Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 88
Как обнаружить таких зловредов и как их обезвредить? Спасибо!
Я посмотрел на эту тему запросы в поддержку — в основном повышенное потребление ресурсов, создание новых процессов. Судя по описаниям майнеры (пока) не затрудняют себя особой маскировкой и поэтому новые процессы с высокой загрузкой должны вызывать подозрения. А далее посылаете файл в техподдержку или нам или иному антивирусу и получаете вердикт. Ну и плюс в карму, если вы прислали первым
Сложнее вычислить майнера, работающего на GPU. Он не грузит ЦП и диспетчер задач тут не поможет. Только мониторинг загрузки GPU сторонним софтом (иногда от производителя видеокарты). И Еще сложнее, вычислить скрипт на зараженном сайте. Угадай по косвенным признакам, почему открытая страничка чуть больше ресурсов требует.
Если видеокарта более-менее «серьезная», то будет очень заметно по уровню шума. У меня даже 970 печ под нагрузкой гудит и свистит дросселями так, что не заметить нереально, при том, что в корпусе ещё 8 кулеров.
Сложнее вычислить майнера, который маскируется под браузер.
В диспетчере задач Win10 скоро будет отображение загрузки видеокарты. Ну а про Process Explorer вообще молчу.
Диспетчер не реагирует на Майнер эфира. Всплеск на 100% при старте а потом тишина.
Ну так это не «не реагирует», а видимо защита, которая при запуске диспетчера снижает/отключает нагрузку.
Диспетчер задач несовершенен и считает загрузку процессора только по завершившимся квантам времени, и если приложение возвращает управление системе досрочно — квант не засчитывается. Была масса примеров как заставить приложение потреблять 50% ресурса процессора а диспетчер задач показывает нули. Обнаружить такую работу можно по косвенным признакам — тепловыделение, шум кулера, рабочие частоты процессора в автоматическом режиме и т.п.
На самом деле вычислить довольно просто, если вы хоть раз майнили, то должны знать, что видеокарта в обычном режиме почти не греется и не шумит. А вот в майнинге она шумит как самолет и греется так, что в комнате сидеть не возможно. А еще довольно часто падает драйвер видеокарты, тогда часть приложений крашится — это тоже тяжело не заметить. На ноутбуках не заметить работу видика вообще не возможно.
Единственное где можно прозевать — это сервера, но там часто нет видиков годных для майнинга. Еще можно не заметить в очень шумных и горячих офисах на несколько десятков человек, но там обычно так-же норм видики не ставят.
Единственное где можно прозевать — это сервера, но там часто нет видиков годных для майнинга. Еще можно не заметить в очень шумных и горячих офисах на несколько десятков человек, но там обычно так-же норм видики не ставят.
Не совсем так. Точнее, совсем не так.
Если исключить такую штуку как человеческая жадность автора вируса-майнера («жахну нагрузку 100% на видик и кулера включу на 100% оборотов»), то можно контролировать нагрузку на видеокарту и соответственно скорость вращения вентиляторов. Причем можно даже, наверное, использовать готовый майнер (вроде Claymore Dual Miner) и запускать его, скрывая окошко майнера.
Как пример мифа про «шумит как самолет и греется так, что в комнате сидеть не возможно» — сейчас в метре от меня работает ферма, майнить ETH и параллельно DCR. Температура видеокарт — 65-69 градусов, скорость вращения вентиляторов — 45-55%. При этом там максимальная нагрузка — можно еще уменьшить, будет еще тише работать.
Если исключить такую штуку как человеческая жадность автора вируса-майнера («жахну нагрузку 100% на видик и кулера включу на 100% оборотов»), то можно контролировать нагрузку на видеокарту и соответственно скорость вращения вентиляторов. Причем можно даже, наверное, использовать готовый майнер (вроде Claymore Dual Miner) и запускать его, скрывая окошко майнера.
Как пример мифа про «шумит как самолет и греется так, что в комнате сидеть не возможно» — сейчас в метре от меня работает ферма, майнить ETH и параллельно DCR. Температура видеокарт — 65-69 градусов, скорость вращения вентиляторов — 45-55%. При этом там максимальная нагрузка — можно еще уменьшить, будет еще тише работать.
Видимо у нас с вами, разные критерии тишины. Для меня 50% для видеокарты вполне заметный шум, из закрытого корпуса, с двух метров. (у меня AORUS 1080 8G)
Карта тише и холоднее чем скажем ASUS HD7970-DC2T-3GD5, там 250 вт реально прогревают комнату за час. Но видик прогревает весь корпус, и обороты на процессоре начинают расти, а потом и обороты корпусных вентиляторов. А у них часто такая проблема, как отсутствие петли гистерезиса, и они постоянно меняют скорость и это очень сильно заметно.
