Инфицированный контейнер доктор веб что это

Обновлено: 01.07.2024

Антивирус Dr.Web | Компания "Доктор Веб"

Здравствуйте.
Когда закончилась скачка приложения для получения Рут прав и вот что
VVVVV

Максим Колонтаевский

в процессе сканирования своего компьютера на вирусы утилитой dr/ web cureit за 18 февраля 2016 , нашло кучу так называемых инфицированных контейнеров ,даже в антивирусе авасте,как с этими файлами поступить?- в карантин, удалить ? и повлияет ли эти действия на работу этих программ?или это ложное срабатываение? какова степень опасность найденых проблемм?

Эрик Алиев

Максим, инфицированный контейнер это архив, сами по себе они никакого вреда из себя не представляют пока их их не распакуешь. Обезвредьте эти вирусы как предлагает антивирус по умолчанию. А по счёт вирусов, это вирусы которые показывают агрессивную рекламу в браузере, без согласия пользователя, подробнее можете почитать на сайте Dr.web.

Эрик Алиев

Алмаз, любой антивирус реагирует на такие программы, так как они обходят защиту андроид через уязвимости. Dr.web официально не рекомендует, рутировать свой телефон.

Антивирус Dr.Web | Компания "Доктор Веб"

Алмаз, Добрый день. Это не вирус, но программа для получения root-доступа, которая может быть опасной как сама по себе, так и при неумелом обращении.
судя по пути расположения файл с угрозой находится в загрузках.

Антивирус Dr.Web | Компания "Доктор Веб"

Максим, добрый день. Вы можете последовать инструкции, которая предлагает программа относительно данных файлов.

Максим Колонтаевский

да переместил в карантин,по второму разу сканирования не нашло эти проблемы

Относительно недавно на хабре появилась статья «Стилер паролей в антивирусном ПО Avira Free Antivirus» от пользователя Veliant. Автор обнаружил, что в стандартной поставке упомянутого антивируса присутствует компонент, который позволяет простым образом извлечь пароли из хранилища браузера Chrome.

В комментариях произошла дискуссия, можно ли считать это уязвимостью. Но меня зацепил один комментарий автора:

нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?

Дело в том, что буквально перед этим я исследовал несколько программ, которые точно так же полагались на проверку цифровой подписи. И такую проверку было очень легко обойти.



Цифровая подпись файла соответствует только самому исполняемому файлу, но работающая программа это не только исполняемый файл. Существует несколько способов повлиять на работу программы, не меняя исполняемый файл: можно подменить библиотеки, которые загружаются или сделать инъекцию кода прямо в памяти.

Я посмотрел на профиль автора: «Работает в: Доктор Веб». А что если посмотреть, не используется ли в продуктах этой компании проверка, о которой говорит автор? Я решил посмотреть и, спойлер, нашел уязвимость, которая позволяет повысить свои привилегии до системных пользователю Dr.Web Security Space для Windows.

Разведка

Я не разбираюсь в продуктах Доктор Веб, поэтому взял первое попавшееся, что можно было скачать на сайте — это был Dr.Web Security Space 12 для Windows. При настройках по умолчанию данный продукт проводит проверку обновлений каждые полчаса. И в механизме обновления была обнаружена уязвимость.

Ниже я предлагаю видео эксплуатации с описанием того, что происходит на видео с привязкой ко времени. Там же будет описание, в чем же конкретно состояла уязвимость.

Видео эксплуатации

Демонстрация проходит на ОС Windows 10 x64 от пользователя без прав администратора.
0:00-0:12 через консоль Windows показываю, что текущий пользователь не является администратором
0:12-0:24 показываю установленную версию Dr.Web Security Space
0:24-0:29 в папке на рабочем столе находится файл drweb_eop_upd_dll.dll (исходные коды и файл приложены к тикету)
0:29-0:34 показываю, что в папке C:\ProgramData\Doctor Web\Updater\etc находится 3 файла
0:34-0:47 копирую библиотеку drweb_eop_upd_dll.dll в папке на рабочем столе и один экземпляр называю version.dll, другой — cryptui.dll
0:47-0:56 копирую файл C:\Program Files\Common Files\Doctor Web\Updater\drwupsrv.exe в папку на рабочем столе, рядом с dll.
0:56-1:00 запускаю скопированный файл

Запускаемый файл drwupsrv.exe из папки на рабочем столе загружает расположенную рядом version.dll. Данная библиотека создает файл C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml.new. На папку C:\ProgramData и вглубь у пользователя есть права на создание файлов, поэтому это легальная операция. Если попробовать создать такой файл вручную, то, вероятно, защитные механизмы Dr.Web предотвращают такую операцию. Но в эксплуатации создание файла проходит от имени drwupsrv.exe, что вероятно обходит внутренние проверки и файл создается. Фактически, это обход той самой проверки подписи о которой и идет речь в начале статьи.

