Цель статьи

В Интернете доступно некоторое количество статей по настройке антивирусной защиты в связке squid + ClamAV, но нет полного материала по настройке полной связки под CentOS 7. В рамках данной статьи будет показан процесс настройки прокси сервера со следующими возможностями:

• фильтрация сайтов и ссылок по категориям;
• антивирусная защита.

Аудитория

Системные администраторы Linux

Cerber – это относительно новое семейство шифровальщиков, от которого сильно страдают в последние несколько месяцев. В этой статье мы хотим взглянуть на некоторые техники, которые используются для заражения своих жертв.

Глава 2: Cerber

Цифровая революция, которую переживает современный мир, ведет к небывалому росту количества подключений. Для потребителей, компаний, государственных органов власти цифровизация — двигатель инноваций. Но с увеличением числа подключений больше возможностей получают и киберпреступники. Поэтому предприятия должны прилагать больше усилий для обеспечения информационной безопасности (ИБ).

Время от времени случается, что ко мне обращаются пользователи с заглючившим Windows 7 или 8 (наверняка так же и с «десяткой» будут жертвы), у кого постоянно запускается «Восстановление системы» вместо нормальной загрузки, и автоматический механизм поиска и устранения проблем не справляется.



Мне удалось разобраться, почему возникает сообщение «Было предпринято несколько попыток, но причину проблемы определить не удалось» и как вернуть жизнь операционке без радикальной переустановки.

Что за байда!

Китайский антивирус «Baidu» распространяется вирусными методами malware/adware, устанавливается вне зависимости от работы других антивирусов, в результате конфликт антивирусов порождает чрезмерное замедление работы ОС Windows.
Удаление ПО Baidu затруднено из-за того, что штатные программы удаления существуют только для двух компонент, драйверы уровня ядра ими не удаляются, более того, при следующей загрузке компьютера это ПО устанавливается повторно. В то же время удалить драйверы байды сложно из-за того, что они блокируют запись в «свои» ветки реестра и блокируют доступ к своим файлам.

Я написал простую инструкцию по полному удалению вредной Байды из Windows 7 и 8 без использования загрузочного носителя, она предназначена для использования техниками по обслуживанию компьютеров («эникейщиками») и подходит любому более-менее опытному пользователю.

Инструкция особенно актуальна для 64-битных версий Windows, поскольку в них не работает AVZ (точнее, нет 64-битного драйвера AVZ Guard).

Недавно ВКонтакте началось активное продвижение по всем фронтам нового антивируса.
Я решил посмотреть в действии эффективность этого «антивирусного сканера Cezurity» против нескольких вирусов.

Самые первые вирусы были безобидными. Это были эксперименты – типа одного из первых вирусов “Creeper”, который просто выводил сообщение “I’M A CREEPER: CATCH ME IF YOU CAN”. Их распространение ограничивалось домашними сетями (Creeper существовал на TENEX ОС). Это было в 1971 году.

Сейчас существуют миллионы вирусов, распространяющихся через интернет всякими путями – файловые раздачи, e-mail, сайты. Когда всё связано со всем, вирусы распространяются быстро. Защита от вирусов – прибыльный бизнес.

«Платить или не платить за антивирус?» По мнению некоторых, именно такой вопрос встает перед миллионами пользователей. Вот, например, в статье Владимира Безмалого в 12 номере журнала «Мир ПК» за 2014-й год этой теме посвящено целое «исследование». Результаты его сомнений не оставляют: «скупой платит дважды». Однако аргументы в этой статье настолько спорные, что я не могу не высказаться на эту тему. Ведь мы с вами живем в то время, когда многие манипулируют информацией, чтобы заработать больше денег. О том, насколько эффективна эта система, можно судить по тому факту, что «Антивирус Бабушкина» закупило несколько государственных организаций. Это, конечно, крайний случай, но он показывает, что когда хвалят платные продукты, стоит задуматься, насколько бескорыстны эти похвалы.

На данный момент в сети имеется целая куча различных инструкций по созданию дежурной рабочей сисадминской флешки, но, к сожалению, многие из них уже устарели и просто не подходят под современные задачи.

Я не собираюсь описывать процесс установки GRUB4DOS, так как это не изменилось и в сети полно инструкций. Просто скажу, что GRUB4DOS просто должен быть установлен на флешку. Также я НЕ собираюсь выкладывать здесь образы систем (все имеется на торрентах), но, тем не менее, выложу полное меню из LST-файлов со структурой папок. Также необходимо учесть, что все образы ISO необходимо дефрагментировать.