Карта тише и холоднее чем скажем ASUS HD7970-DC2T-3GD5, там 250 вт реально прогревают комнату за час. Но видик прогревает весь корпус, и обороты на процессоре начинают расти, а потом и обороты корпусных вентиляторов. А у них часто такая проблема, как отсутствие петли гистерезиса, и они постоянно меняют скорость и это очень сильно заметно.
>> Для меня 50% для видеокарты вполне заметный шум, из закрытого корпуса, с двух метров.
У меня, как у всякого правильного майнера, видеокарты (4 x 1060) стоят не в закрытом корпусе, а в специальной рамочной конструкции — соответственно, горячий нагретый воздух не собирается в закрытом корпусе, а уходит вверх. А если учесть, что комната у меня большая, а НВидиа относительно (в сравнении с АМД) слабо греется, он довольно свободно распределяется по комнате.
>> у меня AORUS 1080 8G
они куда шумней и прожорливей 1060, плюс еще много зависит от производителя.
>> А у них часто такая проблема, как отсутствие петли гистерезиса, и они постоянно меняют скорость и это очень сильно заметно.
Скачки в скорости работы вентилятора убираются либо сторонней программой контроля вращения вентиляторов, либо функционалом самого майнера (того же Claymore). В моем случае 100% нагрузка неизменные 40-50% вентиляторов мало нервируют ухо.
Но(!!!), повторюсь — это Нвидиа и 4 штуки. В случае с 6 х RX580 от АМД в той же комнате было ой какая кочегарка и весьма высокий уровень шума. Но если вернуться к началу разговора (жадность вирусов-майнеров), то при установке нагрузки в 50% на видеокарту даже те же АМД малозаметно греются, не говоря уже об НВидиа.
У меня, как у всякого правильного майнера, видеокарты (4 x 1060) стоят не в закрытом корпусе, а в специальной рамочной конструкции — соответственно, горячий нагретый воздух не собирается в закрытом корпусе, а уходит вверх. А если учесть, что комната у меня большая, а НВидиа относительно (в сравнении с АМД) слабо греется, он довольно свободно распределяется по комнате.
>> у меня AORUS 1080 8G
они куда шумней и прожорливей 1060, плюс еще много зависит от производителя.
>> А у них часто такая проблема, как отсутствие петли гистерезиса, и они постоянно меняют скорость и это очень сильно заметно.
Скачки в скорости работы вентилятора убираются либо сторонней программой контроля вращения вентиляторов, либо функционалом самого майнера (того же Claymore). В моем случае 100% нагрузка неизменные 40-50% вентиляторов мало нервируют ухо.
Но(!!!), повторюсь — это Нвидиа и 4 штуки. В случае с 6 х RX580 от АМД в той же комнате было ой какая кочегарка и весьма высокий уровень шума. Но если вернуться к началу разговора (жадность вирусов-майнеров), то при установке нагрузки в 50% на видеокарту даже те же АМД малозаметно греются, не говоря уже об НВидиа.
Теперь если вернуться к изначальной теме что мы обсуждали. То у вас ферма, на которой если случайно запустить левый майнер — то вам будет не заметно. А у меня обычный игровой комп, в хорошем корпусе на 7 120мм вентиляторов, и если у меня запустить майнинг — я замечу.
Еще у меня валяется RX460, он под майнингом шумит больше 1080 и 7970 вместе взятых. Т.е. игровые компы нач уровня с плохим корпусом и 460ым — шумят еще больше чем мой.
Итого: большинство пользователей заметят майнинг на жпу. Исключения те — кто и так майнит (ваш случай).
Еще у меня валяется RX460, он под майнингом шумит больше 1080 и 7970 вместе взятых. Т.е. игровые компы нач уровня с плохим корпусом и 460ым — шумят еще больше чем мой.
Итого: большинство пользователей заметят майнинг на жпу. Исключения те — кто и так майнит (ваш случай).
>> То у вас ферма, на которой если случайно запустить левый майнер — то вам будет не заметно.
Моя ферма (4 х 1060) шумит сейчас меньше, чем мой обычный комп, из-за которого я сейчас пишу.
>> А у меня обычный игровой комп, в хорошем корпусе на 7 120мм вентиляторов, и если у меня запустить майнинг — я замечу.
Тем более — у вас там прекрасное охлаждение, и горячий воздух будет неплохо выводится этими самими вентиляторами при неполной нагрузке на видео. Если вирус-майнер не будет жадничать и загружать видео на 100%, а будет гонять хотя бы на 50%, то вы и не заметите, и промайнить этот вирус у вас на порядок времени больше, чем при использовании 100% вашей видеокарты.
