инфицированный контейнер что это
Что такое вирус «инфицированный контейнер»?
«Инфицированный контейнер» находит Доктор Веб (Dr.Web CureIt!). Почему у вируса нет имени?
Это один вирус или группа? Чем опасен?
Этот вирус – разновидность троянца «без тела».
Он не располагается в теле компьютера в виде файла. Свою нелегальную работу вирус ведёт в оперативной памяти. «Любит записываться» в нескольких контейнерах, часто – в системном реестре Windows в виде нескольких записей с нечитаемыми символами (потому антивирус называет найденную часть его не именем, а «инфицированным контейнером»). В одном месте может быть шифрованное тело, в другом – скрипт для чтения и загрузки в оперативку.
Таким образом, занесённый вирус обнаруживается Доктором Вебом в нескольких (приблизительно в трёх-пяти) «контейнерах».
Другие антивирусы, возможно, способны дать название этому троянцу, а Dr. Web нет. Мой Advanced System Care Free его не видит совсем.
Доктор веб нашел угрозу (вирус или то что он считает вирусом) в архиве.
Что угроза помещена в архив он и имеет ввиду упоминая «контейнер». Что именно он там нашел можно узнать разархивировав контейнер (тогда уже он ругнется на конкретный файл и придумает ему тип угрозы). При нажатии удалить угрозу в таком случае удаляется весь архив.
Уничтожает данные шифруя их.Нули делает сплошные на жестком диске. Предлагает получить ключ к доступу за деньги но по факту там робот присылает абсолютный галяк. И ты еще рискуешь засветить свои платежные данные, потом и оттуда взломав могут списывать.
Если б было точно известно, то создателя задержали, а так, маскировка под китай вполне возможна.
Это не программный вирус. Это пост, за репост которого пользователи идут на фейковый сайт Аэрофлота за выигранными авиабилетыами. И оставляют личные данные, включая номера кредиток, пинкоды и ключи безопасности. И дополнительно оставляют личные данные на Фэйсбуке.
Wanna Cry эксплуатирует давно известную уязвимость ОС семейства Windows, для которой Microsoft достаточно давно выпустил патч. Компьютеры с этим патчем для данного вируса неуязвимы.
Программными средствами можно перепрограммировать привод оптических дисков, почти все устройства с подключением через USB, биос на материнской плате. Все вышеперечисленное, кроме материнской платы, можно сломать перепрограммирующим вирусом. С помощью манипуляций с биосом и настройкам жестких дисков можно вывести вывести из строя все остальные части компьютера, но лишь временно.
Второй способ- это подача высоких нагрузок на процессоры, жесткий диск и твердотельные накопители. Если вовремя не выявить проблему, вирус может довести прибор до физического устаревания. Легче всего испортить SSD. Память, процессор и видеокарту состарить сложнее, на это нужно побольше времени.
Прошу помощи с выявлением вируса
Здравствуйте, сперва были проблемы с открытием сайтов, писал, что не может установить IP, в файле HOSTS оказалось много редиректов на 127.0.01, удалил их, но нестабильная работа в браузере осталась, начали виснуть онлайн-доски, критично для работы.
Также перестал быть доступен интерфейс wi-fi роутера по адресу http://m.home/, при переходе ошибка DNS_PROBE_FINISHED_NXDOMAIN, работает через http://192.168.0.1/
Перед возникновением проблемы обновлял программы от Iobit: SystemCare и Driver Booster, затем обновил драйвера на видеокарту NVIDIA и Realtek. Был антивирус 360 total security.
Далее попытался установить другой антивирус, но при установке dr web дальше создания точки восстановления пройти не удавалось, был 16 код ошибки, другие антивирусы тоже не ставились, нашел в реестре и удали всё по пути: Компьютер\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun. Там были прописаны названия ексешников антивирусов, получилось установить dr web. Более ручных изменений не вносил.
