книги хакеры / журнал хакер / 207_Optimized

Удивительно, но VBS-троянец не обнаруживался на веб-странице до тех пор, пока мы не стали вручную смотреть ее код. Только тогда «Защитник Windows» сообщил нам, что видит и удаляет угрозу. На VirusTotal сайт считали зараженным только четыре службы облачной проверки.

«Защитник

Windows»

игнорирует троянский VBS на веб-странице

и фильтром SmartScreen далеко не всегда. В нашем тесте по одной из ссылок запустился Trojan.Redirector. Сперва показалось всплывающее окно, а затем браузер принудительно перенаправился на сайт с навязчивой рекламой. Закрыть обычным образом окно с сообщением о «выигрыше» MacBook Pro было невозможно. Пришлось выгружать Edge через диспетчер задач и чистить систему вручную.

Windows Defender не препятствует JS-троянцам

Еще один частый сценарий атаки с элементами социального инжиниринга — запугивание ложными уведомлениями о вирусной атаке. Они побуждают действовать быстро и необдуманно. В IE и многих других браузерах фейковые сообщения легко было стилизовать под системные. Теперь обмануть таким образом стало сложнее: Edge всегда показывает сообщения сайтов в отдельном окне без элементов оформления и со стандартным заголовком: «Этот сайт говорит...». Руководствуясь репутационной характеристикой, SmartScreen дополнительно отмечает сайт как небезопасный, но из-за всплывающего окна это происходит в фоне и может остаться незамеченным. После более тщательной проверки такой сайт могут добавить в черный список, и тогда он перестанет открываться в Edge вообще.

Антивирус от гонконгской компании Qihu (Qihoo 360) вместе с базами занимает менее 80 Мбайт. При этом в нем реализованы три сигнатурных движка (QVMII AI, Avira, BitDefender) и облачная проверка. Вдобавок, помимо файлового сканера и резидентного монитора, у него есть песочница и другие современные компоненты дополнительной защиты. Установка происходит быстро и не сопровождается показом рекламы. Она появляется потом — уже в самой панели управления антивирусом, но выглядит как простой список рекомендуемых приложений от партнеров. Интерфейс нам показался удобным и достаточно информативным.

Интерфейс Qihoo 360 TS и реклама в его окне

Подозрительный экзешник Qihoo 360 определяет сразу после скачивания, часто показывая результат одновременно с предупреждением Edge о низкой репутационной характеристике файла. Антивирус формулирует фразы в стиле магистра Йоды, слов иногда порядок меняя в предложениях. Никакого выбора действий при обнаружении трояна он не предлагает — просто уведомляет об удалении вредоносного объекта. Восстановить его можно при нажатии кнопки «Больше».

делил червя в электронном письме по ссылке /readme.eml. Однако он распознал его при ручном сканировании этого файла из каталога «Загрузки».

Запоздалое

обнаружение

почтового

червя

Сообщение о троянском VBS на зараженном сайте Qihoo показал буквально на долю секунды и тут же скрыл его. Пришлось смотреть лог и объекты карантина, чтобы определить реакцию антивируса.

Обнаружение VBS-троянца

ную копию в самом браузере не заблокировал. В результате нам опять показали баннер в iframe, а затем и знакомое сообщение о лотерее, в которой мы снова «выиграли» MacBook Pro.

Обнаружение JS-троянца в кеше Edge

Реакция на фишинговые сайты у Qihoo отличается от других антивирусов. Вместо посещения подозрительной ссылки браузер перенаправляется на уведомление о низкой репутации этого сайта. Оно загружается из облака 360safe.com и постоянно обновляется. Дополнительно в сообщении указывается реальный адрес официального сайта PayPal. Он отображается независимо от того, какую платежную систему или банк имитировали на фишинговой странице.

Блокирование открытия фишингового сайта

тежи» и выполняется быстрое сканирование системного окружения.

Проверка системы для повышения безопасности платежей

Двух троянов в разных скриптах одной веб-страницы Qihoo пропустил. Позже один из них был найден антивирусом в кеше браузера и удален оттуда вместе с копией веб-страницы. Реакция на сочетанные угрозы оказалась примерно такой же, как у «Защитника Windows», но тут примечательно другое. Если Qihoo обнаруживает несколько вредоносных объектов подряд, то появляется рекомендация выполнить быструю проверку системы.

Реакция на множественные угрозы