>> Итого: большинство пользователей заметят майнинг на жпу. Исключения те — кто и так майнит (ваш случай).
Итог: самоуверенность одних (вирусописателей — «жахну на 100%, эти дурни всё равно ничего не заметят») и других (пользователей-геймеров — «я всё замечу как с куста») в конце концов с кем-то из них сыграет злую шутку.
Моя ферма (4 х 1060) шумит сейчас меньше, чем мой обычный комп, из-за которого я сейчас пишу.
>> А у меня обычный игровой комп, в хорошем корпусе на 7 120мм вентиляторов, и если у меня запустить майнинг — я замечу.
Тем более — у вас там прекрасное охлаждение, и горячий воздух будет неплохо выводится этими самими вентиляторами при неполной нагрузке на видео. Если вирус-майнер не будет жадничать и загружать видео на 100%, а будет гонять хотя бы на 50%, то вы и не заметите, и промайнить этот вирус у вас на порядок времени больше, чем при использовании 100% вашей видеокарты.
>> Итого: большинство пользователей заметят майнинг на жпу. Исключения те — кто и так майнит (ваш случай).
Итог: самоуверенность одних (вирусописателей — «жахну на 100%, эти дурни всё равно ничего не заметят») и других (пользователей-геймеров — «я всё замечу как с куста») в конце концов с кем-то из них сыграет злую шутку.
На всех моих компах при гпу-майнинге заметно тормозит графический интерфейс и онлайн-видео не воспроизводится.
А как вы думаете, почему антивирусы никак не реагируют на попытку файла, не понятно откуда взявшегося, без ЭЦП, лежащего в temp, прописать что-то в автозагрузку?
Смотря какой поведенческий анализатор у данного антивируса (и есть ли он). Тестить надо.
Тут проблема, что у очень многих пользователей версии антивируса без поведенческих анализаторов стоят. Типа ненужный компонент
Тут проблема, что у очень многих пользователей версии антивируса без поведенческих анализаторов стоят. Типа ненужный компонент
Ну вот возьмем к примеру KES. где у него сия фича?
Нет у меня возможности сейчас увы засесть за тестирование. К глубочайшему моему сожалению. Формально все они должны контролировать многое, а на практике та же Microsoft ставит палки в колеса. Поэтому без тестов, чисто на документации можно не узнать.
Если ппр настройки ручками то Application startup control и Application activity control, если про неручками то SystemWatcher
:> htop
По крайней мере я так у себя на сервере нарыл. А там уже по названию очевидно
По крайней мере я так у себя на сервере нарыл. А там уже по названию очевидно
> Как обнаружить таких зловредов и как их обезвредить?
Пресечь их попадание на ПК. Никаких отличий от борьбы с другими видами вирусов здесь нет. Если система уже заражена, узнаём сценарий заражения, делаем так, чтобы он больше не повторился, и переустанавливаем ОС. Любой другой способ (антивирус, ручная чистка, эвристики ит.д.) никогда не даст 100% гарантии.
Пресечь их попадание на ПК. Никаких отличий от борьбы с другими видами вирусов здесь нет. Если система уже заражена, узнаём сценарий заражения, делаем так, чтобы он больше не повторился, и переустанавливаем ОС. Любой другой способ (антивирус, ручная чистка, эвристики ит.д.) никогда не даст 100% гарантии.
Есть такое дело. В саппорте встречаются случаи с майнерами (как и с другими типами троянов и вирусов) по типу «антивирус прибивает и прибивает, а он откуда-то лезет»
Проблем много. Уязвимость например, не все компоненты попали на анализ… Последнее очень часто с downloader'ами. Поставил все, логи почистил и удалился. А уязвимость осталась и как он проник — непонятно
Проблем много. Уязвимость например, не все компоненты попали на анализ… Последнее очень часто с downloader'ами. Поставил все, логи почистил и удалился. А уязвимость осталась и как он проник — непонятно
речь идет о поведенческом анализаторе (или его разновидности — облачном антивирусе).
облачный антивирус? Сдается мне анализ модификации файлов появился ещё во времена перехвата int 13h, если не раньше.
Тот же Claymore DualMiner (программа для майнинга) практически не создает нагрузку на ЦП (загрузка процессора 3-5%), а создает нагрузку только на видеокарту, но это визуально никак не заметно. Вентилятор видеокарты крутится со скоростью 40% (почти не слышно), прпи постоянной температуре видеокарты 69 С. PS Видеокарта ASUS 1060 GTX 3 Gb
Жадность губит майнеров. Есть программы, пытающиеся скрыть свою активность (я привел в статье пример), но не все. тут же как получается. Для заработка гарантированного нужно создать ботнет. В ботнете народу много, поэтому кто-то да заметит, а значит нужно заработать быстро
А вообще говорят, что самые выгодные программы для заработка — адварь
А вообще говорят, что самые выгодные программы для заработка — адварь
а мониторить видеокарту — это так сложно? у меня вот на экранчике logitech g15 gaming постоянно отображается частота gpu. в простое она(у моей видеокарты) 135МГц, а если больше — значит что-то не так.