Антивирус выявил проблемы:
инфицированный контейнер rdpwrap, ругался на rdpwrap.dll, файлы install.bat, reg1.reg (похоже на https://vms.drweb.ru/virus/?i=18520696&lng=ru), файл realtek, файлы от iobit, все вылечил, удалил эти программы.
Сделал тесты по инструкции, но и с ними были проблемы (error.JPG)
HiJackThis.log
dwsysinfo: https://yadi.sk/d/p0xTMLOiymVAGA
Часть файлов и программ удалил или переместил до всех тестов, есть 2 файла результатов CureIT (не знаю, нужен ли cureit_before_moveFiles.log):
cureit.log: https://yadi.sk/d/0VG9RMOfZ8jb3w
cureit_before_moveFiles.log: https://yadi.sk/d/On_iTbIGTADvsQ
сделал ещё ipconfig (ipc.log), в конце sfc /scannow (CBS.log).
Что следует сделать дальше? Может быть установить и запустить Farbar Recovery Scan Tool? Желательно без переустановки винды, так как есть активированная цифровая подпись.
Прикрепленные файлы:
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Для этого проделайте следующее:
Комментарии 18
Надо подождать Николая
обычный RAR. Zip или к примеру SFX архив, внутри которого находится заражённый файл.
особенно часто вирусы распостраняются через SFX, тулбары кстати тоже 
Доаольно частое явление.Хорошо если при запуске можно будет сделать выбор для установки,но вероятно,что всё произойдёт втихую.
а мы на них кого нибудь натравим 
Так откуда зараза-то взялась? У меня Format Factory ещё вообще не установлен! На компе только файл exe с прошлой (а может, и с позапрошлой) установки, чистый должен быть. Значит, Web раньше этот установочный файл считал нормальным, а сейчас что могло случиться?
а где брали этот файл?
если здесь то должно быть всё нормально
Да я разве помню? Это очень давно было!
ну так бесплатные программы нужно брать с офсайтов, а не из сомнительных источников,
тогда всё будет без проблем и то в некоторых случаях нужно быть внимательным при установке,
например можно какой нибудь тулбар установить или домашнюю страницу поменять ненароком))
потому что те кто создаёт бесплатный софт тоже кушать хотят
и заключают контракты с разными разработчиками о продвижении их продукции,
не бесплатно конечно же
Николай, так я всегда и беру первоначально с официальных сайтов! Поначалу много раз ошибалась, чёрт знает что параллельно прихватывала, пока опыта не набралась. Но этот-то файл проверенный.
Ну и ладно, пусть это остаётся очередной загадкой!
ну возможно Dr.Web слишком усердствует, всё подряд за вирусы принимает))
Наверное есть программа недопускающая при установке всякую шелуху.
Такая есть, но сам еще не пользовался, Unchecky. Если Николай посоветует, поставлю себе
Установил Soft Organizer, он предупреждает об установке или обновлении программ.
Пользуюсь AnVirTaskManager предупреждает о попытке разместиться в автозагрузке какого-либо процесса и блокирует его до вашего решения.
Хорошая программа. Давно пользуюсь и часто выручает.
У антивирусов бывают ложные срабатывания. Бывает не реагируют на файл, а проходит неделя (базы обновляются) и уже этот же файл считает подозрительным. Для спокойствия можно на вирустотале
Совершенно верно.Подобной параноей преимущественно заражены антивирусы отечественного производства ввиду скудной базы данных.Экономят на специалистах.
Глубокое заражение: 5 угроз, проникающих в железо
Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами. Но это уже давно не так
Мы привыкли делить IT-безопасность на две неравные половинки из железа и софта. Железо обычно считается относительно чистым и «безгрешным» — в противоположность софту, напичканному багами и кишащему зловредами.
Долгое время такая система ценностей работала неплохо, но за последние годы начала давать все больше сбоев. Теперь уязвимости нередко находят уже и в микропрограммах, управляющих отдельными «железками». Что самое неприятное, традиционные средства обнаружения угроз в этом случае зачастую бессильны.