На днях корпорация Google объявила о введении новой меры безопасности в Android OS. Так, ранее все загружаемые в Google Play Store приложения проверялись корпорацией на наличие «зловредов». Кроме того, можно было и выбрать опцию проверки приложений, устанавливаемых на смартфон пользователя.

Теперь же стало ясно, что этого недостаточно, и корпорация решила ввести новую меру безопасности: мониторинг установленных на мобильном устройстве приложений с целью обнаружения возможного malware.

Компания «Доктор Веб» 31 января 2014 года на своем сайте опубликовала новость "Dr.Web в помощь правообладателям контента". Теперь компания готова блокировать сайты по запросу правообладателей при условии предоставления документов, доказывающих, что данный контент принадлежит данному правообладателю. Есть форма для отправки запроса на блокировку.

Первый вопрос, который возникает у меня: почему производитель антивирусного программного продукта так заботится о контенте, который попадает под категорию не лицензионный?

Сегодня на выставке CES генеральный директор Intel Брайан Кржанич объявил, что бренд McAfee будет заменён на Intel Security, пишет The Next Web. Новый бренд будет использоваться для всех продуктов и сервисов Intel в сфере безопасности.

Ребрендинг, вероятно, связан с попыткой дистанцироваться от одиозного создателя McAfee Джона Макафи, который так отреагировал на новость: «Я теперь буду вечно благодарен Intel за освобождение меня от этой ужасной ассоциации с худшей программой на планете. Это не мои слова, это слова миллионов разгневанных пользователей. Мой восторг в связи с решением Intel невозможно выразить словами».

В новости «ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225» я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.
Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Большинство программистов учатся постоянно. Мы читаем книги гуру и смотрим код профессионалов. И спорим какой метод лучше и какое решение красивее.
Но представим себе что есть суперпрофессионал, код которого нам удалось посмотреть. Чему мы можем научиться у него? И какие выводы мы сможем сделать?

Итак — искусственные иммунные системы.

Интернет уже не тот, что прежде — кругом враги. Тема обнаружения непосредственного заражения сайта и поиска вредоносных/зараженных скриптов на взломанном сайте рассмотрена слабо, попробуем это исправить.
Итак, представляем вашему вниманию Linux Malware Detect.

Linux Malware Detect (LMD) — это сканер для Linux, предназначенный для поиска веб-шеллов, спам-ботов, троянов, злонамеренных скриптов и прочих типичных угроз характерных для веб-пространств и особенно актуален для виртуальных шаред-хостинг платформ. Главное отличие от прочих Linux-антивирусов — его веб направленность, сканирование файлов веб-сайтов, ведь обычные антивирусы ориентируются на более глобальные угрозы уровня системы.

На жизненном пути каждого системного администратора время от времени встает вопрос: какой антивирус выбрать для компании с учетом постоянной конкурентной борьбы на этом рынке? Порой и не уследишь у кого появился новый функционал, а кто еще «догоняет».

Безусловно, при выборе антивируса нас интересуют множество параметров. Вот некоторые из них:

• Универсальность:

Должен справляться со всем и сразу (трояны, малвари, спайботы и т.д.)

• Актуальность вирусных сигнатур:

На сегодняшний день отрасль вирусописания развита до безобразия. Этим занимается кому только не лень. Большинство, конечно, это школьники, которым хочется самореализоваться. Но несмотря на это, вирус и из под таких рук может нанести вред. Поэтому для нас так важно, чтобы антивирус знал как бороться с вирусами до того как они попадают в сеть максимально «пост приближенно» к его дебюту.

• Централизованное управление:

Для компании с большим парком машин, безусловно, необходим инструмент централизованного управления антивирусным продуктом на рабочих станциях.

• Нагрузка системы:

Может, конечно, кого-то не волнует этот вопрос при выборе антивируса. Честно говоря, меня тоже раньше не беспокоил, пока я работал в крупных компаниях. Компьютер тормозит? Может проверим хард, проверим на вирусы, переставим систему? Нее, зачем… Это долго, лучше купим новый! Сейчас такой роскоши нет. Приходится работать с оборудованием моих школьных лет. Поэтому для меня этот параметр антивирусного продукта как никогда актуален. Думаю таких компаний еще немало.

