Vvmebel.com

Новости с мира ПК
51 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Unsafe что это вирус

4gophers

Безопасное использование unsafe

С помощью пакета unsafe можно делать множество интересных хаков без оглядки на систему типов Go. Он дает доступ к низкоуровневому АПИ почти как в C. Но использование unsafe — это легкий способ выстрелить себе в ногу, поэтому нужно соблюдать определенные правила. При написании такого кода очень легко совершить ошибку.

В этой статье рассмотрим инструменты, с помощью которых можно проверять валидность использования unsafe.Pointer в ваших Go программах. Если у вас нет опыта использования пакета unsafe , то я рекомендую почитать мою прошлую статью.

При использовании unsafe нужно быть вдвойне внимательным и осторожным. К счастью, есть инструменты, которые помогут обнаружить проблемы до появления критических багов или уязвимостей.

Проверка на этапе компиляции с помощью go vet

Уже давно существует команда go vet с помощью которой можно проверять недопустимые преобразования между типами unsafe.Pointer и uintptr .

Давайте сразу посмотрим пример. Предположим, мы хотим использовать арифметику указателей, чтобы пробежаться по массиву и вывести все элементы:

На первый взгляд, все выглядит правильным и даже работает как надо. Если запустить программу, то она отработает как надо и выведет на экран содержимое массива.

Но в этой программе есть скрытый нюанс. Давайте посмотрим, что скажет go vet .

Чтобы разобраться с этой ошибкой, придется обратиться к документации по типу unsafe.Pointer

Преобразование Pointer в uintptr позволяет получить адрес в памяти для указанного значения в виде простого целого числа. Как правило, это используется для вывода этого адреса.

Преобразование uintptr обратно в Pointer в общем случае недопустимо.

uintptr это простое число, не ссылка. Конвертирование Pointer в uintptr создает простое число без какой либо семантики указателей. Даже если в uintptr сохранен адрес на какой либо объект, сборщик мусора не будет обновлять значение внутри uintptr , если объект будет перемещен или память будет повторно использована.

Проблема нашей программы в этом месте:

Мы сохраняем uintptr значение в p и не используем его сразу. А это значит, что в момент срабатывания сборщика мусора, адрес сохраненный в p станет невалидным, указывающим непонятно куда.

Давайте представим что такой сценарий уже произошел и теперь p больше не указывает на uint32 . Вполне вероятно, что когда мы преобразуем адрес из переменной p в указатель, он будет указывать на участок памяти в котором хранятся пользовательские данные или приватный ключ TLS. Это потенциальная уязвимость, злоумышленник сможет получить доступ к конфедициальным данным через stdput или тело HTTP ответа.

Получается, как только мы сконвертировали unsafe.Pointer в uintptr , то уже нельзя конвертировать обратно в unsafe.Pointer , за исключением одного особого случая:

Если p указывает на выделенный объект, его можно изменить с помощью преобразования в uintptr , добавления смещения и обратного преобразования в Pointer .

Казалось бы, мы так и делали. Но тут вся хитрость в том, что все преобразования и арифметику указателей нужно делать за один раз:

Эта программа делает тоже самое, что и в первом примере. Но теперь go vet не ругается:

Я не рекомендую использовать арифметику указателей для итераций по массив. Тем не менее, это замечательно, что в Go есть возможность работать на более низком уровне.

Проверка в рантайме с помощью флага компиятора checkptr

В компилятор Go недавно добавили поддержку нового флага для дебага, который инструментирует unsafe.Pointer для поиска невалидных вариантов использования во время исполнения. В Go 1.13 эта фича еще не зарелижена, но она уже есть в мастере(gotip в случае с репозиторием Go)

Давайте рассмотрим еще один пример. Предположим, мы передаем структуру из Go в ядро Linux чз API, которое работает с C union типом. Один из вариантов — использовать Go структуру, в которой содержится необработанный массив байтов(имитирующий сишный union ). А потом создавать типизированные варианты аргументов.

Когда мы запускаем эту программу на стабильной версии Go (в нашем случае Go 1.13.4), то видим, что в первых 8 байтах в массиве находятся наши uint64 данные(с обратным порядком байтов на моей машине).

Но в этой программе тоже есть ошибка. Если запустить ее на версии Go из мастера с указанием флага checkptr , то увидим следующее:

Это совсем новая проверка и она не дает полной картины что пошло не так. Тем не менее, указание на строку 17 и сообщение “unsafe pointer conversion” дает подсказку где начинать искать.