Для иллюстрации этой тревожной тенденции рассмотрим пятерку опасных аппаратных уязвимостей, обнаруженных за последнее время в начинке современных компьютеров.
1 место: оперативная память
Первое место безоговорочно занимает проблема с оперативной памятью DDR DRAM, которую принципиально невозможно решить никаким программным патчем. Уязвимость, получившая название Rowhammer, связана… с прогрессом технологий производства чипов.
По мере того как микросхемы становятся компактнее, их соседние элементы все больше влияют друг на друга. В современных чипах памяти это может приводить к редкому эффекту самопроизвольного переключения ячейки памяти под действием электрического импульса от соседей.
До недавних пор предполагалось, что этот феномен практически невозможно использовать в реальной атаке для получения контроля над компьютером. Однако команде исследователей удалось таким образом получить привилегированные права на 15 из 29 тестовых ноутбуков.
Rowhammer hardware exploit poses threat to DRAM memory in many laptops, PCs: https://t.co/z3Sr8L8SVy
Работает эта атака следующим образом. Для обеспечения безопасности изменения в каждый блок оперативной памяти могут вносить только определенная программа или процесс операционной системы. Условно говоря, некий важный процесс работает внутри хорошо защищенного дома, а неблагонадежная программа — на улице, за входной дверью.
Однако выяснилось, что если за входной дверью громко топать (быстро и часто менять содержимое ячеек памяти), то дверной замок с высокой вероятностью ломается. Такие уж замки ненадежные стали нынче делать.
Память более нового стандарта DDR4 и модули с контролем четности (которые стоят существенно дороже) к этой атаке невосприимчивы. И это хорошая новость.
Плохая же состоит в том, что очень многие современные компьютеры взломать таким образом можно. И сделать с этим ничего нельзя, единственное решение — поголовная замена используемых модулей памяти.
2 место: жесткие диски
Раз уж мы начали с оперативной памяти, было бы несправедливо обойти стороной и жесткие диски. Благодаря недавнему расследованию деятельности хакерской группы Equation, проведенному «Лабораторией Касперского», мы теперь знаем, что прошивка микроконтроллера винчестеров тоже может содержать в себе много интересного.
Исследователи «Лаборатории Касперского» нашли вирус, который невозможно удалить с жесткого диска: http://t.co/CZV9J9FO46
Например, зловредные модули, перехватывающие управление диском и работающие фактически в «режиме Бога». Вылечить жесткий диск после такого внедрения невозможно: «испорченная» взломщиками микропрограмма винчестера просто скрывает области диска, в которые записывается основная часть вредоносного ПО, и блокирует попытки заменить саму микропрограмму. И форматирование не поможет: все, что можно сделать, — это уничтожить зараженный диск физически.
The only solution to the Equation Group is destroying your hard drive http://t.co/pZhFXQzXMY #TheSAS2015 #Kaspersky
Хорошая новость состоит в том, что такая атака — крайне трудоемкое и дорогостоящее мероприятие. Поэтому подавляющему большинству пользователей данная опасность не грозит — только особым счастливчикам, чьи данные настолько ценны, что их кража способна окупить расходы.
3 место: интерфейс USB
На третьем месте в нашем хит-параде уже не очень свежая, но по-прежнему актуальная уязвимость интерфейса USB. Совсем недавно новую жизнь в эту тему вдохнула современная компьютерная мода. Дело в том, что последние модели ноутбуков Apple MacBook и Google Pixel оснащены универсальным портом USB, через который в числе прочего подключается и зарядное устройство.
На первый взгляд ничего плохого здесь нет, всего лишь красивая унификация интерфейсов. Проблема в том, что подключение любого устройства через шину USB — дело небезопасное. Мы уже писали о критической уязвимости BadUSB, обнаруженной летом прошлого года.