1:00-1:22 демонстрирую созданный файл и его содержимое. В общем смысле файл совпадает по содержимому с файлом C:\ProgramData\Doctor Web\Updater\etc\drwupsrv.xml, но все пути указывают папку на рабочем столе (C:\Users\User\Desktop\dwtest)
1:22-2:00 ничего не происходит (на этом этапе я ожидаю процесса обновления ПО, который по умолчанию происходит раз в полчаса и ожидаемое время можно найти в логах)
2:00-2:14 судя по всему, взяв созданный файл конфигурации, обновлятор видит, что в папке C:\Users\User\Desktop\dwtest нет файлов ПО Dr.Web, начинает туда файлы ПО копировать.

Среди копируемых файлов есть файл dwservice.exe, который запускается в момент обновления от имени пользователя NT AUTHORITY\SYSTEM. Данный файл загружает в себя библиотеку cryptui.dll, которая была в папке C:\Users\User\Desktop\dwtest. Код библиотеки просто запускает интерактивную консоль, которую и видно на экране. Командой whoami убеждаюсь, что получены права системы.

Отчет об уязвимости был отправлен в Доктор Веб и, вроде бы, разработчики все поправили.

15.05.2020 — Обращение в техподдержку с просьбой предоставить security-контакт.
20.05.2020 — Получаю ответ, что можно передать отчет в данном обращении
20.05.2020 — Передаю отчет
14.06.2020 — Получаю ответ, что для 12 версии уязвимость исправлена. Ожидают портирование для версии 11.
07.07.2020 — Разработчики подтверждают, что исправления выпущены.

Обзор антивируса Dr.Web - традиционное решение сложных проблем

Любительский

Аватар пользователя

От антивируса пользователю требуется "немного" - чтобы не мешал в работе, не пугал надоедливой рекламой и не тратя ресурсов компьютера ловил все вирусы до одного. И антивирус Dr.Web отвечает этим требованиям на все 100.

Установка антивируса проста как свои пять пальцев. Ее можно провести лишь нажимая на кнопку "Далее", но мы можем подсказать, как получить от антивируса больше.

Во первых отметьте в начале установки галочкой пункт Установить Брандмауэр Dr.Web. Сейчас вирусы (да и хакеры тоже) не мыслят себя без связи со всемирной сетью - и вот тут на их пути встает Брандмауэр Dr.Web - не давая ни войти хакерам, не выйти установленным ими когда-то утилитам для получения команд из вражеского "центра".


Здесь же отметим, что антивирус Dr.Web отличается редкой по нынешним временам особенностью - он не загружает файлы пользователей на свои сервера для дополнительных анализов. Это четко прописано в его политике.


И еще одна "кстати". В дополнительных настройках есть неприметная опция - Запрещать эмуляцию действий пользователя.


Нужна она для того, чтобы удаленный пользователь, например, хакер, получивший доступ на ваш компьютер, не удалил ваш антивирус, чтобы тот не препятствовал его работе. Бухгалтеры, которых именно так обычно и атакуют, данную защиту думаю оценят.

А теперь самое важное место - регистрация серийного номера.


Дело в том, что, если вы купили 2 лицензии Dr.Web (или купили коробку с антивирусом в магазине на двух пользователей), то вы можете зарегистрировать обе лицензии на себя. И получите дополнительные 150 дней действия антивируса. Почти полгода!

Активировать обе лицензии можно как во время установки, так и после нее. Бонус все равно будет.

Завершаем установку и перезагружаемся. Зачем? Да очень просто. Хакеры не любят антивирусы и любят их сносить. Чтобы этого не допустить у Dr.Web есть самозащита - она не дает изменить настройки антивируса никому, даже вашему ребенку, которому вы запретили играть по ночам. Вот этот модуль самозащиты и устанавливается при перезагрузке.


