Новости про антивирусы

Согласно отчёту, приложение CamScanner было честным, без подозрительной активности. Как и в прочих приложениях, в этом отображалась реклама и предлагались покупки. «Однако в какой-то момент всё изменилось, и свежая версия приложения поставлялась с рекламной библиотекой, содержащей вредоносный модуль».

В приложение был добавлен троян, названный лабораторией Trojan-Dropper.AndroidOS.Necro.n. Сам он не выполнял вредоносных функций, но загружал зловреды другого типа, включая те, что внедряют свою рекламу, подписываются на фейковые рассылки или воруют банковские данные. Раньше трояны подобного типа лаборатория выявляла «предустановленными в некоторых приложениях на китайских смартфонах».

Подозрительную активность заметили некоторые пользователи, о чём написали в комментариях к приложению, чтобы предупредить других пользователей. Разработчики исправили последнюю версию, исключив зловреда, однако Kaspersky отмечает, что для разных устройств версии сильно отличаются, а потому в некоторых случаях вредоносная активность ещё может проявляться.

Независимый немецкий институт AV-Test провёл тестирование антивирусов и подготовил отчёт за май/июнь 2019 года. Согласно этому отчёту, решение Windows Defender стало одним из четырёх, которые получили максимальные оценки в 6 балов по трём оцениваемым категориям: защита, производительность и юзабилити (который в том числе включает ложные срабатывания).

Вместе с Windows Defender первенство делят F-Secure SAFE, Kaspersky Internet Security и Norton Security. Однако у решения Microsoft есть неоспоримое преимущество — оно бесплатное.

По результатам проверок, Windows Defender заблокировал 100% из 307 образцов с уязвимостями нулевого дня и 100% из 2428 образцов общего тестирования. Также ПО показало малое влияние на производительность.

Другие три популярных бесплатных антивируса не смогли достичь лучшего показателя. Так, AVG и Avast набрали 17,5 баллов из 18, потеряв по полбалла в секции защиты. Антивирус Webroot SecureAnywhere 9.0 показал всего 11,5 очков.

Как именно поменяется имя, пока не подтверждено, но исходя из прошлого опыта название Windows Defender больше не будет ассоциироваться исключительно с Windows. Ранее, когда в 2017 году Windows Defender ATP (Advanced Threat Protection) был расширен на Android, iOS, macOS и Linux, компания переименовала его на Microsoft Defender ATP. По всей видимости теперь обычный Windows Defender будет называться Microsoft Defender.

Такое переименование логично, ведь сервис будет доступен на множестве платформ, а как показывает опыт, копания может быть вполне успешной и в среде Linux, и в Android. Правда очень сложно представить человека, который будет устанавливать Windows Defender на компьютер Mac или Linux.

Согласно исследованию, проведённому AV-Comparatives, большинство антивирусов для Android бесполезны. Более того, после тестирования некоторые были даже удалены из Play Store, поскольку сами являлись зловредами.

Лучшие результаты тестирования показали лидеры рынка на PC, такие как BitDefender, Kaspersky и McAfee. «23 из протестированных продуктов выявили 100% образцов зловредов. Учитывая, что это были наиболее распространённые образцы зловредов 2018 года, так и должно было быть».

В то же время AV-Comparatives предупреждает, что из 250 проверенных приложений для безопасности, не менее 138 можно назвать неэффективными, поскольку уровень выявления у них был менее 30%.

Антивирусы от 32 разработчиков были удалены из Google Play Store, поскольку они сами отмечены как вредоносные лучшими антивирусами. Обозреватели отметили, что «большинство этих выявленных, а также рисковых приложений, разработаны любителями или профессионалами, не сфокусированными на бизнесе в области безопасности».

Для теста были использованы 2000 инфицированных и 100 чистых файлов APK. По результатам, 80 приложений заблокировали более 30% заражённых файлов и не показали ложных срабатываний.

Зловред Linux.BtcMine.174 в первую очередь занимается майнингом Monero. Однако кроме этого вирус, длиной более 1000 строк кода, выключает сервисы, прячет файлы и может воровать пароли.

Различными путями он получает root-доступ, перемещает себя в папку с правами на запись, повышает свои привилегии с помощью эксплоита. Также он добавляет себя в автозапуск и устанавливает руткит.

