Если честно тоже долго не мог понять как-же они обходят светодиод?
Даже несколько раз задавал у «Бывалых» такой вопрос и никто внятно не мог ответить!
В этоге понял что во первых не все камеры имеют этот светодиод, либо он расположен в незаметном месте, а во вторых есть категория людей которые просто проигнорируют эту индикацию, а действительно есть люди для которых компьютер это соц. сеть, посмотреть кино, послушать музыку и всё…
Такие люди мало что знают в компьютерах, ну зажгётся лампочка и что, есть вероятность что ничего даже не заподозрят, как-то так! ;)
Это конечно наше небольшое упущение, что Майкрософт не потестили реакцию на билды, но сейчас собрал и проверил свою сборку + скрипты для закрытия окон на Windows 8, майкрософт никак не реагирует на билд, скажу больше т.к. у файла rutserv.exe имеется цифровая подпись, то идёт автоматическое добавление РМС в исключение файервола Windows…
Как видите сканеры большинства антивирусов обнаруживают как Riskware.RemoteAdmin, НО как я уже писал здесь при запуске большинство АВ никак не реагируют (При настройках по умолчанию)…
Кстати майкрософт как раз никак незадетектил наш «Троян»! ;)
Тоже и с Comodo, на запуск не проверял, но он не видит РМС на VT…
В статье не написал, но хочу добавить как можно защититься от таких сборок:
1)Не отключать UAC, т.к. большинство таких сборок требуют админских прав и устанавливаются как сервисы виндовс + такие трояны часто склееваются с mp3, avi и прочей полезной нагрузкой, поэтому если при клике на видяшке загадочно появилось окошко о повышении привелегий, нужно всерьёз задуматься а не вирус-ли это.
2)К сожалению если сборка патченная (А в нашей статье такая сборка тоже рассматривалась), то она может и не дербанить UAC, тут-может помочь следующее:
2.1)Конечно нужно регулярно обновлять АВ, т.к. как показало наше исследования специалисты АВ отслеживают эти сборки и добовляют их в базы;
2.2)Для успокоения можно включить в антивирусах опцию «Обнаруживать потенциально-опасное ПО», эта опция может называться по разному в зависимости от АВ, но суть та-же, тогда антивирус будет обнаруживать попытку установки таких программ…
2.3)Как я уже сказал, что такой софт часто «склеевается» с полезной нагрузкой (Хоть и вес получается большой), смысл такой, а я недавно как-раз и скачал такой троян с торрента, так-вот:
Качал я музыку с торрента, и мой антивирус задетектил файл с расширением mp3 с таким вердиктом BackDoor.RMS.45…
Оказался патченный РМС, но даже если-бы АВ незадетектил, у меня у файервола включен контроль на запуск новых exe файлов, смысл такой что даже если я попробую запустить склеенный, либо скрытый вирус моя защита среагирует на запуск нового исполняемого файла, а если это mp3 либо картинка то это вызовет подозрение…
У многих файерволов есть такие настройки, но понятно что включение такой опции может повлечь за собой неудобство связанное с запросами к пользователю!
Ну и если ещё возникли вопросы по статье, задавайте! ;)
А вообще про многие антивирусы можно поведать конспирологическую теорию:
Приведу несолько примеров:
1)Раз уж вспомнили антивирус Zilly!, то если не ошибаюсь то не так давно они провели исследование по поводу как ЛК шпионит за пользователями и особенно за Украиной, вот нашёл эту статью:http://ain.ua/2014/05/27/525970
2)Про антивирус Нортон, Китай отказался от их решений, тоже кстати не так давно:http://www.rg.ru/2014/07/11/china-symantec-site.html
А вообще в силу существующих реалий, многие задумываются и особенно гос. структуры, а на сколько безопасны решения, при-чём не только антивирусы ну и сама система, ведь как известно тот-же Китай отказался от Windows 8 из-за подозрения в шпионаже!
А ведь действительно почти у всех антивирусов есть так называемая «Облачная сеть», в которую могут отправляться конфиденциальные данные пользователя, на сколько эти данные могут-быть скомпроментированы вопрос?
Извините, что долго не отвечал на комментарии, итак по замечаниям к статье:
1)Выводы нужно-было конечно сделать, но основной вывод вытекает из статьи, т.е. мы хотели показать, что в качестве троянов можно использовать вполне легальные и безусловно нужные программы для администрирования, ведь РМС это не единственная программа, их ОЧЕНЬ много и ко многим есть похожие сборки как описанные в статье…
В качестве примера можно привести радмин, но при помощи легальных программ делают не только «Ботов» можно ещё привести в пример программы для восстановления паролей, кстати эти программы часто используют для создания стиллеров — т.е. программ, которые воруют пароли браузеров и т.д., если это интересно могу рассказать про это более подробно в коментах, или написать отдельную статью!
2)Хочу отметить про реакцию антивирусов:
Если проверять легальные файлы rutserv сканерами (По требованию), то будет такая реакция как Not-A-Virus Remote Admin или что-то похожее в зависимости от антивируса, НО если будет установка сборки при включенном мониторе, ТО ПРИ НАСТРОЙКАХ ПО УМОЛЧАНИЮ, будет произведена установка без всяких уведомлений…
Хочу ещё отметить про наш выбор антивирусов, мы хотели проверить топовые (на наш взгляд) антивирусы + несовсем раскрученные решения что-бы сравнить реакцию решений, этим и обуславливается выбор Zillya!, Nano, VBA32!