Собственно и все. Теперь Dr.Web будет молча ловить всю заразу, которой переполнен Интернет (а также флешки, которые ваши дети приносят от друзей).

Что мы получаем сразу после установки?

Dr.Web Security Space (а это лучший выбор, если мы хотим защититься от всего спектра современных угроз, так как "просто антивирусы" не позволяют надежно защититься от угроз нулевого дня - скажем тех, для которых уже есть заплатки, но эти заплатки еще не доставлены на компьютер пользователя) по умолчанию устанавливает следующие свои модули (их спимок можно скажем задать при установке ):

  • главный компонент - SpIDer Guard. Он следит за всеми запускаемыми файлами и проверяет их до запуска. Кстати особенность 12й версии — данный модуль использует для анализа не только традиционные антивирусные базы, но и правила, сформированные с помощью машинного обучения (то самое, которое журналисты часто называют искусственным интеллектом).
  • не менее важный компонент - SpIDer Gate. Модуль проверки трафика. Крайне важен, так как зачастую файлы, скачанные браузером, не записываются на диск и не попадают поэтому в зону ответственности предыдущего компонента. При том числе майнеров и прочих следящих за нами модулей - жить без этого модуля не рекомендуется.
  • Проверка почты. SpIDer Mail. В связи с разнообразием современной почты и тем, что компания Microsoft не любит открытые стандарты, дополняется модулем Dr.Web для Outlook (это специальный модуль, который проверяет почтовые ящики Microsoft Outlook) Современная почта доставляется по защищенному каналу, а, значит, чтобы ее проверить до открытия пользователем тоже нужен специальный модуль. SpIDer Mail обнаруживает и обезвреживает угрозы до получения писем почтовым клиентом с сервера или до отправки письма на почтовый сервер.
  • Антиспам. Назначение понятно, работает вместе с предыдущим модулем и защищает от спамеров и фишеров.
  • Антивирусный сканер Сканер Dr.Web. Запускается по запросу пользователя или по расписанию и производит глубочайшую антивирусную проверку компьютера.
  • Брандмауэр Dr.Web. О нем мы уже говорили, это персональный межсетевой экран, предназначенный для защиты вашего компьютера от несанкционированного доступа извне и предотвращения утечки важных данных по сети.
  • Родительский контроль — компонент, который ограничивает доступ к сайтам, файлам и папкам, а также позволяет ограничить время работы в сети Интернет и за компьютером для каждого пользователя компьютера.
  • Поведенческий анализ и Защита от эксплойтов — компоненты, контролирующие доступ приложений к критически важным объектам системы и обеспечивающий целостность запущенных приложений.
  • Защита от вымогателей — компонент, обеспечивающий защиту от вирусов-шифровальщиков.
  • Облако Dr.Web - модуль, позволяющий обнаруживать вредоносные программы на основе знаний об их поведении. Как уже было отмечено - файлов пользователя в сеть не загружает.
  • Антивирусная сеть - компонент, позволяющий вам управлять защитой нескольких компьютеров, если конечно на них установлен Dr.Web.
  • Защита от потери данных - уникальный модуль, позволяющий назначить папки, доступ к которым будет только у доверенных программ, но никак не у вирусов.
  • Защита от слежки через микрофон и вебкамеры. Отличная альтернатива заклеиванию т того и другого, о их настройке поговорим ниже.
  • Защита сменных устройств. Позволяет ограничить список устройств, имеющих доступ к компьютеру. Жизненно важная штука.

Dr.Web Security Space обеспечивает многоуровневую защиту всех компонентов защищаемых компьютеров: системной памяти, жестких дисков и сменных носителей от проникновений вирусов, руткитов, троянских программ, шпионского и рекламного ПО, хакерских утилит и различных вредоносных объектов из любых внешних источников

И сразу о детях (или о ваших пожилых родителях, которым вы настроили Интернет). Поживиться на них хотят многие мошенники, и им этого позволять не стоит

Кликаем на зеленый щиток в трее, далее пункт "Центр безопасности" и далее "Родительский контроль".


На экране перечислены все пользователи вашего компьютера (напомним, что если вы хотите задать разные ограничения для разных пользователей, то каждый из них должен заходить на компьютер под своей учетной записью. Увы, но антивирус не видит, кто сидит перед компьютером).