Преобразовывая маленькую структуру в большую, мы считываем произвольный кусок памяти за пределами маленькой структуры. Это еще один потенциальный способ создать уязвимость в программе.

Чтобы безопасно выполнить эту операцию, перед копированием данных нужно инициализировать структуру union . Так мы гарантируем, что произвольная память не будет доступна:

Если сейчас запустим программу с такими же флагами, то никакой ошибки не будет:

Можем убрать обрезание слайса в fmt.Printf и убедимся, что весь массив заполнен 0.

Эту ошибку очень легко допустить. Я сам недавно исправлял свою же ошибку в тестах в пакете x/sys/unix . Я написал довольно много кода с использованием unsafe , но даже опытные программисты могут легко допустить ошибку. Поэтому все эти инструменты для валидации так важны.

Заключение

Пакет unsafe это очень мощный инструмент с острым как бритва краем, которым очень легко отрезать себе пальцы. При взаимодействии с ядром Linux очень часто приходится пользоваться unsafe . Очень важно использовать дополнительные инструменты, такие как go vet и флаг checkptr для проверки вашего кода на безопасность.

Если вам приходится часто использовать unsafe , то рекомендую зайти в канал #darkarts в Gophers Slack. В этом канале много ветеранов, которые помогли мне научится эффективно использовать unsafe в моих приложениях.

Если у вас остались вопросы, то можете спокойно найти меня в Gophers Slack, GitHub и Twitter.

Hacktool:Win32/AutoKMS: что это и как избавиться от вредоносной угрозы?

С недавних пор некоторые пользователи компьютерных систем начали замечать присутствие в системе неизвестного процесса Hacktool:Win32/AutoKMS. Что это такое на самом деле, многие даже не догадываются, считая программу неким активатором. Увы, никакого отношения к утилите KMS этот процесс не имеет.

Hacktool:Win32/AutoKMS: что это?

Оговоримся сразу и бесповоротно: не стоит путать эту угрозу с известным приложением KMSAuto Net (иногда его называют Auto KMS Activator), которое было разработано компанией MSFree Inc. для быстрой регистрации программных продуктов Microsoft. Конечно, со своей стороны и эта утилита является незаконной, поскольку способна генерировать ключи для регистрации Windows или MS Office (это обычное компьютерное пиратство). Но она не идет ни в какое сравнение с Hacktool:Win32/AutoKMS. Что это такое, сейчас и посмотрим.

На самом деле это довольно опасный вирус-троян, который может доставить пользователю много хлопот. Но определить его присутствие в системе достаточно просто.

Hacktool:Win32/AutoKMS (активатор): природа воздействия вируса на систему и пользовательские данные

Этот троян действует по типу вирусов, которые принято называть угонщиками браузеров. Как правило, первым симптомом заражения является изменение стартовой страницы во всех установленных в системе веб-браузерах, постоянное перенаправление на небезопасные или потенциально опасные сайты, а также невозможность использования поисковых систем вроде Google или Yahoo!.

Но только этим вред, наносимый системе, не ограничивается. После проникновения в компьютер начинается внедрение не только на системном уровне. Происходит активное считывание пользовательских данных, где предпочтение отдается регистрационным логинам и паролям, которые хранятся в незашифрованном виде. Также могут пострадать и данные владельцев банковских карт и счетов.

Читать еще:  Результатами обособления человека в процессе социализации являются

Такова программа Hacktool:Win32/AutoKMS. Что это: троян, шпион или вор? Как оказывается, и то, и другое, и третье. Кстати, проявление активности может привести пользователя зараженной системы еще и на некий сайт, где говорится о том, что у юзера на компьютере были вирусы, программа разработчика их удалила, а Hacktool:Win32/AutoKMS – активатор вылеченной программы – является единственным средством восстановления регистрации пострадавшего приложения. Абсолютная ложь!

Удаление при помощи классического антивирусного сканера

Но займемся вопросом устранения угрозы. Первое, что приходит на ум, это использование установленного в системе или портативного антивирусного сканера. К сожалению, помогает это не всегда. Например, судя по отзывам пользователей, даже самые продвинутые продукты Dr. Web ничего не находят, а Microsoft Security Essential и вовсе зависает.