Взлом медоборудования, фатальная уязвимость USB и другие ужасы, о которых мы узнали, побывав на Black Hat: http://t.co/DGOtlIQK3g
Она позволяет внедрить вредоносный код непосредственно в микроконтроллер USB-устройства (флешки, клавиатуры и любого другого устройства) — там, где его не обнаружит, увы, ни одна антивирусная программа, даже самая хорошая. Тем, кому есть что терять, эксперты по безопасности советуют на всякий пожарный просто не пользоваться USB-портами. Вот только для новых Макбуков такая рекомендация нереализуема в принципе — зарядку же нужно подключать!
Скептики могут возразить, что в стандартном адаптере питания вредоносный код не запишешь, ибо некуда. Но это беда поправимая: при желании зарядку можно «творчески доработать» (аналогичная задача по инфицированию iPhone через зарядное устройство была решена уже больше двух лет назад).
Дальше остается только стратегически грамотно поместить такое «троянское питание» для публичного использования в каком-нибудь публичном месте. Или подменить зарядку жертвы, если речь идет об адресной атаке.
4 место: интерфейс Thunderbolt
Четвертое место в чарте занимает тоже «портовая» уязвимость, только связанная с другим интерфейсом — Thunderbolt. Оказывается, подключение через него также весьма небезопасно. Соответствующий сценарий атаки для устройств под управлением Mac OS X продемонстрировал в конце прошлого года исследователь в области безопасности Тремелл Хадсон.
Созданный им буткит Thunderstrike (кстати, первый буткит для яблочной операционной системы) использует функцию загрузки дополнительных модулей прошивки с внешних устройств. Thunderstrike подменяет ключи цифровых подписей в BIOS, которые используются для проверки обновлений, после чего с компьютером можно творить все что заблагорассудится.
Все, что вы хотели знать о Thunderstrike — первом (и очень серьезном!) бутките для Mac: http://t.co/XhV85kJOKO
После публикации исследования Хадсона Apple заблокировала возможность такой атаки в обновлении операционной системы (OS X 10.10.2). Правда, по словам Хадсона, этот патч — всего лишь временное решение. Принципиальная основа уязвимости по-прежнему остается нетронутой, так что история явно ждет продолжения.
5 место: BIOS
Когда-то каждый разработчик BIOS для материнских плат ПК использовал собственные рецепты, которые держались в секрете. Разобраться в устройстве таких микропрограмм было очень непросто, а значит, мало какой хакер был способен обнаружить в них баги.
С распространением UEFI изрядная часть кода для разных платформ стала общей, и это здорово облегчило жизнь не только производителям компьютеров и разработчикам BIOS, но и создателям зловредов.
Например, одна из недавних уязвимостей UEFI-систем позволяет перезаписать содержимое BIOS, несмотря на все ухищрения защиты, включая новомодную функцию Secure Boot в Windows 8. Ошибка допущена в реализации стандартной функции, поэтому работает во многих версиях BIOS разных производителей.
Новый BIOS-имплантат и инструмент обнаружения уязвимостей дебютировали на CanSecWest: http://t.co/ftkIzZdLxw
Большинство описанных выше угроз пока остаются некой экзотикой, с которой рядовые пользователи едва ли столкнутся. Однако завтра ситуация может в корне измениться — возможно, скоро мы с умилением будем вспоминать старые добрые времена, когда самым надежным способом лечения зараженного компьютера считалось форматирование жесткого диска.
Постановление Главного государственного санитарного врача Российской Федерации от 09.11.2021 № 29 «О внесении изменений в постановление Главного государственного санитарного врача Российской Федерации от 22.05.2020 № 15 «Об утверждении санитарно-эпидемиологических правил СП 3.1.3597-20 «Профилактика новой коронавирусной инфекции (СОVID-19)»
Документ является поправкой к
Зарегистрирован 12.11.2021 № 65801
Опубликовано на официальном интернет-портале правовой информации 16.11.2021 г.
Вступает в силу с 17 ноября 2021 г.
