Как предотвратить заражение мошенническими приложениями безопасности

Question

Мой компьютер никогда не заражался вирусом, потому что я использую плагин для браузера Web of Trust, sandboxie и антивирус Avast Free. Но сегодня он заразился мошенническим приложением безопасности под названием antivirus.net. Я уже удалил его с помощью MBAM, SAS и Kaspersky Virus Removal Tool.

И, кстати, я использовал MSE, когда мой ноутбук заразился. Похоже, мошенническое приложение просто убило процесс MSE. И я даже не получил предупреждение. Я использовал Wi-Fi из нашей школы, что, я думаю, является причиной того, что на большинстве компьютеров в нашей лаборатории есть мошеннические приложения.

Мой вопрос: как я могу предотвратить это снова? Мне потребовалось около 6 часов для дезинфекции моего компьютера, и я не хочу, чтобы это повторилось. Пожалуйста, просветите меня, если эти мошеннические приложения действительно просто появляются из ниоткуда.

Заметка

Я не настолько глуп, чтобы согласиться с установкой мошеннических приложений безопасности. Это просто появилось из ниоткуда. Я доволен MSE, ну не после того, как он позволит antivirus.net проникнуть в мой компьютер.

Я провел небольшое исследование, и в нем говорится, что для его установки на компьютере необходимо разрешение пользователя:

http://www.net-security.org/malware_news.php?id=1245

http://en.wikipedia.org/wiki/Rogue_security_software

Возможно ли, что другие компьютеры в нашей школьной сети согласились установить их? Или, может быть, администратор сети?

Answer 1

В этом случае нет ничего плохого в Microsoft Security Essentials.

Antivirus.net - это троянский конь, поэтому он заражал вас, когда вы что-то нажимали (и я тоже это сделал, поэтому я не говорю, что это было преднамеренно). Это может быть реклама, файл, который вы скачали, или что-то еще. Метод заражения разработан, чтобы заставить вас нажать на него.

Хотя многие инструменты защиты от вредоносных программ, в том числе MSE, могут обнаружить множество этих троянских программ, они не всегда получают их, потому что толпа вредоносных программ обычно опережает игру.

Кроме того, из вашего вопроса следует, что Avast и MSE были установлены одновременно. Если это так, вам нужно выбрать один. Это плохая идея - запускать более одного антивирусного инструмента одновременно, потому что они могут конфликтовать и отключать друг друга, помимо других неожиданных вещей.

Answer 2

Просто указатель на это, сегодня я был заражен этой мерзкой работой - Rogue:Win32/Winwebsec или «Security Tool» *.

После исправления и тщательного копания я знаю, что меня обмануло. Нечто подобное уже случалось со мной раньше, но тогда я не знал, что я мог сделать, чтобы мой компьютер заразился.

В этот раз я вернулся к своему ПК, который уже был включен, вошел в систему и сразу же увидел уведомление о том, что в Windows появились новые обновления.Я нажал на это, затем Flash сказал, что нужно обновить. Я нажал на это и БУМ! - это я был заражен, Popup City, AZ.

Должно быть, они подделали уведомление об обновлении Flash, и я беспечно щелкнул по нему, как и вы. Это, конечно, выглядело как настоящий Adobe Flash/Air Updater

Довольно подлый, но я все еще не знаю, как он попал на мою машину - стандартная учетная запись пользователя, UAC включен, брандмауэр Windows включен, MSE запущен и обновлен, Windows полностью исправлена и т.д. Насколько мне известно , даже после нажатия кнопки в поддельном диалоговом окне Adobe, я все равно должен был просмотреть всплывающее окно UAC, но я его не увидел.

Где кончается это безумие?

Изменить: Выяснили, что вызвало это, реклама заражена вредоносной Java. Посмотрите эту историю на The Regsiter для получения дополнительной информации. Почти достаточно, чтобы заставить меня хотеть использовать расширение браузера noscript ....

* Для того, чтобы кто-то достиг этого, кто хочет почистить свой компьютер, я просто переключился на другую учетную запись с базовыми привилегиями, запустил полное сканирование MSE (она не была заблокирована для этой учетной записи), а затем снова переключился. Гораздо быстрее и проще, чем все, что происходит с безопасным режимом и программами защиты от вредоносных программ, которые, кажется, являются рекомендуемым способом разобраться в этом. Естественно, это не помогло полностью, оно вернулось после перезагрузки. Пришлось прибегнуть к антивирусным программам для устранения, как это зафиксировано здесь.

Answer 3

Отличный вопрос, кстати.

Реальный ответ на эту ситуацию несколько прост, но вы должны иметь надлежащие инструменты для управления этой ситуацией. Проще говоря, базовые антивирусные программы, такие как Microsoft Security Essentials , не помогут вам, когда дело доходит до контроля подобных ситуаций (установка вредоносного ПО из ниоткуда и т.д.)...

Чтобы по-настоящему расправиться с вредоносными программами из Интернета и других средств массовой информации, на каждом компьютере (хосте) в вашем компьютерном домене или личной сети должно быть установлено программное обеспечение HIPS .

Программное обеспечение / системы для предотвращения вторжений / защиты хоста (HIPS - wikipedia) позволяют вам полностью контролировать, какое программное обеспечение установлено. Являетесь ли вы администратором, опытным пользователем или обычным пользователем, эти решения могут быть настроены для ваших нужд.

Извините за то, что у нас нет бесплатного решения, но я использую эти решения в течение последних лет, и позвольте мне сказать вам, что это имеет огромное значение, и после установки они действительно имеют значение.

Многие предложения доступны от разных поставщиков, поэтому не торопитесь и убедитесь, что вы выбрали правильный вариант для себя и своей группы.

Answer 4

Вы нашли себя жертвой того, что мы называем побуждением к атаке. В нашей среде EDU это, как правило, является результатом рутинного просмотра веб-сайтов на авторитетных сайтах, где реклама использует дыру в плагине браузера (обычно для нас это Flash или Java). Дырки в программном обеспечении позволяют даже при обычном пользовательском доступе к машине "устанавливать" эти поддельные AV-приложения. Я утверждаю "установить", потому что они на самом деле основаны на пользователях, запускаются из пространства профиля пользователя - в этом случае запуск от имени ограниченного пользователя не остановит это.

Как уже упоминалось выше, стандартные антивирусные приложения не смогут предотвратить этот тип атаки. На нашем предприятии мы реализовали AppLocker в Windows 7 для решения этой проблемы.

Для знающего пользователя, который управляет своей собственной средой Windows, я бы порекомендовал вам иметь несколько учетных записей на вашем ПК. Учетная запись администратора (которую можно использовать через UAC) для задачи администратора и стандартная учетная запись пользователя, которую вы можете рассматривать как исключение. Храните все данные вне определенной учетной записи, чтобы облегчить это.