Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 15
Windows: type myExecutableFile.exe >> myImageFile.png
Windows: copy /b a.jpg+b.exe c.jpg. Так надежнее.
Мдя… Если у кого-то есть ключи к вашей квартире (пароль пользователя бд с нужными правами) — он может войти и приготовить себе обед на вашей плите (намайнить крипты). А консьержка (антивирус) не заметит, что он принёс сковородку (код для майнинга).
И беспокоиться мы будем именно об этом, а не о том, что он может что-то украсть или сломать.
Может, всё-таки лучше поменять замок?
Небольшое добавление
По скриншоту видно, что вредоносная программа была отнесена к классу условно безопасных (Tool — утилиты). Статистика показывает, что у пользователей часто для данного класса стоит действие Пропускать. То есть антивирус угрозу знает, но согласно настройкам она пропускается на компьютер
По скриншоту видно, что вредоносная программа была отнесена к классу условно безопасных (Tool — утилиты). Статистика показывает, что у пользователей часто для данного класса стоит действие Пропускать. То есть антивирус угрозу знает, но согласно настройкам она пропускается на компьютер
Также вирус в данном случае это линуксовый бинарь, антивирусы в основном под винду вот молчат(например Microsoft) — т.к. не запустится.
Честно говоря такой установки (обнаруживать только вирусы для Windows) я у антивирусов для десктопов не видел (для мобильных такое наоборот норма). Иначе как ловить проходящие вредоносные файлы. Тут скорее качество системы сбора/количество пользователей соответствующих платформ влияют
В данном случае вируса вообще нет.
Я бы вообще сказал, что это ложное срабатывание: майнер — не вредоносная программа.
Ну как сказать. Философский вопрос. Если у вас сервер полностью зависнет на майнинге (а такое в нашем саппорте тоже встречалось), то думаю вопрос о вредоносности отпадет.
1. Есть майнеры, которые по сути не отличаются от легитимных. Из все меньше, но есть. Вредоносная программа — это то, что устанавливается без разрешения или выполняет неописанный функционал. Явным образом майнер на машине нежелаемый (тормоза никому не нужны). А если он еще и прячется, то это точно троян/червь/тулза
2. Есть майнеры (мало, но есть) которые инжектируются в процессы для скрытности. Так что майнеры они разные
1. Есть майнеры, которые по сути не отличаются от легитимных. Из все меньше, но есть. Вредоносная программа — это то, что устанавливается без разрешения или выполняет неописанный функционал. Явным образом майнер на машине нежелаемый (тормоза никому не нужны). А если он еще и прячется, то это точно троян/червь/тулза
2. Есть майнеры (мало, но есть) которые инжектируются в процессы для скрытности. Так что майнеры они разные
Так дело в том что «установка без разрешения» и «выполнение полезной нагрузки» задачи ортогональные, выполняемые разным кодом. Поэтому для антивируса одинаково вредоносными могут выглядеть как майнер так и ваш скрипт считающий хеши например или проводящий нагрузочное тестирование.
Это если мы говорим о поведенческом анализаторе, контролирующем поведение запущенной программы. Антивирусное ядро (а вирустотал показывает знания именно антивирусного ядра и баз) обнаруживает программу на основе записей (если конечно не ложняк), четко относящих файл к определенной записи
Так потому по классификации майнеры зачастую и относят к относительно безопасным программам. В этот класс входят в том числе программы, которые могут использоваться и хакерами и обычными админами. По хорошему для защиты, если некая программа попадает в список потенциально опасных нужно ее занести в белый список антивируса. Но от лени так не делают, сразу разрешая запуск любых потенциально опасных. Поэтому наряду с нужным ПО начинают пропускаться всякие майнеры
для антивируса одинаково вредоносными
Так потому по классификации майнеры зачастую и относят к относительно безопасным программам. В этот класс входят в том числе программы, которые могут использоваться и хакерами и обычными админами. По хорошему для защиты, если некая программа попадает в список потенциально опасных нужно ее занести в белый список антивируса. Но от лени так не делают, сразу разрешая запуск любых потенциально опасных. Поэтому наряду с нужным ПО начинают пропускаться всякие майнеры
… а если СУБД выжрет всю память, то и её тоже к вредоносному ПО причислить
Интересно, а вот вызов lo_export, какой есть аналог функции по сохранению бинарников в чистом виде у Oracle или MS-SQL?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Почему фотография Скарлетт Йоханссон заставила PostgresSQL майнить Monero