Поэтому в этой статье речь пойдет именно о производительности на маломощном железе.
В тестировании примут участие яркие представители семейства антивирусных:

• Kaspersky Internet Security 2013
• Dr.Web 7.0
• NOD32 Smart Security 5
• Microsoft Security Essential

Начиная с 18.06.2013 поддержка Symantec Antivirus Corporate Edition 10 прекращена
Существенным является факт, что LiveUpdate продолжит выполняться без видимых ошибок, хоть новых сигнатур загружать и не будет. Сам же антивирус уведомит об устаревших базах тоже далеко не сразу (не ранее, чем через месяц) и только при перезагрузке компьютера. В частности я лишь через полтора месяца обнаружил, что у антивируса устаревшие сигнатуры.
Проверьте обслуживаемые вами системы и консультируемых вами пользователей на предмет пользования устаревшим и необновляемым антивирусом.

P.S. Может быть эта новость будет и несколько запоздалой, но я пока что не встречал.

Данная статья является переводом статьи от 13.07.2012 за авторством Александра Матросова, ссылку на которую я нашел в конце поста про утечку исходников Carberp. Мне она показалась интересной и я решил ее перевести.
Кому стало так же интересно, добро пожаловать под кат.

Захватывающее действие разворачивается на Вашем компьютере совсем неожиданно и, как правило, в самый неподходящий момент. Начинается все просто, Вы отправляетесь на свой любимый сайт или в социальную сеть и обнаруживаете что-то необычное…

Так случилось и с моим компьютером. Захожу на сайт, вижу в левом углу неприличную картинку (рекламный баннер). В голове промелькнуло 2 мысли:

• заражен мой браузер
• заражен сайт

Побродив по нескольким сайтам и не увидев этого самого баннера, я сделал вывод, что все-таки заражен сайт. Так как это был сайт довольно крупной компании, я позвонил в тех. поддержку. Выслушали, выразили благодарность за бдительность, но во время разговора сообщили, что у них этот баннер не отображается ни под одним браузером.

Анализ сайта

Начал исследовать сайт, и вижу, что в коде Яндекс метрики есть такая строчка:

<noscript><div><img src="//mc.yandex.ru/watch/image2.jpg" style="position:absolute; ..." alt=""></div></noscript>

Именно она и показывает баннер. Не совсем понятно, как это делается в теге , однако ясно, что ссылка на картинку фишинговая.

Файл hosts

Отправляемся в файлик hosts (%windir%\system32\drivers\etc\hosts).
И вот тут мной была допущена серьезная ошибка: открыл, посмотрел, все число, закрыл. Однако не обратил внимания на появившуюся полосу прокрутки.

Как мы уже рассказывали на VolgaCTF2012, сейчас более чем в 2/3 случаев опасные сайты заражают компьютеры пользователей, загружая в браузер вредоносные Java-апплеты. Такое заражение может происходить при регулярном обновлении браузера, в некоторых случаях – даже если используется ОС не от Microsoft. Если на компьютере нет виртуальной машина Java, заражённый сайт «заботливо» предложит установить её версию с уязвимостью, после чего повторно атакует компьютер пользователя.Чтобы обнаруживать сайты, использующие этот способ заражения, Яндекс запустил специальный поведенческий анализатор вредоносного кода для Java-приложений. Он позволяет детектировать обфусцированный вредоносный код, который использует самые популярные на сегодняшний день уязвимости JRE. В результате с начала февраля было обнаружено более четырех тысяч зараженных сайтов, суммарная посещаемость которых до заражения достигала 1,5 млн. пользователей в сутки.

Одним из наиболее актуальных способов распространения вредоносного кода на сегодняшний день являются Java-эксплойты, которые встречаются в любом эксплойт-паке. Такая популярность обусловлена несколькими факторами:

• использование Oracle Java более чем на 3 миллиардах компьютеров;
• кроссплатформенность эксплойтов;
• относительная простота эксплуатации уязвимостей;
• в большинстве случаев Java-плагин включен в браузере.

Java-эксплойты обрели широкую популярность у злоумышленников из-за большого количества логических уязвимостей в Java. Такие уязвимости позволяют выполнить произвольный код незаметно для пользователя, потому что их использование обычно не сопровождается падением процессов браузера или виртуальной машины Java. С 2010 года злоумышленники использовали для заражения уязвимости CVE-2010–0806, CVE-2010–4452, CVE-2011–3544, CVE-2012-0500 и CVE-2012-4681, а с самого начала 2013 года стали активно использовать новую уязвимость СVE-2013-0433.