В этом случае нужно проверять еще не загруженную систему. И сделать это можно при помощи дисковых программ вроде Kaspersky Rescue Disk, которые запускаются до старта Windows. Их можно записать на обычную флэшку или оптический диск, после чего установить для них приоритет загрузки в настройках BIOS.

Использование узконаправленных утилит

На просторах Интернета нередко можно встретить советы по поводу того, что Hacktool:Win32/AutoKMS удалить можно исключительно при помощи специально разработанных для этого программ.

В большинстве случаев предлагается использование программ вроде YAC Anti-Malware Free и ей подобных. С этим еще можно согласиться. Но, когда предлагается скачать и установить приложение Win32/AutoKMS virus Removal Tool, тут точно задумаешься. Некоторые, конечно, «ведутся» на такие уловки. И в результате получают установку SpyHunter, который, быть может, вирус и удалит (правда, только после полной регистрации), но вот от самой программы впоследствии неискушенному в познаниях пользователю избавиться будет очень сложно (без специальных знаний практически невозможно). Так что лучше заняться удалением угрозы вручную, тем более сделать это достаточно просто.

Удаление угрозы вручную

Первым делом следует использовать раздел программ и компонентов в стандартной «Панели управления», загрузив систему в безопасном режиме. Не ожидайте, что там вирус будет показан под своим изначальным именем. Вместо этого отсортируйте установленные программы по дате.

Как правило, здесь будет показано несколько компонентов, от которых и нужно избавиться. Это:

  • Search Snacks;
  • Search Protect;
  • HighliteApp;
  • Fre_Ven_s Pro 23;
  • FLV Player (remove only);
  • PassShow;
  • Coupon Server;
  • TidyNetwork;
  • V-bates 2.0.0.440;
  • MyPC Backup.

Имейте в виду, что MyPC Backup и FLV Player не имеют ничего общего с официальными утилитами. Как уже понятно, все это нужно немедленно удалить. После этого, записав названия удаляемых компонентов и имя самого вируса, нужно войти в редактор системного реестра (regedit в консоли «Выполнить») и использовать поиск, с последующим удалением всего найденного. Если был установлен вышеупомянутый плеер, а пользователь удаляет из реестра связанные с ним ключи, лучше так и поступить. Сам плеер является бесплатным. Скачать его и установить заново проблемой не является.

Но для лучшего эффекта можно воспользоваться программой iObit Uninstaller, которая имеет в своем арсенале средств модуль мощного сканирования, применение которого избавит пользователя от редактирования реестра и поиска остаточных файлов на винчестере. Только при удалении результатов поиска нужно задействовать дополнительно строку уничтожения файлов.

В браузерах следует удалить некоторые активные надстройки. В случае с Chrome это SupraSavings. Даже в таком, казалось бы, защищенном продукте, как Mozilla Firefox, этот вирус тоже может оставлять свои следы. Тут нужно обратить внимание на расширение UNiDealsa, которое тоже нужно деинсталлировать. В других браузерах удаление расширений выглядит почти аналогично, изменяется только внешний вид разделов.

sun.misc.Unsafe и все, все, все

В недрах JDK есть такой замечательный класс — sun.misc.Unsafe. Название как бы намекает нам — не трогать! Но ведь по рукам не бьют — можно использовать.

На Unsafe за предыдущие годы подсело жуткое количество проектов. Некоторые конференции даже отметились докладами на эту тему. А некоторые программисты пишут блоги о том, какой офигенный прирост производительности можно через Unsafe выжать. Особенно всякие NoSQL решения которые на Java сделаны и кэши. С кешами вообще блеск — обычно коммерческая часть продукта, которая скидывает что нибудь в offheap, завязана именно на Unsafe. А чо — API есть, вроде не ломается — с бубном и такой то матерью заводится. На это даже патент есть у Terracotta Inc. Патент, Карл.

И вдруг нежданчик. Сегодня по твиттеру расплылся блог чувака из DripStat, он же из Chronon, он же Прашант, о том, что Unsafe хотят убрать из JDK 9 и #кошмармывсеумрём (тм).