я конечно понимаю, что далеко не у всех есть такие продвинутые вещи, но тут уж кто как себя любит.
я конечно понимаю, что далеко не у всех есть такие продвинутые вещи, но тут уж кто как себя любит.
Понимаете (и без обид) — аудитория Хабра/Гиктаймса — она не очень типична как пользователи. Вот вы можете себе представить, что немаленькое количество пользователей ставят себе антивирус и потом его выключают, так как тормозит?
Постараюсь на ту неделю сделать еще одну статью со статистикой про вирусы
Постараюсь на ту неделю сделать еще одну статью со статистикой про вирусы
понимаю, могу. правда лично мне кажется, что бОльшим злом является железобетонная уверенность многих пользователей, что антивирус — панацея. да и вообще, у многих пользователей к компьютерам отношение — как к холодильникам и микроволновкам. безграмотность просто царит, причём люди даже не задумываются о том, что их безграмотность может навредить кому-то кроме них самих.
Сами по себе «Майнеры» совсем никак не являются вирусами/зловредами. Они просто «Майнят».
Другое дело если хозяин компьютера не в курсе что на последний была установлена эта программа (или искажены настройки существующей).
Антивирусы по-хорошему должны просто отлавливать установку «Майнеров» и запрашивать у пользователя подтверждения что он это делает сам и сознательно.
Другое дело если хозяин компьютера не в курсе что на последний была установлена эта программа (или искажены настройки существующей).
Антивирусы по-хорошему должны просто отлавливать установку «Майнеров» и запрашивать у пользователя подтверждения что он это делает сам и сознательно.
Вообще-то ещё как зловред! У вас практически НАПРЯМУЮ воруют деньги!
Дело в том что майнинг на CPU да и впрочем на GPU особенно такого уровня что используется в массах не такая уж эффективная вещь — электричество потреблённое оборудованием стоит ДОРОЖЕ намайненой таким образом валюты. Тем самым владельцам компьютеров наносится прямой финансовый ущерб.
Или у вас электричество для компьютера бесплатное?
Дело в том что майнинг на CPU да и впрочем на GPU особенно такого уровня что используется в массах не такая уж эффективная вещь — электричество потреблённое оборудованием стоит ДОРОЖЕ намайненой таким образом валюты. Тем самым владельцам компьютеров наносится прямой финансовый ущерб.
Или у вас электричество для компьютера бесплатное?
На CPU никто не майнит лет "*цать". Я занимался майнингом. Я сам ставил на свой комп майнеры (тестировал разные) и сравнивал. И получал прибыль. Не такую правда чтоб «прыгать», но и копейками тоже не назвать.
По поводу электричества — никто бы просто не занимался майнингом, если бы электричество стоило дороже "*коинов". Прибыль больше. Если железо слабое, то и электричество оно много не ест, заработок понятно многократ меньше, но всё равно больше затрат (не считая выхода железа из строя).
Проблема лишь в том что вирусы-установщики направляют прибыль не владельцу компа, а себе. А сам «инструмент для майнинга» зловредом не является.
По поводу электричества — никто бы просто не занимался майнингом, если бы электричество стоило дороже "*коинов". Прибыль больше. Если железо слабое, то и электричество оно много не ест, заработок понятно многократ меньше, но всё равно больше затрат (не считая выхода железа из строя).
Проблема лишь в том что вирусы-установщики направляют прибыль не владельцу компа, а себе. А сам «инструмент для майнинга» зловредом не является.
Все, что ставится без разрешения — считается вредоносным. Если майнеры ставятся без разрешения пользователя — думаю спрашивать, хочет ли их поставить пользователь…
И есть печаль — антивирус может запрашивать пользователей, вот только статистика говорит, что пользователи соглашаются запустить…
И есть печаль — антивирус может запрашивать пользователей, вот только статистика говорит, что пользователи соглашаются запустить…
Видимо это было ответом на мой комментарий «14:07», но что-то пошло не так. :)
«Установка» (хоть обычная, хоть скрытая) как бы вообще не входит в функционал непосредственно Майнера. Это делает либо установщик, либо вирус.
Да, бывает что вирус ставит Майнер, настраивает в нём перечисление выгоды на создателя вируса, прописывает в автозагрузку, запускает. Но сам Майнер тут не при чём.
