आज हम हब्बर के लिए एक और पोस्ट जारी कर रहे हैं। हमारे वरिष्ठ वायरल विश्लेषक Zakorzhevsky Vyacheslav साइबरक्रिमिनल के दिलचस्प पक्ष के बारे में बात करेंगे।
यह सभी के लिए स्पष्ट है कि अधिकांश मैलवेयर डेवलपर अपनी संतानों को "लाइव" होने में रुचि रखते हैं, जहां तक संभव हो। कंप्यूटर पर जितना अधिक समय मालवा का होगा, उतने ही अधिक धन आप कमा सकते हैं। उनके लिए मुख्य खतरा एंटीवायरस है। अधिकांश मामलों में, वायरस लेखक एंटीवायरस द्वारा हस्ताक्षर / ह्यूरिस्टिक डिटेक्शन से मैलवेयर से बचाने के लिए क्रिप्टरों का उपयोग करते हैं। क्रिप्टो बाजार काफी व्यापक है, इस पर कई प्रस्ताव हैं, क्योंकि क्रिप्टरों की मांग है।
फ़ाइल को क्रिप्टोर के साथ "कवर" करने के बाद, वायरस लेखक इसे एंटीवायरस के साथ जांचते हैं (अन्यथा आप कुछ ऐसा जारी कर सकते हैं जो पहले से ही पता चल चुका है)। हर कोई जानता है कि ऐसी सेवाएं हैं जो आपको एवी इंजन के एक गुच्छा के साथ एक बार में फ़ाइलों को स्कैन करने की अनुमति देती हैं। उदाहरण के लिए,
VirusTotal या
Jotti Virscan ।
VirusTotal
जोती विर्सनसब कुछ सुविधाजनक है - बहुत सारे इंजन, मामूली "ब्रेक", आदि। लेकिन जो लोग अगले संस्करण को जारी करने जा रहे हैं, उदाहरण के लिए, एक अवरोधक, इन सेवाओं में एक छोटा सा ऋण होता है: ये कंपनियां कुछ मामलों में स्कैन की गई फ़ाइलों को एवी-कार्यालयों को भेजती हैं।
Jotti Virscan के साथ: "
यहां अपलोड की गई फाइलें एंटी-वायरस कंपनियों के साथ साझा की जाती हैं, ताकि उनके एंटी-वायरस की सटीकता का पता लगाया जा सके। हमारी गोपनीयता नीति में इसके बारे में अधिक पढ़ें। यदि आप नहीं चाहते कि आपकी फाइलें वितरित हों, तो कृपया उन्हें बिल्कुल न भेजें। ”(हमारे पास भेजी गई फाइलें एंटी-वायरस कंपनियों को भेजी जा सकती हैं, ताकि वे अपने उत्पादों की पहचान के स्तर में सुधार कर सकें। गोपनीयता नीति में इसके बारे में और पढ़ें। यदि आप नहीं चाहते कि आपकी फाइलें तीसरे पक्ष को स्थानांतरित हो जाएं, तो न करें। उन्हें बिल्कुल भेजें ”)।
VirusTotal FAQ से: “
एंटीवायरस इंजन प्रदान करने के बदले में आपको VirusTotal को सबमिट की गई सभी फाइलें प्राप्त होंगी जो कि आपके उत्पाद द्वारा पता नहीं लगाई गई हैं और कम से कम एक अन्य एंटीवायरस द्वारा पता की जाती हैं, साथ ही उनकी संबंधित VirusTotal रिपोर्ट भी। "(" अपने एंटी-वायरस कर्नेल प्रदान करने के बजाय, आपको VirusTotal को भेजी गई सभी फाइलें प्राप्त होंगी जो आपके उत्पाद द्वारा पता नहीं लगाई गई हैं, लेकिन कम से कम एक अन्य विक्रेता + संगत रिपोर्ट द्वारा पता लगाया गया है ")
