет-сеть добавляют - удалить этот троян, проверить на бекдоры систему, если найдутся, то удалить, и тогда же ПК отрубится от ботнета? Или что-то ещё понадобится, с тем же BIOS например? Просто я читал, что в основном в ботнеты прилетает машина из-за троянов, или чушь написана была?
Цитата
Подозрительный Человек написал:
вирус
На самом деле термин "вирус " в данном случае не верен.
Классический вирус - это то, что повреждает или уничтожает системные файлы, файлы пользователя.
т.е. название отсылает нас к биологическим угрозам\вирусом.
Реально это троянская программа.
Сейчас угрозы это конструкторы - нужен новый функционал - добавляют, что-то не нужно удаляют. Продают\покупают даже не сам вирус а КОД - отдельные функции\возможности\компоненты.

Есть файловые вирусы т.е. на диске сохраняются файл\файлы вирусов ( в скрытом или явном виде )- которые запускаются - тем или иным образом.
Есть без файловые - т.е. это просто процесс в оперативной памяти - пока PC работает "вирус" есть - перезагрузили его уже нет.

Как я уже говорил нужно отслеживать что находиться в оперативной памяти в норме и при появлении нового объекта реагировать.
Для лечения и профилактики изучать uVS и FRST
https://forum.esetnod32.ru/forum8/topic15785/
+
Читать статьи на специализированных сайтах форумах по информационной безопасности.
Изменено: RP55 RP55 - 14.12.2020 00:27:48
Читают тему (гостей: 2)