Живой пример-аналог: есть вирусы, устанавливающие браузер Амиго (фиг знает кому и зачем это надо), но сам-то Амиго вообще не в курсе. Так же и Майнеры: откуда им знать кто их установил и запустил? Они просто делают своё бесполезное дело — решают математическую задачу.
«Установка» (хоть обычная, хоть скрытая) как бы вообще не входит в функционал непосредственно Майнера. Это делает либо установщик, либо вирус.
Да, бывает что вирус ставит Майнер, настраивает в нём перечисление выгоды на создателя вируса, прописывает в автозагрузку, запускает. Но сам Майнер тут не при чём.
Живой пример-аналог: есть вирусы, устанавливающие браузер Амиго (фиг знает кому и зачем это надо), но сам-то Амиго вообще не в курсе. Так же и Майнеры: откуда им знать кто их установил и запустил? Они просто делают своё бесполезное дело — решают математическую задачу.
В теории так. Но я с утра посмотрел наши новости — за исключением самого первого трояна-майнера они стремятся использовать свой майнер (слова совпадают, но надеюсь понятно). Легитимный майнер нужно скрывать, он не рассчитан на скрытую работу. Была подобная новость, как скрывают легитимные майнеры, но увы не нашел
Чего там скрывать, окошко убрал и всё. :) Для 75% людей достаточно, не заметят.
Самые первые "Майнеры скрытые от владельца компьютера" вообще делали вручную засранцы из компьютерных СЦ. :)
Я просто к тому что программа не виновата что её так вот пихают и скрывают (на её месте мог быть и обычный калькулятор) — надо как-то отразить нюансы происходящего в самой терминологии, чтоб путаниц не вызывать.
Самые первые "Майнеры скрытые от владельца компьютера" вообще делали вручную засранцы из компьютерных СЦ. :)
Я просто к тому что программа не виновата что её так вот пихают и скрывают (на её месте мог быть и обычный калькулятор) — надо как-то отразить нюансы происходящего в самой терминологии, чтоб путаниц не вызывать.
надо как-то отразить нюансы происходящего в самой терминологии
Ооо вы какую тему затронули. До сих под огромное число пользователей думают что антивирусы ловят только вирусы (которых сейчас крайне мало), а для ловли руткитов, адваре и тд надо ставить специальные вещи. Если уж начинать переименовывать, то надо начинать с самого антивируса. Вот уж у кого имя из древних времен
Эмммм… А какое огромное количество пользователей отличит вирус от троянца или руткита? %)
Тут не только в названии дело. Такой терминологической путаницей пользуются производители утилит. До сих пор рекомендации журналистов поставить антикейлогер встречаются. И самое забавное — беспроигрышное дело. Штатный антивирус поймает все, но пользователь будет доволен, что ему почистили систему, не разбираясь кто это сделал
гм… Да, возможно…
Но всё же говорить "Майнер = Вирус" это то же самое если говорить "Браузер = Вирус".
Если программа была скачана откуда попало и оказалось что модифицированна злоумышленниками — да, вирус. Но сам "класс программ" более чем нормальный, некорректно его весь разом очернять.
Я сейчас возьму и напишу (нет, это сарказм) вирус, скрыто устанавливающий на компы SQL-Server, заражу миллионы компов — но разве корректно будет утверждать что «СУБД = Вирус»?
Но всё же говорить "Майнер = Вирус" это то же самое если говорить "Браузер = Вирус".
Если программа была скачана откуда попало и оказалось что модифицированна злоумышленниками — да, вирус. Но сам "класс программ" более чем нормальный, некорректно его весь разом очернять.
Я сейчас возьму и напишу (нет, это сарказм) вирус, скрыто устанавливающий на компы SQL-Server, заражу миллионы компов — но разве корректно будет утверждать что «СУБД = Вирус»?
Вирус, троян, червь — тип распространения. Майнер, шифровальщик и тд — действие. Поэтому вирус-майнер — почему нет, может и такое бить. Нету, но теоретически…
Да, действие. Вот только «шифровальщик» (если я верно понял об чём речь) портит данные, вредоносное действие. А майнеры выполняют абсолютно безвредное и даже условно полезное действие.
Весь вред состоит лишь в том что вирус скрыл факт установки и перенастроил пользу к своему создателю.
Весь вред состоит лишь в том что вирус скрыл факт установки и перенастроил пользу к своему создателю.
Ну чисто формально вы правы. Невиновный он, заставили его. Зайдем с иной области. Мобилизовали враги мирный люд захваченных областей и погнали воевать за свои интересы. Должен ли солдат по другую линию фронта разбираться, что они не виновные и гонят их заградотряды или отстреливать сразу?