В соответствии со статьей 39 Федерального закона от 30.03.1999 № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» (Собрание законодательства Российской Федерации, 1999, № 14, ст. 1650; 2019, № 30, ст. 4134) и постановлением Правительства Российской Федерации от 24.07.2000 № 554 «Об утверждении Положения о государственной санитарно-эпидемиологической службе Российской Федерации и Положения о государственном санитарно-эпидемиологическом нормировании» (Собрание законодательства Российской Федерации, 2000, № 31, ст. 3295; 2005, № 39, ст. 3953) постановляю:
1. Внести изменения в постановление Главного государственного санитарного врача Российской Федерации от 22.05.2020 № 15 «Об утверждении санитарно-эпидемиологических правил СП 3.1.3597-20 «Профилактика новой коронавирусной инфекции (COVID-19)» (зарегистрировано Минюстом России 26.05.2020, регистрационный № 58465) с изменениями, внесенными постановлениями Главного государственного санитарного врача Российской Федерации от 13.11.2020 № 35 (зарегистрировано Минюстом России 16.11.2020, регистрационный № 60909) и от 11.10.2021 № 25 (зарегистрировано Минюстом России 14.10.2021, регистрационный № 65406), согласно приложению.
2. Настоящее Постановление вступает в силу со дня, следующего за днем его официального опубликования.
А.Ю.Попова
Приложение к постановлению Главного государственного санитарного врача Российской Федерации от 9 ноября 2021 г. № 29
Изменения, вносимые в постановление Главного государственного санитарного врача Российской Федерации от 22.05.2020 № 15 «Об утверждении санитарно-эпидемиологических правил СП 3.1.3597-20 «Профилактика новой коронавирусной инфекции (COVID-19)»
2. В санитарно-эпидемиологических правилах СП 3.1.3597-20 «Профилактика новой коронавирусной инфекции (COVID-19)», утвержденных Постановлением:
а) абзац четвертый изложить в следующей редакции:
«- лиц с диагнозом «внебольничная пневмония», «острая респираторная вирусная инфекция» и «грипп»;»;
б) дополнить абзацем седьмым следующего содержания:
«- лиц, поступающих в стационар медицинской организации для оказания им медицинской помощи в экстренной или неотложной форме, в организации социального обслуживания для детей и взрослых.».
2.2. Пункт 3.2 дополнить абзацем следующего содержания:
«Время доставки материала для исследования на COVID-19 в лабораторию не должно превышать 24 часов с момента его отбора.».
2.3. В абзаце втором пункта 3.4 слово «Роспотребнадзора» заменить словами «федеральных органов исполнительной власти, уполномоченных на осуществление федерального государственного санитарно-эпидемиологического контроля (надзора),».
2.4. Абзац первый пункта 3.5 изложить в следующей редакции:
«3.5. Медицинская организация, установившая предварительный или заключительный диагноз COVID-19, направляет в установленном порядке» в территориальные органы федеральных органов исполнительной власти, уполномоченных на осуществление федерального государственного санитарно-эпидемиологического контроля (надзора), по месту выявления заболевания, экстренное извещение в отношении пациента, у которого выявлено заболевание COVID-19.».
2.5. Дополнить сноской 1 следующего содержания:
» 1 пункты 24-27 санитарных правил и норм СанПиН 3.3686-21 «Санитарно-эпидемиологические требования по профилактике инфекционных болезней», утвержденных постановлением Главного государственного санитарного врача Российской Федерации от 28.01.2021 № 4 (зарегистрировано Минюстом России 15.02.2021, регистрационный № 62500), действующим до 1 сентября 2027 года.».
2.6. Пункт 3.7 дополнить абзацем следующего содержания:
«При проведении в медицинской организации лечебно-диагностических процедур лицу с заболеванием COVID-19, находящемуся на амбулаторном лечении, такой организацией должен обеспечиваться режим, исключающий контакт с иными лицами, за исключением лиц, являющихся работниками медицинской организации.».
2.7. Пункт 3.8 изложить в следующей редакции:
«3.8. Лицо, контактировавшее с больным COVID-19, должно находиться в изоляции (в обсерваторе, по месту жительства) не менее 14 календарных дней со дня последнего контакта с больным COVID-19 или до выздоровления (в случае развития заболевания).