Нажимаем на замочек в нижнем углу и выбираем пользователя.


Как видим по умолчанию Интернет без ограничений. Непорядок


Выбираем Ограничивать доступ по категориям (если мы выберем Разрешать доступ только к сайтам из белого списка , то нам самим придется задать список разрешенных сайтов).


Теперь получить доступ к вредоносным сайтам станет сложнее.

На закладке "Время" вы можете ограничить время работ за компьютером.


Полезная возможность. А закладка Файлы и папки еще полезнее


Вы можете задать список папок, к которым пользователь или вообще не будет иметь доступ (не все фотографии нужно видеть всем!), или не сможет изменить их содержимое

Всем думаем известно, что хакеры - вуайеристы - любят подглядывать и подслушивать. Можно конечно заклеить пленкой камеру и микрофон, но есть способ лучше. В том же окне Центр безопасности есть раздел Устройства и личные данные. Там есть два похожих раздела - Веб-камеры и Микрофоны. Настройка их аналогична, зайдем в один такой.


Вы можете полностью разрешить доступ к камере, блокировать ее или при попытке доступа к ней выводить запрос. И конечно можете выбрать и указать программу, которая должна иметь возможность работать с камерой (или микрофоном).

Еще одна часть раздела Устройства и личные данные - Устройсва. Второй по популярности метод проникновения вредоносных программ на ваши компьютеры - сменные устройства. Если вы хотите прекратить вседозволенный доступ любых флешек к вашему компьютеру - заходим в этот раздел и настраиваем ограничения. От полного запрета и до списка разрешенных флешек и сменных устройств.

Вставляем флешку и отмечаем ее.


Доступ к устройству кстати также может быть разным у разных пользователей.

Dr.Web CureIt! - это простое в использовании антивирусное приложение, которое может сканировать и удалять вирусы, шпионские программы, рекламное ПО, руткиты и другие формы электронных угроз. Оно предлагает крайне интуитивно понятный интерфейс с опциями, пользовательский режим сканирования, менеджер карантина и файлы журналов, в основе своей принимая в расчет рядовых пользователей ПК.

Обзор Dr.Web CureIt! 9

  • Защита от вирусов, шпионских программ, рекламного ПО, руткитов;
  • Полный, экспресс, а также индивидуальный режим сканирования;
  • Автоматические действия по каждому виду обнаружения;
  • Выключение компьютера автоматически по завершении сканирования;
  • Менеджер карантина;
  • Отличный коэффициент обнаружения вирусов;
  • Низкое потребление ресурсов.

ПРИМЕЧАНИЕ: Dr.Web CureIt! 9 был протестирован на 64-разрядной ОС Windows 8.1 Pro.

Обзор антивирусного сканера от «Доктор Веб»

Не все антивредоносные приложения обязательно должны быть многофункциональным и сложно настраиваемыми, чтобы быть мощными, и Dr.Web CureIt! является одним из таких примеров.

По сравнению с другими подобными продуктами, этот инструмент не требует установки. Он предназначен для удаления вирусов, шпионских программ, рекламного ПО, руткитов простейшим образом и при минимальном участии пользователя. Тем не менее, он также позволяет пользователям настраивать его поведение путем применения автоматических действий при обнаружении угрозы, управлять карантином, просматривать данные журнала и многое другое.

Его полный пакет состоит из одного файла, который можно сохранить в любое место на жестком диске, а также на съемные устройства хранения, чтобы непосредственно запустить Dr.Web CureIt! на любом компьютере и проверить последний на наличие вредоносного присутствия. Преимущество в том, что инструмент не создает дополнительных файлов на диске или записей в реестре Windows. Однако, это также означает, что он не интегрируется в защиту реального времени, поэтому Dr.Web CureIt! не обеспечивает полную защиту компьютеров. Это может быть достигнуто, объединяя инструмент с чем-то еще, например, недавно рассмотренным Panda Cloud Antivirus.

При каждом запуске приложения, пользователи должны согласиться отправлять разработчику статистику сканирования. Этот шаг можно пропустить только при покупке полной версии Dr.Web CureIt!. Утилита не делает слишком большой акцент на внешнем виде интерфейса, предпочитая чистую структуру, которая напоминает Microsoft Security Essentials.