Так и тут. Легитимные майнеры не виноваты, но отстреливать их будут вместе с трояном/червем их запустившим. Мы тут возвращаемся к определению вредоносных программ — вредоносная программа та, кто делает что-то без разрешения. Майнер поставился без вашего разрешения? Значит с точки зрения защиты он вредоносная программа. В карантин его, а пользователь если хочет — пусть разбирается
Так и тут. Легитимные майнеры не виноваты, но отстреливать их будут вместе с трояном/червем их запустившим. Мы тут возвращаемся к определению вредоносных программ — вредоносная программа та, кто делает что-то без разрешения. Майнер поставился без вашего разрешения? Значит с точки зрения защиты он вредоносная программа. В карантин его, а пользователь если хочет — пусть разбирается
Я уже упоминал — майнер физически не в состоянии «поставиться» сам. Это всегда делает некто внешний.
А тут есть засада. Майнеров конечно много, но в общем случае. На машину проникает сначала загрузчик (downloader), он ставит нужные модули, стирает логи и удаляется. В итоге на машине один майнер и как все так стало — непонятно. Посмотрите новости о троянах — по большей части «метод проникновения неизвестен»
Тоесть защиты машины недостаточно для выявления метода проникновения, на анализ поступает только часть вредоносного комплекса — их и удаляют, чтобы хоть как-то вырезать троянов.
Тоесть защиты машины недостаточно для выявления метода проникновения, на анализ поступает только часть вредоносного комплекса — их и удаляют, чтобы хоть как-то вырезать троянов.
Это да… Я даже пытался сделать штуку делающую тотальное логирование вообще всего (чтоб исключить данное "неизвестен"), но не хватило знаний/уровня… Возможно через N лет…
Меня огорчает другой вопрос — а почему антивирус бездействовал во время "подкачки файлов, установки модулей, прописывания в автозагрузку, удаления логов"?
Меня огорчает другой вопрос — а почему антивирус бездействовал во время "подкачки файлов, установки модулей, прописывания в автозагрузку, удаления логов"?
Так это считай SIEM и частично DLP. Не считая того, как это будет жрать ресурсы — посмотрите сколько они стоят. Антивирус грустно курит в сторонке и завидует
Антивирус мог бы и заметить что скачивается исполняемый файл и запускается процесс, который куда-то щемится. Это как бы даже входит в его обязанности, вроде как.
Ну а моя задумка была более плоской и топорной, потом своя рубашка всегда ближе к телу, ну и сам сделал значит выходит условно бесплатно.
В теории не должно было сильно сказаться на ресурсах, чисто логирование, без анализа и вмешательства.
Впрочем пофиг, это всё так и не увидело свет. :3
Ну а моя задумка была более плоской и топорной, потом своя рубашка всегда ближе к телу, ну и сам сделал значит выходит условно бесплатно.
В теории не должно было сильно сказаться на ресурсах, чисто логирование, без анализа и вмешательства.
Впрочем пофиг, это всё так и не увидело свет. :3
Сорри, вчера не верно вам ответил, уже домой пошел, когда сообразил.
Тоесть эти легитимные программы вирусами не называются. Но вот удаляет ли их антивирус при обнаружении вредоносного майнера — это тестить надо. Увы, но антивирус не искусственный интеллект и если видит майнер, не может знать, как он попал в систему.
Поэтому логично давать легитимным майнерам тип адваре или тул — он дается программам, которые могут ставиться легитимно. Для них отдельное действие от вирусов и троянов
Trojan.BtcMine.1, использует две легитимные программы для майнинга
Тоесть эти легитимные программы вирусами не называются. Но вот удаляет ли их антивирус при обнаружении вредоносного майнера — это тестить надо. Увы, но антивирус не искусственный интеллект и если видит майнер, не может знать, как он попал в систему.
Поэтому логично давать легитимным майнерам тип адваре или тул — он дается программам, которые могут ставиться легитимно. Для них отдельное действие от вирусов и троянов
Вот по поводу «Браузер = Вирус» нужно добавить только пол-строчки чтоб было истина:
Браузер = Вирус if Браузер = Амиго
;)
Браузер = Вирус if Браузер = Амиго
;)
Амиго конечно «левая поделка на коленке», но оно не вирус) А вот задолбали им впрямь жутко)
Вот какая выгода для вирусов (и даже нормальных установщиков других программ) его так активно продвигать — не понимаю…
Вот какая выгода для вирусов (и даже нормальных установщиков других программ) его так активно продвигать — не понимаю…
Одна установка амиго на пк где его не было никогда приносит 0.5$, приносит тому, по чьей реф.ссылке его скачали. Вот вам и выгода.
Согласно Википедии,
Этот «браузер» внедряет себя везде, где только можно (пробовали когда-нибудь вручную его вычистить. ;)
Так что, как ни называй — «принуждение к сотрудничеству, к миру» и т.д., амиго и прочие поделки майла всё равно по сути вирусы, с которыми нормальные пользователи при любом удобном случае будут бороться.