Изоляции не подлежат лица, прошедшие полный курс вакцинации против COVID-19 в течение последних шести месяцев, и лица, переболевшие COVID-19 в течение последних шести месяцев, при отсутствии у них симптомов заболевания.
Выявление лиц, контактировавших с больным COVID-19, осуществляется по месту их фактического проживания территориальными органами федеральных органов исполнительной власти, уполномоченных на осуществление федерального государственного санитарно-эпидемиологического контроля (надзора), а также медицинской организацией в очаге по месту жительства больного COVID-19 с последующей передачей информации в указанный территориальный орган.
Отбор проб биологического материала у лица, контактировавшего с больным COVID-19, проводится при установлении факта контакта с больным вне зависимости от наличия симптомов заболевания и иммунного статуса. Лабораторное исследование биологического материала проводится любым из методов, определяющим генетический материал или антиген возбудителя COVID-19 с использованием диагностических препаратов и тест-систем, зарегистрированных в соответствии с законодательством Российской Федерации.
2.8. В пункте 3.12 слово «Роспотребнадзора» заменить словами «федеральных органов исполнительной власти, уполномоченных на осуществление федерального государственного санитарно-эпидемиологического контроля (надзора)».
2.9. В пункте 3.15 слово «Роспотребнадзора» заменить словами «федеральных органов исполнительной власти, уполномоченных на осуществление федерального государственного санитарно-эпидемиологического контроля (надзора),».
2) дополнить сноской 2 следующего содержания:
» 2 Статья 10 Федерального закона от 17.09.1998 № 157-ФЗ «Об иммунопрофилактике инфекционных болезней» (Собрание законодательства, 1998, № 38, ст. 4736; 2013, № 48, ст. 6165), подпункт 6 пункта 1 статьи 51 Федерального закона от 30.03.1999 № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» (Собрание законодательства Российской Федерации, 1999, № 14, ст. 1650; 2021, № 27, ст. 5185), приложение № 2 к приказу Минздрава России от 21.03.2014 № 125н «Об утверждении национального календаря профилактических прививок и календаря профилактических прививок по эпидемическим показаниям» (зарегистрирован Минюстом России 25.04.2014, регистрационный № 32115) с изменениями, внесенными приказами Минздрава России от 16.06.2016 № 370н (зарегистрирован Минюстом России 04.07.2016, регистрационный № 42728), от 13.04.2017 № 175н (зарегистрирован Минюстом России 17.05.2017, регистрационный № 46745), от 19.02.2019 № 69н (зарегистрирован Минюстом России 19.03.2019, регистрационный № 54089), от 09.12.2020 № 1307н (зарегистрирован Минюстом России 16.12.2020, регистрационный № 61502), от 03.02.2021 № 47н (зарегистрирован Минюстом России 09.02.2021, регистрационный № 62438).»;
3) в подпункте 4.2.1 слово «Роспотребнадзора» заменить словами «федеральных органов исполнительной власти, уполномоченных на осуществление федерального государственного санитарно-эпидемиологического контроля (надзора),».
2.12. Пункт 6.2 дополнить абзацами следующего содержания:
«Хозяйствующими субъектами, осуществляющими перевозку пассажиров общественным транспортом городского, пригородного и местного сообщения (включая такси), должно обеспечиваться не реже 2 раз в сутки проведение с применением препаратов вирулицидного действия:
обработки поверхностей пассажирского салона, с которыми осуществляется непосредственный контакт руками человека;
влажной уборки пола пассажирского салона.
Хозяйствующими субъектами, осуществляющими эксплуатацию помещений железнодорожных вокзалов, автовокзалов, аэровокзалов, в аэропортах, морских, речных портах, должно обеспечиваться не реже 2 раз в сутки проведение с применением препаратов вирулицидного действия:
обработки поверхностей, указанных помещений, с которыми осуществляется непосредственный контакт руками человека;