Оказываясь в системе, он останавливает всё остальное ПО для майнинга, останавливает службы и удаляет необходимые файлы (включая антивирусы) и майнит Monero. Руткит позволяет воровать вводимые пользователем пароли под командой su, что позволяет ему атаковать по многим фронтам.

Также вирус ищет через SSH другие подключенные системы и затем пытается их заразить.

Вирус выявлен совсем недавно и пока не распространился.

Но если вы пользуетесь этим решением на старых операционных системах, то вас ждёт разочарование. Разработчик антивируса объявил о том, что с января 2019 года операционные системы Windows Vista и Windows XP больше не поддерживаются антивирусом.

На самом деле, сожалеть особо не о чем. Системы Windows XP и Vista довольные старые. Они уже не поддерживаются Microsoft, так что использовать эти системы, при наличии подключения к Интернету — подвергать себя неоправданному риску.

Точная дата окончания поддержки пока не названа. Объявлен лишь месяц.

Инструмент под названием Symantec Targeted Attack Analytics использует силу машинного обучения для автоматического выявления нацеленных атак против корпоративных сетей. Технология, стоящая за этим инструментом, использовалась исследовательской командой Symantec для выявления ряда высокоуровневых кибератак последнего времени, включая Dragonfly 2.0, нацеленной в прошлом году на энергетические компании. Инструмент обнаружения угроз был рождён в сотрудничестве с учёными Symantec в области безопасности данных и командой исследователей атак, выявивших Stuxnet, Regin, Lazarus и WannaCry.

Представленное средство анализирует огромный объём данных, включая системную и сетевую телеметрию от поставщиков общемировой клиентской базы. Система аналитики постоянно обучается и адаптируется к новым атакам и методам, даже без обновлений от Symantec, благодаря облачным средствам компании.

В Symantec отмечают, что начальная версия инструмента помогла компании выявить инциденты в более чем 1400 организациях.

Обе операционные системы уже полноценно не поддерживаются Microsoft. Разработчик лишь осуществляет их расширенную поддержку, выпуская только критические исправления. Своё решение по выпуску ATP для старых ОС компания объясняет тем, что множество предприятий сейчас находятся на переходном этапе с Windows 7 и 8.1 на Windows 10, и для обеспечения их комплексной безопасности продукт ATP будет выпущен на всём спектре поддерживаемых систем.

Система ATP Endpoint Detection & Response (EDR) будет доступна летом этого года. Она может работать с любым антивирусом, но Microsoft рекомендует Defender Antivirus, поскольку его использование позволит администраторам работать с единой консолью безопасности, быстрее выявляя и блокируя возможные угрозы.

Этот тип программ-пугалок обычно ассоциируется с программами-очистителями и оптимизаторами памяти и реестра, либо предлагают какие-то иные способы ускорения ПК. В них обычно предлагается бесплатно просканировать компьютер на различные ошибки, после чего выпускаются сообщения о срочной необходимости их исправления, грозя разными ужасными последствиями. Конечно же, исправление доступно только в платной версии.

В Microsoft решили, что эти приложения «проблематичны» для обычных пользователей Windows, так что теперь Windows Defender будет определять такие приложения как «нежелательное ПО» и будет удалять их с ПК.

Этот тип приложений для очистки существует годами, но то, что Microsoft заинтересовалась этими программами, не может не радовать.

В компании отметили, что запустят принудительное удаление пугающих приложений уже с 1 марта. Сейчас же разработчики могут проверить свои программы на совместимость с новой версии Windows Defender, чтобы избежать нежелательных блокировок.

Чтобы помочь инженерам вести реверсный анализ машинного кода, компания Avast выпустила декомпилятор RetDec, который находился в разработке 7 лет. Примечательно, что он поддерживает не только PC архитектуру, но и другие, ключаря ARM, PIC32, PowerPC и MIPS. В дополнение к версии декомпилятора с открытым исходным кодом, опубликованным на GitHub, RetDec также выпущен в виде веб сервиса.

Чтобы им воспользоваться достаточно загрузить исполняемый или машинный код и получить сносную версию исходного кода. Конечно, получить оригинальный код по машинному невозможно, однако получить работающую или почти работающую копию эквивалентного кода для её изучения можно с небывалой до этого простотой.

Разработчики Avast также подготовили специальный REST API, который позволяет сторонним разработчикам использовать декомпилятор RetDec своих продуктах.