Ну естественно цунами говна прокатились по твиттеру. Если коротко, народ относительно sun.misc.Unsafe делится на следующие категории:

— Те, кто используют, а другим не разрешают
— Те, кто используют, но дрожат — “а вдруг уберут и тогда #кошмармывсеумрём!»
— Те, кто используют, и не парятся — «работает, чо!»
— Те, кто думают, что не используют и поэтому вообще в ус не дуют (таких большинство, наверное)

Можно ещё разных категорий напридумывать, но для краткости обойдёмся четырьмя.

Так вот, первые — те, кто другим не разрешает этот Unsafe использовать — вроде бы делают всё правильно: приватный API, фигли, жить мешает, удалим. Но типа поскольку уж так много проектов, то вот будет новый нормальный API и ключик, которым этот ваш Unsafe можно будет вернуть. Логично? — Логично!

Для вторых это решение — ад и преисподняя — ведь надо будет всех клиентов сидящих на суперсофте научить этот ключик в опции добавлять. А это, уж поверьте мне, огромный гемор. Если только ваша софтина не запускается через нативный агент (-agentlib) где можно свои аргументы в JVM подставить не моргая глазом. А во-вторых, новый API ведь надо ещё внедрять — лень.

Третьи (себя причислю к этой категории) смотрят на это всё и говорят — нуок, будет новый API — поставим новый костыль. У нас, например, в XRebel есть небольшой кусочек который грешен использованием Unsafe (кстати, как раз для offheap). И даже когда его вносили, мы уже были в курсе предстоящей свистопляски. Сейчас же я думаю, что эта функциональность вообще не нужна и скорее всего даже на новый API переносить не придётся.

Четвёртые товарищи читают твиттер и во основном играют в хомячков: «ай-ай-ай, Unsafe убирают, всё поломается”, или “ну и правильно убирают — давно пора! мы же вам говорили! (тм)»

Но вернёмся в блогу от товарища Прашанта. Надо сказать, что статья показательна тем, что с коммуникацией по данной теме всё довольно хреново. И вот почему. В самом начале статьи упоминается ДОКУМЕНТ, который Java Community во главе с парнями из Hazelcast и jClarity, ну и другие причастные лица, составляют для того, чтобы разложить в данной теме всё по полочкам. Прашант как то эмоционально записал этот документ на счёт Oracle, хотя парни из Oracle этот документ и пальцем не трогают. Вся дискуссия по этим темам идёт у них в своих мэйл-листах и иже с ними. Например, тот же опросник по использованию был сначала закинут именно в мэйл-лист, а потому уже усилиями сообщества распространён.

Так вот проблема номер раз — это, конечно же, истерический тон самой статьи и перепутанные факты. Проблема номер два — парни, которые составляют вышеупомянутый документ не сообразили сослаться на мэйл-листы, чтобы это всё не звучало как “Unsafe removal”, а звучало бы как “Unsafe replacement”. А те парни, которые Unsafe выпиливают, думают, что выпиливают приватное API.

Читать еще:  Удаление антивируса макафи

Технически, да — Unsafe приватное API. Но de facto — оно уже давно public. Я помню как об этом говорили на JVM Language Summit — “let’s face it, sun.misc.Unsafe is a public API”. Цитату никому не буду приписывать ибо не помню кто сказал. Да и закладываться на такие фразы нельзя. Но тут надо таки учесть, что речь не идёт об одном-двух, или даже о десятке проектов.

Речь идёт об огромном количестве проектов. И довольно популярных. И мне кажется, тут уже аргумент “это же приватный API” неочень хорошо работает. Есть такое слово как community — и чем оно больше, тем больше оно решает. Можно на community забить и дать корявый workaround — мол, «ключик поставите и всё ОК будет». А можно сделать как в случае с public API — сначала дать _хорошую_ альтернативу, а в следующем релизе вырезать опухоль. Но ведь нет — “это же приватный API”.

И вот вроде бы прав shipilev , стыдя тех, кто кричит, что Unsafe нужен кровь из носа как — «вот вам надо а палец о палец не ударите».

@m0nstermind @antonarhipov @23derevo Хотите стабильности? Вкладывайтесь в создание публичного API и планируйте переезд на него.

— Aleksey Shipilëv (@shipilev) July 14, 2015

@AYeschenko @m0nstermind Если ваш бизнес зависит от приватных API и вы думали, что они такими и будут всегда, то вы ССЗБ.

— Aleksey Shipilëv (@shipilev) July 14, 2015

@AYeschenko @m0nstermind В текущей ситуации кажется логичным роняя всё на пол бежать и помогать пилить публичные API-и, чтобы были гарантии.