Обзор Dr.Web CureIt! 9: Легко запускаемое быстрое сканирование

Обзор Dr.Web CureIt! 9: Легко запускаемое быстрое сканирование


Легко запускаемое быстрое сканирование

По умолчанию инструмент проверяет известные места укрытия вирусов и других видов угроз, а именно - первичный раздел (то есть это экспресс-сканирование). Во время сканирования он показывает время начала и оставшееся время, общее количество сканируемых объектов и обнаруженных угроз, а также полный путь к расположению проверяемого файла. Задача может быть приостановлена и возобновлена впоследствии.

Если Dr.Web Веб CureIt! находит какие-либо угрозы, он перечисляет их на нижней части экрана, с указанием типа угрозы и полного пути к её расположению, предоставляя пользователям на выбор - удалить, игнорировать объект или переместить его в карантин для более детального изучения.

Обзор Dr.Web CureIt! 9: Настройка выборочной проверки


Настройка выборочной проверки

Пользователи могут переключить внимание приложения на конкретные диски или каталоги (или весь компьютер, включая съемные диски) и расширить охват сканирования, проверяя загрузочные сектора всех дисков, память произвольного доступа, корневую папку загрузочного диска, каталог Windows, папку документов пользователя, временные файлы, точки восстановления системы и присутствие руткитов.

Для каждого типа выявленной угрозы, Dr.Web CureIt! может автоматически запускать порядок действий, установленный пользователем: лечить, поместить в карантин, удалить или игнорировать. Это относится к случаям инфицированных, неизлечимых, подозрительных объектов, рекламного ПО, дозвонщиков, функционал также охватывает программы-шутки, потенциально опасные программы, хакерские инструменты, элементы контейнерных и архивных программ, а также электронной почты. Как поясняется программой, для некоторых этих событий может потребоваться перезагрузка системы, чтобы завершить задачу (перезапуск автоматически или запрос у пользователя). Можно исключить файлы и папки из сканирования, а также проверять архивы, файлы электронной почты, и инсталляционные пакеты для любых вредоносных агентов.

Обзор Dr.Web CureIt! 9: Установите автоматические действия на угрозы

Обзор Dr.Web CureIt! 9: Исключите файлы


Установите автоматические действия на угрозы и исключите файлы

Активность сканирования может быть позже изучена в файлах журналов и пользователи имеют возможность регулировки уровня ведения журнала между минимальным (общая информация приложения, время начала и общее время проверки, обнаруженные ошибки и угрозы), расширенным (плюс проверенные объекты, названия упаковщиков и содержимое архивов) и максимальным (плюс содержимое всех сложных объектов, время сканирования и размер для каждого файла).

Обзор Dr.Web CureIt! 9: Отрегулируйте журнал

Обзор Dr.Web CureIt! 9: Основные параметры

Обзор Dr.Web CureIt! 9: Управляйте карантином


Отрегулируйте журнал и основные параметры, управляйте карантином

Другие особенности Dr.Web CureIt! предназначены для применения звуковых оповещений, выключения компьютера сразу после сканирования, прерывания сканирования при переходе в режим питания от батареи, защиты операций Dr.Web CureIt!, а также блокирования сетевого доступа и приложений от записи на диск с помощью функции низкого уровня. Что также немаловажно в завершение: менеджер карантина показывает имя, тип угрозы, дату помещения в карантин, и полный путь к расположению каждого содержащегося в нём объекта, позволяя пользователям удалить или восстановить любые пункты.

Обзор Dr.Web CureIt! 9: Оценка Softpedia

Достоинства

Загрузка процессора и потребление оперативной памяти были минимальными.

Время сканирования было чрезвычайно долгим. Приложению потребовалось 1 час и 7 секунд для сканирования 2.36GB файлового пространства.

Так как это портативный инструмент, Dr.Web CureIt! не предлагает защиты в режиме реального времени, поэтому он не может полностью защитить компьютеры от поступающих угроз; он должен быть в связке с другим антивирусным приложением, имеющим такой функционал.

Еще одна важная функция, которая не интегрирована - возможность запланировать задачи, повторяющиеся на регулярной основе.

Инструмент не сохраняет текущие настройки при выходе, поэтому пользователи должны перенастроить их при каждом следующем запуске. Показанное оставшееся время является не точным.

Читайте также: