Hw32 packed что за вирус

В который раз, обучая свой антивирус правильному распознаванию некоторых, “не простых” (скажем так) файлов на моем жестком диске после плановой переустановки Windows, я решил осведомиться, как обстоят дела на этом фронте у большинства пользователей, чьи знания не превышают среднего уровня. Просмотр популярных форумов сразу же дал понять, что дела эти обстоят плохо, если не сказать хуже. Поэтому и было решено произвести некоторую ликвидацию безграмотности по теме запакованных исполняемых файлов.

Разнообразные упаковщики исполняемых файлов повсеместно используются в целях сокращения занимаемого файлом места на жестком диске, это способствует ускорению загрузки файла в оперативную память, а, следовательно, и общему ускорению запуска программы. Некоторые упаковщики совмещают сжатие с шифрованием, что позволяет разработчикам, если не предотвратить, то хотя бы максимально затруднить декомпиляцию их продуктов, поэтому очень часто можно встретить упакованные исполняемые файлы в составе какого-либо лицензионного продукта – шифрование ставит достаточно мощный барьер на пути взломщиков платного софта. Правда, и взломщики обычно по мелочи не работают, но не будем уходить от темы.

С другой стороны, обработка исполняемого файла шифрованием очень широко используется и вирусописателями, ведь в зашифрованном файле вирус обнаружить на порядок сложнее. Простое внесение сигнатуры файла в антивирусную базу спасет положение лишь до ближайшей переупаковки вируса, которая иногда может автоматически выполняться и самим вирусом.

В большинстве случаев один пропущенный вирус, если ему удалось запуститься, способен отключить всю защиту и в дальнейшем притащить за собой столько своих собратьев, сколько захочет, а зачастую – даже больше, чем захочет. Именно поэтому, многие современные антивирусы, в своем стремлении обеспечить максимальный уровень безопасности, видят вирус даже там, где его нет. Если абсолютная чистота файла не доказана и существует, хотя бы небольшая, вероятность наличия в файле вредоносного кода, то файл считается опасным. Довольно часто “ложная тревога” срабатывает на исполняемых файлах, упакованных мощными упаковщиками, – такими как: Upack (WinUpack), NSPack, MEW, FSG. Подобные файлы иногда даже не просто отмечаются как “подозрительные”, требующие индивидуального исследования специалистом, а определяются как вирус, помещаются в карантин или принудительно удаляются. Отношение антивируса к таким файлам может зависеть не только от его версии и производителя, но и от выбранного пользователем режима настроек. Да, сегодня многие антивирусные продукты позволяют выбрать такую степень защищенности, при которой блокироваться будет все, что шевелится, а что не шевелится – будет антивирусом предварительно расшевелено и заблокировано. И с этим приходится мириться, ведь даже такие меры не могут гарантировать 100% безопасности.

Целиком и полностью полагаясь лишь на возможности антивируса, мы, в зависимости от выбранной политики безопасности, можем прийти либо к тому, что любые подозрительные файлы будут удаляться, либо к тому, что удаляться будут только явные вирусы. Второй вариант кажется наиболее логичным, но только, если забыть, что вирусы обычно появляются раньше, чем лекарство от них. А вот удаление всего подозрительного, хотя и обеспечивает максимальный уровень защиты, зато ставит под угрозу удаления многие полезные программы, не попавшие в ТОП-100 наиболее популярного софта. Тем не менее, этот вариант, с точки зрения безопасности, выглядит оптимальным: лучше заблокировать несколько подозрительных файлов, чем пропустить один вирус, который может испортить все файлы на жестком диске. Все просто и доступно, не так ли?

Все дело в том, что любой упакованный исполняемый файл в статическом состоянии, безусловно, является черным ящиком, мистером Икс или котом в мешке, если хотите. Для определения наличия вредоносного кода в упакованном файле недостаточно статического сканирования. Для того чтобы определить функциональное содержание упакованного файла, его необходимо запустить. Ведь упакованный исполняемый файл – это не какой-нибудь там архив, который запакован и распаковывается по определенному алгоритму. Чтобы просканировать архив на отсутствие вирусов, его достаточно распаковать по четко определенному алгоритму. А с упакованными исполняемыми файлами все иначе. Там много всего намешано, много всяческих чисто программных трюков, оптимизаций и прочего, прочего. Может даже не быть четкого момента, в который можно было бы поставить процесс на паузу и увидеть в оперативной памяти целостный код распакованной программы. Но, не запустив файл на исполнение, мы точно не сможем увидеть его содержимое. Значит, надо запускать, хорошо… А вдруг это вирус, а мы его запустим, что дальше? Дальше – тихий шелест мыслей и аплодисменты хлопающих век.

Есть мнение, что в современных условиях стоит собирать в базу не только вирусы, но и заведомо чистые файлы. То есть создавать “белый список” проверенных файлов из числа тех, которые могут быть упакованы, а все непроверенные файлы помещать в карантин. Понятное дело, что такая база будет иметь огромный размер и возможно даже не влезет на DVD-диск, даже если в ней будут содержаться только сигнатуры самых распространенных файлов. А если даже и влезет, то представьте, сколько понадобится специалистов, чтобы своевременно вносить в базу обновившиеся продукты и сколько дисков с обновлениями! В общем, это не вариант.

Прогрессивные разработчики антивирусов предлагают такую стратегию проверки, при которой сжатые файлы запускаются в так называемой “песочнице” (sandbox). В данном смысле, песочница – это виртуальная среда, организуемая средствами антивируса для запуска в ней особо подозрительных объектов. Запущенные в ней программы будут иметь ограниченные права, а доступ к критическим областям системы, будет разрешаться только виртуально и только после предварительного анализа намерений программы антивирусом или с разрешения пользователя.

Такой подход помогает перейти антивирусным системам на совершенно новый уровень по сравнению с текущими методиками конца прошлого века. Но и тут не все гладко, даже если смириться с многократным снижением производительности. На словах все легко и безопасно, а вирусописатели ведь тоже на результат работают. В итоге все идет к тому, что будет и небольшой белый список для самых-самых, и песочница для тех, кто “мордой не вышел”, и старую систему с черным списком и эвристикой тоже никто не отменяет. Скажу больше: это все уже есть, но работает оно пока еще не совсем так, как хотелось бы, поэтому я и говорю “будет”. А к тому времени, когда оно будет, вирусы тоже научатся маскироваться под доверенные приложения и вылезать из песочниц через подземные ходы. Нам же остается не терять самообладания в этом потоке информации, и не становиться параноиками. В конце концов, важные данные можно ежедневно бэкапить, как положено, на три и более различных носителя, а то, что неважно – о том и не переживать.

Ну и напоследок, в вопросе “Packed/Upack – вирус или нет?” решение, безусловно, за вами, но в наши дни я бы не доверял антивирусам, которые блокируют все подряд упакованные файлы. Безопасность данных, конечно, превыше всего, но согласитесь ли вы для полной безопасности выключить компьютер и убрать его в сейф?

P.S. Собирая материал для данной статьи, ваш покорный слуга в очередной раз уверился, что, чем более доступной становится та или иная область знаний, тем ниже и ниже опускается общий уровень понимания этой области. Казалось бы, – парадокс? Нет, к сожалению, это закономерность, свойственная современному человеческому обществу: деградировать в погоне за прогрессом.

Тем, кому собственный антивирус помешал произвести эксперимент с упаковкой заведомо чистого экзешника для отправки его на мульти-антивирусный тест, посвящается.

• 
  
• 
  

Гарфилд (08.10.2015 - 11:59) писал:

• 
  
• 
  

Гарфилд (26.06.2015 - 10:22) писал:

ALOR (06.10.2015 - 12:34) писал:

у мя народ такова плана письма без прочтения сжигает вместе с компом :)))
научил. на свою голову :)

а вирус шифровальщик работает и не под админом.
он выполняет легитимную операцию,- шифрование пользовательских файлов,
и антивирус молчит - ибо пользователь имеет право шифровать :)))

• 
  
• 
  

dmitryr (08.10.2015 - 12:25) писал:

он и не под админом робит - уже проверено. я отказываю в помощи, если мои рекомендации не исполнены.

з.ы. работаю под Linux уже собрал коллекцию скриптов на vhs

• 
  
• ищем пуговицу
• 
  
  
  
  
  

• 
  
• 
  

IB0P0HI (09.10.2015 - 00:44) писал:

• 
  
• 
  

avgri (08.10.2015 - 11:49) писал:

• 
  
• ищем пуговицу
• 
  
  
  
  
  

• 
  
• 
  

Nagisa (09.10.2015 - 08:50) писал:

• 
  
• 
  

Гарфилд (09.10.2015 - 08:29) писал:

антивирус не панацея от вирусов, об этом говорили изначально. Это почему-то глупые пользователи считают антивирус защитой

касаемо " замечать одинаковые операции производящиеся в короткое время" рекомендую посмотреть сколько файловых операций делает тот же MS WORD при открытии документа
соответственно из-за подобной криволапости MS, антивирус не сможет отличить легитимные операции от нелегитимных. собственно шифрование, это просто работа с файлом, прав админа тут не надо.

решение проблемы в комплексе:
- закрытие на почтовых шлюзах exe js вложений в архивах итд
- информирование пользователей
- орг меры (депремирование дебилов или иные финансовые наказания)
- регулярный бекап (втч и на внешние носители)

• 
  
• 
  

нет пределов человеческой тупости.

Ещё один шифровальщик

От: Самарский Александр
Отправлено: 9 октября 2015 г. 3:37
Кому:
Тема: договор

Здравствуйте, высылаю подписанный договор с поправками. Пожалуйста отпишитесь о получении и не тяните пожалуйста с этим. давайте до конца недели решим этот вопрос.
С уважением, Александр Самарский.
тел: +79990398249

В письме - rar-архив, в архиве - файл договор.ехе
C Virustotal.com:

Эта дрянь шифрует и переименовывает. Последний владелец файла не меняется
имя файла меняет полностью. Новое имя:
email-Igor_svetlov2@aol.com.ver-CL 1.0.0.0.id-VWXYYZABCCDDEEFGHHHIJJKLMMMNOOPQQQRS-09.10.2015 10@21@137843172.randomname-CFGHIJJKLMMNNOOPQRRSSTTUVWWWXY.ZAA.cbf

Написал по адресу из имени. Отвечает живой человек, в противовес вчерашнему, где отвечал робот:

гарантии 100%, каждый зарабатывает как может - но еще и кидать людей было бы не правильно. после оплаты в течении часа получите прогу для своего компа. там еще подготавливать его нужно минут 40 (по этому для оптимизации скиньте 1 файл зашифрованный). я начну подготовку. оплачивать сюда
ЕСЛИ у Вас оплата картами банков :

(например) беру Bitcoin btc. Счет, на который надо сделать перевод:
1PeHygeJsXYvraLNzNB5fEDXjWb
Следуете инструкциям обменника.

ЕСЛИ у Вас нету карт:

"Кидать людей было бы неправильно".
А то, что он делает, правильно.

• 
  
• 
  

gdv1969 (09.10.2015 - 12:11) писал:

можно трактовать как ускоренные курсы Информационной Безопасности
и в принципе не дорого

на самом деле, многие ошибочно недооценивают эффективность огр.мер

пример из практики
когда-то давно я пришел работать в министрество экологии
очевидно, что был бардак и вирусы были почти на каждом компе.
я написал и подписал у руководства комитетом Политику ИБ
в которой четко возложитл ответственность за убытки вызванные действиями вирусов на пользователей ПК, которые допустили попадание вируса.
соответственно на следующий день половина пользователей принесла заявления на отключение флопов (тогда флешек еще не было)
в итоге борьба с вирусами и их последствиями заняла неделю на всю контору.
да, чуть не забыл - пользователи сами попросили прочитать курс по проверке документов антивирусами и вообще по Информационной Безопасности, тк пришло понимание, что если что - возьмут за ж.

Как защититься от COVID-19 в ожидании создания вакцины против него

Об авторе: Валерий Дмитриевич Молостов – врач, кандидат медицинских наук. Минск

Обыватели недоумевают: почему современная медицина не может так долго найти средство (антибиотики) против коронавируса? Но медицина бессильна не только перед коронавирусом, но и перед вирусом гриппа (птичьего или свиного), болезнью Эбола и десятком других. Микробные заболевания современная медицина лечит хорошо, фармацевты синтезировали огромное количество антибиотиков. Антибиотики омывают межклеточное пространство (где расположены бактерии), но они, к большому огорчению, никогда не проникают внутрь клетки (где расположены вирусы).

Крупные микробы в 100 раз мельче клеток тканей человека. Средний размер крупного вируса – 0,0004 мм, а мелкого вируса – 0,000006 мм. Вирус СПИДа считается крупным и имеет размер 0,00008 мм, свиной цирковирус – 0,000017 мм. Вирусы в среднем в 1000 раз меньше размера микроба и в 10 000 раз меньше любой человеческой тканевой клетки. Не повреждая клеточную оболочку, болезнетворный вирус проникает внутрь клетки человека, а питательной средой служит ему цитоплазма – жидкое содержимое самой клетки. Вирус быстро размножается, и за сутки внутри клетки появляются тысячи вирусов.

Возникает вопрос: почему же больной человек выздоравливает при поражении его органов вирусами? Дело в том, что внутрь клеток, где размножаются вирусы, свободно проникают только собственные иммуноглобулины, которые и убивают вирусы. Но иммуноглобулины (в основном гамма-глобулины) могут проникнуть внутрь клетки, если они синтезированы только внутри данного организма. Чужие иммуноглобулины, которые взяты из крови другого человека, практически не проникают внутрь ваших клеток, пораженных вирусами.

При заболевании, вызванном коронавирусом, больному организму нужна неделя, чтобы синтезировать высокую концентрацию иммуноглобулинов. Глобулины синтезируются внутри костного мозга, лимфоидной ткани, селезенки и печени. Сразу после проникновения вируса в организм человек фактически на протяжении пяти дней не имеет никакой защиты против вирусной инфекции, так как иммуноглобулины еще не выработаны! За пять дней иммунитет только начинает вырабатываться!

Лечение всех тяжелых заболеваний, вызванных вирусом, происходит следующим образом.

Прежде всего врачи ставят своей задачей не дать пациенту умереть за шесть дней острого проявления заболевания. На шестой день организм пациента начнет вырабатывать собственные антитела. Тогда пациент будет обязательно спасен. Как сохранить жизнь пациента до шести дней течения острого периода?

Во-первых, медики ставят перед собой цель снизить концентрацию вирусных токсинов в крови при помощи увеличения количества воды в кровяном русле. Если у больного весом в 70 кг в венах и артериях содержится 3 л крови, то ему предстоит ввести в артерии и вены еще 2–3 л воды, чтобы уменьшить концентрацию вирусных токсинов. Для этого больного заставляют пить много воды и вводят ему внутривенно (инъекционно) до 3 л в день водных растворов: глюкозы, физиологического раствора и различных кровезаменителей. Только выдержали бы почки пациента!

Во-вторых, есть вещества, которые в кровяном русле больного пациента создают химические связи с молекулами вирусных токсинов, и от этого токсины становятся менее ядовитыми. Таких веществ существует сотни. Одно из них – аскорбиновая кислота (витамин С).

Однако, подчеркнем еще раз, все врачи понимают, что до тех пор пока организм пациента не выработает огромную концентрацию собственных иммуноглобулинов – до тех пор излечения пациента не произойдет.

Для большинства опасных вирусных инфекций созданы профилактические прививки, которые представляют из себя ослабленный живой вирус. Но пока не существует вакцины (ослабленного вируса) для коронавируса. Конечно, через год вирусологи создадут вакцину и против коронавируса. Но дело в том, что после инъекции такой вакцины необходимо ждать три недели до того момента, пока у данного человека выработается стойкий иммунитет. Если человек уже заболел, то прививка этому человеку не поможет.