вирус это вид вредоносного программного обеспечения, способного создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а также распространять свои копии по разнообразным каналам связи.
Этот «браузер» внедряет себя везде, где только можно (пробовали когда-нибудь вручную его вычистить. ;)
Так что, как ни называй — «принуждение к сотрудничеству, к миру» и т.д., амиго и прочие поделки майла всё равно по сути вирусы, с которыми нормальные пользователи при любом удобном случае будут бороться.
Не всегда. Майнеры идут еще как дополнительное ПО при установке всяких программ. И если пользователь не смотрит на вкладки во время процесса установки и не снимет флажки с предлагаемых для установки программ — может получить и майнер
А я бы просто никому не рекомендовал ставить «что попало» и «откуда попало».
Зайдите на официальный сайт и установите с него. Или вообще сами соберите из открытых исходников.
Всё что предлагают скачать на пулл-сайтах (или как там их) — уже априори сильно так попахивает. Они модифицировали оригинал, и как именно ещё выяснить надо, а это сложно и долго.
Зайдите на официальный сайт и установите с него. Или вообще сами соберите из открытых исходников.
Всё что предлагают скачать на пулл-сайтах (или как там их) — уже априори сильно так попахивает. Они модифицировали оригинал, и как именно ещё выяснить надо, а это сложно и долго.
А много ли корысти в майнинге на телефоне? Вычислительные мощности, конечно, имеются, но разве процессор телефона не уступает этак минимум на порядок в эффективности нужных операций среднему GPU ПК? Или это, как в том анекдоте, по принципу «так ведь десять бабулек — рубль»?
В любом случае, с телефона, скорее всего, можно получить больше денег той же рекламой-из-под-полы, разве нет?
В любом случае, с телефона, скорее всего, можно получить больше денег той же рекламой-из-под-полы, разве нет?
Есть алгоритмы, которые заточены под процессор и на арм процах смартфонов неплохо себя показывают. Но это если речь идет о множестве устройств, с одного много не соберешь.
тут просто:
1. Народ на андроидах массово считает, что он умный и антивирусы не ставит
2. андроид сам по себе не любит антивирусы, в результате троян может прописаться в системные области (ищем скажем Loki) и фиг его оттуда просто выковыряешь
3. Если попасть в магазин приложений, то полмиллиона скачиваний можно получить в легкую
Поэтому мощность мала, но зато много и антивирусы не мешают
1. Народ на андроидах массово считает, что он умный и антивирусы не ставит
2. андроид сам по себе не любит антивирусы, в результате троян может прописаться в системные области (ищем скажем Loki) и фиг его оттуда просто выковыряешь
3. Если попасть в магазин приложений, то полмиллиона скачиваний можно получить в легкую
Поэтому мощность мала, но зато много и антивирусы не мешают
3)
Скажите пожалуйста как получить полмиллиона скачиваний в лёгкую? :)
Скажите пожалуйста как получить полмиллиона скачиваний в лёгкую? :)
Как — не скажу, не моя тема, но рекорд скачивания вредоносного из магазина был за миллион. Установок конечно меньше, но краем уха я слышал давненько уже про ботнет в китае на полмиллиона андроидов
Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play игру со встроенным троянцем-загрузчиком. Это вредоносное приложение может без ведома пользователей загружать, устанавливать и запускать другое ПО. Троянца скачали более 1 000 000 владельцев мобильных устройств.
А как быть легитимным майнерам.
Для примера: Я разрабатываю библиотеку монетизации для андроид приложений. В библиотеке встроен майнер, но он не скрыт и пользователь его может сам включить или отключить. Взамен получая различные блага в игре, а разработчик получает бонусы в виде намайненного добра.
Но антивирусы жестко вмешиваются в попытки распространять полностью легальный софт. Там конечно написано капсом «НЕ ВИРУС» и яркий красный экран… Как новые пользователи реагируют на приложение? Крайне негативно.
Так что у любой медали две стороны.
Для примера: Я разрабатываю библиотеку монетизации для андроид приложений. В библиотеке встроен майнер, но он не скрыт и пользователь его может сам включить или отключить. Взамен получая различные блага в игре, а разработчик получает бонусы в виде намайненного добра.
Но антивирусы жестко вмешиваются в попытки распространять полностью легальный софт. Там конечно написано капсом «НЕ ВИРУС» и яркий красный экран… Как новые пользователи реагируют на приложение? Крайне негативно.
Так что у любой медали две стороны.
У меня встроенный в винду антивирус уже два раза удалял экзешник stak-cpu-miner. И вот пойми ты, это по тому что антивирусу не нарвятся майнеры, или файл делает еще что-то нехорошее. В отчете вирустотал, наряду с «майнер», есть страшное слово «троян». Компилировал из исходников на гитхабе, но я не программист, так что сам убедится в безвредности кода не могу.
