Выслеживание и уничтожение вредоносного ПО, требующего мзду

Вредоносное ПО, пугающее пользователей (scareware) – тип ПО, маскирующегося под антивирусные программы, – появилось десяток лет тому назад и не собирается уходить. Цель таких программ – одурачить пользователя, демонстрируя, что его компьютер тяжело поражен вирусами, и лучший способ избавиться от них – приобрести полную версию программы, которая своими заботами любезно остановит заражение. Я писал об…

0

Дело о необъяснимых FTP-соединениях

Ключевой составляющей любого плана кибербезопасности является «непрерывный мониторинг», или возможность аудита и мониторинга через сетевое окружение, а также настройка автоматического анализа получающихся журналов для обнаружения аномального поведения, заслуживающего подробного исследования. Это часть нового менталитета «предполагаемых брешей», который признает, что не существует на 100 % защищенных систем. К несчастью, компания, оказавшаяся в центре этой истории, не…

1

Дело об о-о-о-ч-ч-ч-е-е-е-н-ь медленных входах в систему

Дело относится к моему любимому разряду дел, в которых я использую собственные инструменты для решения проблемы, затронувшей меня самого. Это дело в своей основе может коснуться каждого, особенно тех, кто много путешествует, и демонстрирует использование некоторых возможностей программы Process Monitor, о которых многие не догадываются, что делает его идеальным для описания и распространения. История разворачивалась…

1

Анонс романа «Троянский конь»

Многие из вас прочли мой первый роман «День ноль». Это кибертриллер, где главные герои, Джефф Айкен и прекрасная Дэрил Хьюген, эксперты по компьютерной безопасности, спасают мир от разрушительной кибератаки. Отзывы на него и продажи оказались выше моих ожиданий, так что у меня были особые причины, побудившие написать продолжение – «Троянский конь», который, как я полагаю,…

1

Дело о нарушенной установке Microsoft Security Essentials на мамином компьютере

Как читатель этого блога, я подозреваю, что и вы, подобно мне, являетесь обслуживающим ИТ-персоналом для вашей семьи и друзей. И, спорю, многие из вас выполняют обязанности по системному обслуживанию, когда приходят в гости к родственникам или друзьям во время каникул. Каждый раз, когда я навещаю свою маму, я обычно выделяю несколько минут, чтобы запустить Sysinternals…

1

Дело об ошибке сервиса Windows Installer

Этот случай произошел с сетевым администратором, которому поручили развернуть в сети клиентское ПО Microsoft Windows Intune. Windows Intune – это облачный сервис, управляющий системами в корпоративной сети, и сохраняющий их программное обеспечение в актуальном состоянии, а также позволяющий администраторам контролировать состояние систем через интерфейс браузера. Оно требует агента на клиенте, но на одной из машин…

1

Исправляя коллизии сигнатур дисков

Клонирование дисков стало всеобщим явлением по мере того, как ИТ-профессионалы стали виртуализировать физические серверы с помощью инструментов вроде Sysinternals Disk2vhd и использовать образ главного виртуального жесткого диска в качестве эталона для копий, создаваемых для виртуальных клонов. В большинстве случаев с образами клонированных дисков можно обращаться, не опасаясь, что у них одинаковые сигнатуры. Однако в редких…

1

Дело о загадочных перезагрузках

Этот случай начался с того, что опытный пользователь Sysinternals, который работает системным администратором в крупной корпорации, получил от своего друга сообщение о том, что его ноутбук вышел из строя. Всякий раз, когда он подключал его к сети, его ноутбук перезагружался. Когда наш опытный пользователь получил в свои руки этот ноутбук, он первым делом проверил его…

1

Дело о зависшей программе запуска игры

  Мне нравится, когда люди присылают мне рассказы о случаях, в которых они использовали инструменты Sysinternals для успешной диагностики проблем, однако нет ничего более приятного, чем использовать их для решения проблем, с которыми столкнулся лично я. Этот случай, в частности, был забавным потому, что его решение помогло мне вернуться к приятному времяпрепровождению. Когда у меня…

1

Анализируем вирус Stuxnet с помощью инструментов Sysinternals (часть 3)

В первой части статьи я использовал Autoruns, Process Explorer и VMMap для статического анализа вируса Stuxnet на Windows XP. Эта фаза данного исследования показала, что Stuxnet инфицировал множество процессов, запустил зараженные процессы под видом исполнительных файлов системы, а также установил и загрузил два драйвера устройств. Во второй части я обратился к трассировке активности, записанной во…

1