Даже несколько раз задавал у «Бывалых» такой вопрос и никто внятно не мог ответить!
В этоге понял что во первых не все камеры имеют этот светодиод, либо он расположен в незаметном месте, а во вторых есть категория людей которые просто проигнорируют эту индикацию, а действительно есть люди для которых компьютер это соц. сеть, посмотреть кино, послушать музыку и всё…
Такие люди мало что знают в компьютерах, ну зажгётся лампочка и что, есть вероятность что ничего даже не заподозрят, как-то так! ;)
Если честно то Comodo неприятно удивил!
Хочу ещё добавить про реакцию АВ, что-бы не быть голословным, залил файл rutserv.exe на VirusTotal:
www.virustotal.com/ru/file/57ae1d78909fede3aa45037bfb5402204c13b162d85f553448f2767bb8ceb397/analysis/1412067599/
Как видите сканеры большинства антивирусов обнаруживают как Riskware.RemoteAdmin, НО как я уже писал здесь при запуске большинство АВ никак не реагируют (При настройках по умолчанию)…
Кстати майкрософт как раз никак незадетектил наш «Троян»! ;)
Тоже и с Comodo, на запуск не проверял, но он не видит РМС на VT…
1)Не отключать UAC, т.к. большинство таких сборок требуют админских прав и устанавливаются как сервисы виндовс + такие трояны часто склееваются с mp3, avi и прочей полезной нагрузкой, поэтому если при клике на видяшке загадочно появилось окошко о повышении привелегий, нужно всерьёз задуматься а не вирус-ли это.
2)К сожалению если сборка патченная (А в нашей статье такая сборка тоже рассматривалась), то она может и не дербанить UAC, тут-может помочь следующее:
2.1)Конечно нужно регулярно обновлять АВ, т.к. как показало наше исследования специалисты АВ отслеживают эти сборки и добовляют их в базы;
2.2)Для успокоения можно включить в антивирусах опцию «Обнаруживать потенциально-опасное ПО», эта опция может называться по разному в зависимости от АВ, но суть та-же, тогда антивирус будет обнаруживать попытку установки таких программ…
2.3)Как я уже сказал, что такой софт часто «склеевается» с полезной нагрузкой (Хоть и вес получается большой), смысл такой, а я недавно как-раз и скачал такой троян с торрента, так-вот:
Качал я музыку с торрента, и мой антивирус задетектил файл с расширением mp3 с таким вердиктом BackDoor.RMS.45…
Оказался патченный РМС, но даже если-бы АВ незадетектил, у меня у файервола включен контроль на запуск новых exe файлов, смысл такой что даже если я попробую запустить склеенный, либо скрытый вирус моя защита среагирует на запуск нового исполняемого файла, а если это mp3 либо картинка то это вызовет подозрение…
У многих файерволов есть такие настройки, но понятно что включение такой опции может повлечь за собой неудобство связанное с запросами к пользователю!
Ну и если ещё возникли вопросы по статье, задавайте! ;)
Приведу несолько примеров:
1)Раз уж вспомнили антивирус Zilly!, то если не ошибаюсь то не так давно они провели исследование по поводу как ЛК шпионит за пользователями и особенно за Украиной, вот нашёл эту статью:http://ain.ua/2014/05/27/525970
2)Про антивирус Нортон, Китай отказался от их решений, тоже кстати не так давно:http://www.rg.ru/2014/07/11/china-symantec-site.html
А вообще в силу существующих реалий, многие задумываются и особенно гос. структуры, а на сколько безопасны решения, при-чём не только антивирусы ну и сама система, ведь как известно тот-же Китай отказался от Windows 8 из-за подозрения в шпионаже!
А ведь действительно почти у всех антивирусов есть так называемая «Облачная сеть», в которую могут отправляться конфиденциальные данные пользователя, на сколько эти данные могут-быть скомпроментированы вопрос?
Извините, что долго не отвечал на комментарии, итак по замечаниям к статье:
1)Выводы нужно-было конечно сделать, но основной вывод вытекает из статьи, т.е. мы хотели показать, что в качестве троянов можно использовать вполне легальные и безусловно нужные программы для администрирования, ведь РМС это не единственная программа, их ОЧЕНЬ много и ко многим есть похожие сборки как описанные в статье…
В качестве примера можно привести радмин, но при помощи легальных программ делают не только «Ботов» можно ещё привести в пример программы для восстановления паролей, кстати эти программы часто используют для создания стиллеров — т.е. программ, которые воруют пароли браузеров и т.д., если это интересно могу рассказать про это более подробно в коментах, или написать отдельную статью!
2)Хочу отметить про реакцию антивирусов:
Если проверять легальные файлы rutserv сканерами (По требованию), то будет такая реакция как Not-A-Virus Remote Admin или что-то похожее в зависимости от антивируса, НО если будет установка сборки при включенном мониторе, ТО ПРИ НАСТРОЙКАХ ПО УМОЛЧАНИЮ, будет произведена установка без всяких уведомлений…
Хочу ещё отметить про наш выбор антивирусов, мы хотели проверить топовые (на наш взгляд) антивирусы + несовсем раскрученные решения что-бы сравнить реакцию решений, этим и обуславливается выбор Zillya!, Nano, VBA32!