— Aleksey Shipilëv (@shipilev) July 14, 2015

Ведь парни из Oracle с большой долей вероятности не учтут каких то тонкостей для нового API — тупо потому что нет примера применения. А пример должен бы поступить из сообщества.

О том, что Unsafe хотят убрать я слышал уже года четыре назад (2011). О VarHandles разговор был уже на прошлом JVM Language Summit. Вот даже видео есть: https://www.youtube.com/watch?v=DpA6xLGWSyA&feature=youtu.be&t=36m34s

Наверняка до меня вся эта инфа добиралась с довольно большим запозданием, а значит известно о таких штуках было за-а-а-адолго до сегодняшних набросов. Так в чём же проблема? А проблема, как мне видится — в коммуникации.

И вот мысль — а чем занимался OpenJDK product manager? Вот мне кажется — его часть работы по разбору требований для нового API и должна была бы состоять в том чтобы найти эти все популярные проекты, которые используют Unsafe и завести диалог. Может это и было сделано — мне неизвестно. Но вот сейчас этим занимается сообщество и как мне кажется — уже немного поздно пить Боржоми.

IMO, тут виноваты все — и сообщество, которое создавала проекты на основе Unsafe при этом не вкладываясь в развитие публичного API, и разработчики платформы, которые думают, что Unsafe это всё ещё приватный API, и те, кто вроде бы должен заниматься коммуникацией с сообществом со стороны производителя.

Моё мнение — всё что делается, всё к лучшему. Все будут счастливы и никто не умрёт.

P.S. Ну и в догонку ещё твиты по теме:

sun.misc.Unsafe It’s Being Removed. And That’s a Good Thing. #java is awesome: http://t.co/lP9jcgfDSl

— Bogdan Mustiata (@bmst) July 14, 2015

«I feel so sun.misc.Unsafe today», thanks that the day is almost over already (11pm) 😛

— Noctarius ツ (@noctarius2k) July 14, 2015

«OMG, we’ve been stupid and used a private API for years, now it’s being removed… what do we do? BLAME ORACLE!» http://t.co/P9D9kW6CrF

— Michael Klishin (@michaelklishin) July 14, 2015

The main problem with Oracle, wrt Java, is the control-freak nature. Second is irrational pet peeves, including hatred of sun.misc.Unsafe

— Cowtown Cutie (@cowtowncoder) July 13, 2015

despite recent sensationalism and hand-wringing, news about sun.misc.Unsafe surprised no one, right? #Java #FallbackPlan #PackageName

People showing the google doc as solution to the Java Unsafe issue: That doc *is* what the article is criticizing http://t.co/xGPUdA2EDD

Хотят убрать sun.misc.Unsafe. Паника-паника http://t.co/IjbR6BMoJw

Removal of sun.misc.Unsafe in Java 9 — A disaster in the making http://t.co/vtH2oSMvbt +100500. You guys at @java not realize it yet.

— Oleg Anastasyev (@m0nstermind) July 14, 2015

http://t.co/lOo6dwIeYO folks, fix your software not relying on unsafe and stop the whining. The fact that you rely on it is the problem!

— Simon Willnauer (@s1m0nw) July 14, 2015

#oracle will remove #unsafe from #java9 and destroy libraries like #Akka #kafka #neo4j and so on. http://t.co/R4OkvbGZq8

— Martin Seeler (@Chasmo90) July 14, 2015

This is a terrible idea. Removal of sun.misc.Unsafe in Java 9. it’s useful w/ no alternative and widely used. http://t.co/lBQS3xg4m7

— Andrew McCall (@andrewmccall) July 14, 2015

OK. This bit sounds … scary: http://t.co/jSURNvGhTa — we are using 7 of the listed systems there.

— Hemanth Yamijala (@yhemanth) July 14, 2015

Вопрос

I used www.virustotal.com site to scan this firefox file. https://ftp.mozilla.org/pub/firefox/releases/57.0.2/win32/en-GB/Firefox%20Setup%2057.0.2.exe The antivirus Cylance it says «unsafe» . Is tha false? Because Firefox is known for privacy and security.

  • Все сообщения
  • Полезные решения
  • владелец
  • владелец
  • отправить
  • полезно
  • владелец
  • полезно
  • владелец
  • решение
  • владелец
  • отправить
  • andnik 2 года назад
  • andnik 2 года назад
  • FredMcD 2 года назад

Some antivirus clients do result in false positives with Firefox on Windows, which is more likely occur after a recent new major Firefox version or update but not later on with same version.

While this was a full Firefox setup for Windows, some antivirus clients have done false positives on the small online stub installers served on www.mozilla.org (for Windows users) every so often even though it had been in use since Firefox 18.0.

1
andnik 2 года назад

Isn’t the same as the link I wrote above?

No it is not. First is a FTP site, most people now do not know anything about them or why.

This the Full Version Installer link same as above :

If in need of the Extended Release Version 52.5.2 ESR :

Please let us know if this solved your issue or if need further assistance.

1
andnik 2 года назад

No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above :

  • https://www.mozilla.org/firefox/all/

If in need of the Extended Release Version 52.5.2 ESR :

  • https://www.mozilla.org/en-US/firefox/organizations/all/

Please let us know if this solved your issue or if need further assistance.

Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?

Pkshadow είπε No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above :

  • https://www.mozilla.org/firefox/all/

If in need of the Extended Release Version 52.5.2 ESR :

  • https://www.mozilla.org/en-US/firefox/organizations/all/

Please let us know if this solved your issue or if need further assistance.

Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?

Actually there is no FTP anymore as the ftp:// protocol was retired by Mozilla since Aug 5, 2015. So downloading from ftp://ftp.mozilla.org with a browser or ftp client no longer works.

It leads to same build yes. Mozilla uses a CDN to deliver the downloads. They used to use a mirrors system which meant you could be getting directed to a different mirror each time you downloaded say a Firefox release.

1
andnik 2 года назад

andnik saidPkshadow είπε No it is not. First is a FTP site, most people now do not know anything about them or why. This the Full Version Installer link same as above :

  • https://www.mozilla.org/firefox/all/

If in need of the Extended Release Version 52.5.2 ESR :

  • https://www.mozilla.org/en-US/firefox/organizations/all/

Please let us know if this solved your issue or if need further assistance.

Yes I know it’s FTP. I downloaded from both sites and the file is exactly the same. Size name etc.. What’s the difference?

Actually there is no FTP anymore as the ftp:// protocol was retired by Mozilla since Aug 5, 2015. So downloading from ftp://ftp.mozilla.org with a browser or ftp client no longer works.

It leads to same build yes. Mozilla uses a CDN to deliver the downloads. They used to use a mirrors system which meant you could be getting directed to a different mirror each time you downloaded say a Firefox release.

Thank you for the information. So in either of these directories leads to the same files that were Uploaded by Mozilla and it is safe to use? The installers of the site www.mozilla.org/firefox/all/

Answer is yes. To check just start a download and the address is in the request to save box

Please Mark this as Solved with the Answer that Solved the issue. Thank You

Hacktool:Win32/AutoKMS: что это и как избавиться от вредоносной угрозы?

С недавних пор некоторые пользователи компьютерных систем начали замечать присутствие в системе неизвестного процесса Hacktool:Win32/AutoKMS. Что это такое на самом деле, многие даже не догадываются, считая программу неким активатором. Увы, никакого отношения к утилите KMS этот процесс не имеет.

Hacktool:Win32/AutoKMS: что это?

Оговоримся сразу и бесповоротно: не стоит путать эту угрозу с известным приложением KMSAuto Net (иногда его называют Auto KMS Activator), которое было разработано компанией MSFree Inc. для быстрой регистрации программных продуктов Microsoft. Конечно, со своей стороны и эта утилита является незаконной, поскольку способна генерировать ключи для регистрации Windows или MS Office (это обычное компьютерное пиратство). Но она не идет ни в какое сравнение с Hacktool:Win32/AutoKMS. Что это такое, сейчас и посмотрим.

На самом деле это довольно опасный вирус-троян, который может доставить пользователю много хлопот. Но определить его присутствие в системе достаточно просто.

Hacktool:Win32/AutoKMS (активатор): природа воздействия вируса на систему и пользовательские данные

Этот троян действует по типу вирусов, которые принято называть угонщиками браузеров. Как правило, первым симптомом заражения является изменение стартовой страницы во всех установленных в системе веб-браузерах, постоянное перенаправление на небезопасные или потенциально опасные сайты, а также невозможность использования поисковых систем вроде Google или Yahoo!.

Но только этим вред, наносимый системе, не ограничивается. После проникновения в компьютер начинается внедрение не только на системном уровне. Происходит активное считывание пользовательских данных, где предпочтение отдается регистрационным логинам и паролям, которые хранятся в незашифрованном виде. Также могут пострадать и данные владельцев банковских карт и счетов.

Такова программа Hacktool:Win32/AutoKMS. Что это: троян, шпион или вор? Как оказывается, и то, и другое, и третье. Кстати, проявление активности может привести пользователя зараженной системы еще и на некий сайт, где говорится о том, что у юзера на компьютере были вирусы, программа разработчика их удалила, а Hacktool:Win32/AutoKMS – активатор вылеченной программы – является единственным средством восстановления регистрации пострадавшего приложения. Абсолютная ложь!

Удаление при помощи классического антивирусного сканера

Но займемся вопросом устранения угрозы. Первое, что приходит на ум, это использование установленного в системе или портативного антивирусного сканера. К сожалению, помогает это не всегда. Например, судя по отзывам пользователей, даже самые продвинутые продукты Dr. Web ничего не находят, а Microsoft Security Essential и вовсе зависает.

В этом случае нужно проверять еще не загруженную систему. И сделать это можно при помощи дисковых программ вроде Kaspersky Rescue Disk, которые запускаются до старта Windows. Их можно записать на обычную флэшку или оптический диск, после чего установить для них приоритет загрузки в настройках BIOS.

Использование узконаправленных утилит

На просторах Интернета нередко можно встретить советы по поводу того, что Hacktool:Win32/AutoKMS удалить можно исключительно при помощи специально разработанных для этого программ.

В большинстве случаев предлагается использование программ вроде YAC Anti-Malware Free и ей подобных. С этим еще можно согласиться. Но, когда предлагается скачать и установить приложение Win32/AutoKMS virus Removal Tool, тут точно задумаешься. Некоторые, конечно, «ведутся» на такие уловки. И в результате получают установку SpyHunter, который, быть может, вирус и удалит (правда, только после полной регистрации), но вот от самой программы впоследствии неискушенному в познаниях пользователю избавиться будет очень сложно (без специальных знаний практически невозможно). Так что лучше заняться удалением угрозы вручную, тем более сделать это достаточно просто.

Удаление угрозы вручную

Первым делом следует использовать раздел программ и компонентов в стандартной «Панели управления», загрузив систему в безопасном режиме. Не ожидайте, что там вирус будет показан под своим изначальным именем. Вместо этого отсортируйте установленные программы по дате.

Как правило, здесь будет показано несколько компонентов, от которых и нужно избавиться. Это:

  • Search Snacks;
  • Search Protect;
  • HighliteApp;
  • Fre_Ven_s Pro 23;
  • FLV Player (remove only);
  • PassShow;
  • Coupon Server;
  • TidyNetwork;
  • V-bates 2.0.0.440;
  • MyPC Backup.

Имейте в виду, что MyPC Backup и FLV Player не имеют ничего общего с официальными утилитами. Как уже понятно, все это нужно немедленно удалить. После этого, записав названия удаляемых компонентов и имя самого вируса, нужно войти в редактор системного реестра (regedit в консоли «Выполнить») и использовать поиск, с последующим удалением всего найденного. Если был установлен вышеупомянутый плеер, а пользователь удаляет из реестра связанные с ним ключи, лучше так и поступить. Сам плеер является бесплатным. Скачать его и установить заново проблемой не является.

Но для лучшего эффекта можно воспользоваться программой iObit Uninstaller, которая имеет в своем арсенале средств модуль мощного сканирования, применение которого избавит пользователя от редактирования реестра и поиска остаточных файлов на винчестере. Только при удалении результатов поиска нужно задействовать дополнительно строку уничтожения файлов.

В браузерах следует удалить некоторые активные надстройки. В случае с Chrome это SupraSavings. Даже в таком, казалось бы, защищенном продукте, как Mozilla Firefox, этот вирус тоже может оставлять свои следы. Тут нужно обратить внимание на расширение UNiDealsa, которое тоже нужно деинсталлировать. В других браузерах удаление расширений выглядит почти аналогично, изменяется только внешний вид разделов.

Ссылка на основную публикацию
Adblock
detector
×
×