यह मान लेना तर्कसंगत है कि यह मालवेयर लेखकों को खुश नहीं करना चाहिए, क्योंकि उनकी फाइलें विश्लेषण के लिए एवी कंपनियों को भेजी जाएंगी, और, तदनुसार, यह उस समय को कम कर देगा जो नमूना ध्यान नहीं देता है। इसलिए, वे उन कंपनियों की सेवाओं का उपयोग करते हैं जो वायरसटोटल के समान एक सेवा प्रदान करते हैं, लेकिन साथ ही गुमनामी सुनिश्चित करते हैं। (यह, कम से कम, स्कैनर्स वाली साइटों पर लिखा गया है, लेकिन हम निश्चित रूप से नहीं जान सकते :))।
उदाहरण के लिए, ऐसी सेवा है:
एक मंच में मुझे एक सूची मिली कि यह कार्यालय और क्या कर सकता है:
"उपलब्ध:
- मेल \ जॅबर द्वारा अधिसूचना के साथ अनुसूचित जांच
- वेबमनी के माध्यम से किसी खाते का ऑटो-पंजीकरण और ऑटो-पुनःपूर्ति
हमारे एवी चेकर में एंटीवायरस के नवीनतम संस्करण और उनके नवीनतम अपडेट शामिल हैं। "
यह एक मेल द्वारा एक अधिसूचना प्राप्त करने के लिए पर्याप्त सुविधाजनक है जो एक विक्रेता ने दूसरे बिल्ड का पता लगाया है।
अनाम फ़ाइल स्कैनिंग सेवाएं प्रदान करने वाले दो अन्य कार्यालय।
बेशक, कई और भी हैं, लेकिन यह ध्यान देने योग्य है कि ये सभी सेवाएं बहुत जल्दी अपने ग्राहकों की जरूरतों को पूरा करती हैं। इसके अलावा, समर्थन, सेवा के साथ काम करने के लिए एक एपीआई, एक जीयूआई क्लाइंट, आदि यह बताता है कि बाजार में प्रतिस्पर्धा है, और हर कोई क्लाइंट के लिए लड़ रहा है।
हालांकि, ऐसी सभी सेवाओं में एक महत्वपूर्ण माइनस है - वे केवल एक अलग फ़ाइल, या एक अलग डोमेन को स्कैन करते हैं। यह सबसे लोकप्रिय कंप्यूटर संक्रमण योजनाओं के अनुरूप नहीं है। सभी आधुनिक एंटीवायरल में बहुस्तरीय सुरक्षा है। तो, अक्सर यह फ़ाइल के सत्यापन तक भी नहीं पहुँच सकता है। ड्राइव-बाय अटैक स्कीम के मामले में, एंटीवायरस उन डोमेन में से एक को ब्लॉक कर सकता है, जिसके माध्यम से एक रीडायरेक्ट, एक दुष्ट आइफ्रेम या स्क्रिप्ट, या शोषण खुद किया जाता है। और अगर मालवारा उपयोगकर्ता के कंप्यूटर पर पहुंच गया और शुरू हो गया, तो सैंडबॉक्स या सक्रिय रक्षा पहले से ही यहां काम करती है, जो निष्पादन के चरण में कार्यक्रम के व्यवहार का विश्लेषण करती है। उन सेवाओं में जो मैंने देखा, कहीं सक्रिय संरक्षण द्वारा जांच परीक्षण के बारे में जानकारी नहीं थी - यह समझ में आता है - इसे लागू करना मुश्किल है। बादल के बारे में मत भूलना, जो अपनी प्रतिष्ठा से एक फ़ाइल को अवरुद्ध कर सकता है। इसलिए, हमलावरों के सभी प्रयासों के बावजूद, कई वास्तविक परिस्थितियां खो नहीं जाती हैं, जो किसी भी वस्तु की जांच को केवल एक हस्ताक्षर / हेयूरिस्टिक स्कैनर को अपर्याप्त बनाता है :)