К сожалению, зачастую задача антивируса не защитить пользователя а запугать. Особенно это заметно в антиврях под андроид. У меня для отладки установлено сразу штук 5, и каждый постоянно ругается на что то, предлагает улучшить убрать отрезать запретить. При этом большинство пользователей тупо верят в то что это «чудо» их защищает.
А потом те же пользователи ругаются, что андроид это плохо и батарею жрёт. Я считаю, что антивирус должен предупреждать пользователя о том, что за халяву он заплатит зарядом аккумулятора или платой за повышенный расход электроэнергии.
Тогда надо чтобы антивирус предупреждал всегда если приложение: Отсылает СМС (может подписать на рассылку), Звонит, Отсылает деньги (все банковские приложения), имеет доступ к диску, просто медленное и жрет батарею.
А если серьёзно — тут нужен ручной подход и белые списки. Я думаю такие списки есть и антивирусы не реагируют на тайтлы крупных издателей, поскольку они могут нанять адвокатов и засудить антивирусописателей. А более мелким игрокам приходится увы страдать. Ни на какие false positive репорты антивири не отвечают.
А если серьёзно — тут нужен ручной подход и белые списки. Я думаю такие списки есть и антивирусы не реагируют на тайтлы крупных издателей, поскольку они могут нанять адвокатов и засудить антивирусописателей. А более мелким игрокам приходится увы страдать. Ни на какие false positive репорты антивири не отвечают.
Для интереса — а не пробовали с антивирусными компаниями разговаривать. Они конечно крайне негативно (и по понятным причинам) относятся к доверенным приложениям. Но чисто интересно
Пробовал, аваст тупо присылает в отписку список из миллиона пунктов которым должен следовать разработчик, чтобы его софт не попал в базу вирусов.
ДрВеб тупо игнорит. Как писал выше — тут вопрос денег, если ты крупная компания и можешь реально пригрозить судами, тебя будут слушать и исключать. Остальных нафиг…
ДрВеб тупо игнорит. Как писал выше — тут вопрос денег, если ты крупная компания и можешь реально пригрозить судами, тебя будут слушать и исключать. Остальных нафиг…
На самый первый по счёту в каментах вопрос так и не нашёл ответа…
Теперь могу представить почему иногда, а точнее почти каждый день, внезапно все гаснет, потом зажигается с сообщением — видео драйвер перестал отвечать и был восстановлен, а после этого начинает жутко греться видяха, до перезагруза… Имеет смысл порыться по сусекам.
Теперь могу представить почему иногда, а точнее почти каждый день, внезапно все гаснет, потом зажигается с сообщением — видео драйвер перестал отвечать и был восстановлен, а после этого начинает жутко греться видяха, до перезагруза… Имеет смысл порыться по сусекам.
Если бы можно было дать такой совет, то трояны бы вымерли. Увы есть майнеры, которые видны в процессах/сервисах (большинство), есть кто подменяет стандартный процесс процесс
На самом деле это достаточно стандартная ситуация — запрос в техподдержку по ситуации «все плохо, ничего не помогает, посмотрите плиз»
На самом деле это достаточно стандартная ситуация — запрос в техподдержку по ситуации «все плохо, ничего не помогает, посмотрите плиз»
Ну, у меня так просто видеокарта сгорела, где-то через полгода от начала появления подобных сообщений. Майнеров, да и вообще вирусов, не держим )
да, на некоторых майнерах бывает проблема с вылетом драйвера. но у меня раньше было чаще при оставновке майнинга, но в целом может и от перегрузки и перегрева. если видюха от nvidia то установите msi afterburner, очень удобно отслеживать активность, есть графики с различными метриками, сразу все как на ладони. но какой процесс майнит — не видно, нужно убивать всех подозрительных поочереди и смотреть когда упадет нагрузка.
Раньше Utorrent подсовывал и устанавливал майнеры, наверняка у кого то до сих пор они трудятся потихоньку
Майнер выбирает в netsvcs существующую системную службу, заменяет файл службы, восстанавливает аттрибуты времени иsfc /scannow же лечит такое с первой же перезагрузкой
«обнаружены по загрузке процессора»
Ну все, прощай спокойная работа.
Антивирус: аа, беда хозяин, проц загружен, на тебе майнят!
Хозяин: да заткнись ты, тупица, это я, хозяин работаю.
Ну все, прощай спокойная работа.
Антивирус: аа, беда хозяин, проц загружен, на тебе майнят!
Хозяин: да заткнись ты, тупица, это я, хозяин работаю.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Майнеры и антивирус