RACK911 Labs မှ သုတေသီများ Windows၊ Linux နှင့် macOS အတွက် antivirus ပက်ကေ့ဂျ်အားလုံးနီးပါးသည် malware တွေ့ရှိသည့်ဖိုင်များကို ဖျက်လိုက်စဉ်အတွင်း လူမျိုးရေးအခြေအနေများကို ကြိုးကိုင်တိုက်ခိုက်ခြင်းမှ ခံနိုင်ရည်ရှိသည်။
တိုက်ခိုက်မှုတစ်ခုလုပ်ဆောင်ရန်၊ သင်သည် အန္တရာယ်ရှိသော ဗိုင်းရပ်စ်ပိုးဟု အသိအမှတ်ပြုသည့် ဖိုင်တစ်ခုကို အပ်လုဒ်လုပ်ရန် လိုအပ်သည် (ဥပမာ၊ စမ်းသပ်ချက်လက်မှတ်ကို သင်သုံးနိုင်သည်) နှင့် အချို့သောအချိန်တစ်ခုပြီးနောက်၊ ဗိုင်းရပ်စ်ပိုးသည် အန္တရာယ်ရှိသောဖိုင်ကို တွေ့ရှိပြီးနောက်၊ လုပ်ဆောင်ချက်ကို မခေါ်ဆိုမီ ချက်ချင်းပင်၊ ၎င်းကိုဖျက်ရန်၊ ဖိုင်လမ်းညွှန်ကို သင်္ကေတလင့်ခ်ဖြင့် အစားထိုးပါ။ Windows တွင် တူညီသောအကျိုးသက်ရောက်မှုရရှိစေရန်၊ directory junction ကို အသုံးပြု၍ directory အစားထိုးခြင်းကို လုပ်ဆောင်ပါသည်။ ပြဿနာမှာ ဗိုင်းရပ်စ်ပိုးအားလုံးနီးပါးသည် သင်္ကေတလင့်ခ်များကို ကောင်းစွာမစစ်ဆေးဘဲ ၎င်းတို့သည် အန္တရာယ်ရှိသောဖိုင်တစ်ခုကို ဖျက်နေသည်ဟု ယုံကြည်ကာ သင်္ကေတလင့်ခ်ညွှန်ပြသည့် ဖိုင်လမ်းညွှန်ရှိဖိုင်ကို ဖျက်လိုက်ခြင်းဖြစ်သည်။
Linux နှင့် macOS တွင် အခွင့်ထူးမရသေးသောအသုံးပြုသူတစ်ဦးသည် /etc/passwd သို့မဟုတ် အခြားသောစနစ်ဖိုင်တစ်ခုခုကိုဖျက်နိုင်ပုံကိုပြသထားပြီး Windows တွင်၎င်း၏လုပ်ဆောင်မှုကိုပိတ်ဆို့ရန်အတွက် antivirus ၏ DDL စာကြည့်တိုက်ကို၎င်း (Windows တွင်တိုက်ခိုက်မှုသည် ဖျက်ရန်သာကန့်သတ်ထားသည်။ အခြားအပလီကေးရှင်းများမှ လက်ရှိအသုံးမပြုသော ဖိုင်များ)။ ဥပမာအားဖြင့်၊ တိုက်ခိုက်သူတစ်ဦးသည် “exploit” လမ်းညွှန်တစ်ခုကို ဖန်တီးနိုင်ပြီး EpSecApiLib.dll ဖိုင်ကို စမ်းသပ်ဗိုင်းရပ်စ်ဆိုင်ရာ လက်မှတ်ဖြင့် ၎င်းထဲသို့ အပ်လုဒ်လုပ်နိုင်ပြီး၊ ထို့နောက် “exploit” လမ်းညွှန်ကို လင့်ခ် “C:\Program Files (x86)\McAfee\” ဖြင့် အစားထိုးနိုင်သည်။ ၎င်းပလပ်ဖောင်းကိုမဖျက်မီ Endpoint Security\Endpoint Security"" သည် EpSecApiLib.dll စာကြည့်တိုက်ကို ဗိုင်းရပ်စ်နှိမ်နင်းရေးကတ်တလောက်မှ ဖယ်ရှားခြင်းဆီသို့ ဦးတည်သွားမည်ဖြစ်သည်။ Linux နှင့် macos တွင်၊ လမ်းညွှန်ကို “/etc” လင့်ခ်ဖြင့် အစားထိုးခြင်းဖြင့် အလားတူလှည့်ကွက်ကို လုပ်ဆောင်နိုင်သည်။
#! / bin / sh
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
wget -q https://www.eicar.org/download/eicar.com.txt -O /home/user/exploit/passwd
inotifywait -m “/home/user/exploit/passwd” | grep -m 5 "OPEN"
do
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
ပြီးပြီ
ထို့အပြင်၊ Linux နှင့် macOS အတွက် antivirus အများအပြားသည် root အသုံးပြုသူအား အခွင့်ထူးများတိုးမြင့်ရန် အသုံးပြုနိုင်သည့် /tmp နှင့် /private/tmp directory များရှိ ယာယီဖိုင်များနှင့် အလုပ်လုပ်သောအခါတွင် ခန့်မှန်းနိုင်သော ဖိုင်အမည်များကို အသုံးပြုသည်ကို တွေ့ရှိခဲ့သည်။
ယခုအချိန်တွင် ပြဿနာများကို ပေးသွင်းသူအများစုမှ ဖြေရှင်းပြီးဖြစ်သော်လည်း 2018 ခုနှစ် ဆောင်းဦးတွင် ထုတ်လုပ်သူများထံသို့ ပြဿနာနှင့်ပတ်သက်သော ပထမဆုံးသတိပေးချက်များကို ပေးပို့ခဲ့ကြောင်း မှတ်သားဖွယ်ကောင်းသည်။ ရောင်းချသူအားလုံးသည် အပ်ဒိတ်များကို ထုတ်ပြန်ခြင်းမရှိသော်လည်း၊ ၎င်းတို့ကို ဖာထေးရန် အနည်းဆုံး 6 လပေးထားပြီး RACK911 Labs သည် အားနည်းချက်များကို ထုတ်ဖော်ရန် အခမဲ့ဖြစ်ကြောင်း ယုံကြည်သည်။ RACK911 Labs သည် အားနည်းချက်များကို ဖော်ထုတ်ရန် အချိန်အတော်ကြာ လုပ်ဆောင်နေခြင်းဖြစ်ကြောင်း မှတ်သားထားသော်လည်း အပ်ဒိတ်များ ထုတ်ဝေရာတွင် နှောင့်နှေးကြန့်ကြာကာ လုံခြုံရေးကို အရေးပေါ်ပြင်ဆင်ရန် လိုအပ်မှုကို လျစ်လျူရှုခြင်းကြောင့် ဗိုင်းရပ်စ်နှိမ်နင်းရေး လုပ်ငန်းမှ လုပ်ဖော်ကိုင်ဖက်များနှင့် အလုပ်ရရန် ခက်ခဲမည်ဟု မမျှော်လင့်ထားပေ။ ပြဿနာများ။
သက်ရောက်မှုရှိသော ထုတ်ကုန်များ (အခမဲ့ ဗိုင်းရပ်စ် တိုက်ဖျက်ရေး ပက်ကေ့ဂျ် ClamAV ကို စာရင်းမသွင်းပါ)။
- Linux ကို
- BitDefender GravityZone
- Comodo Endpoint လုံခြုံရေး
- Eset ဖိုင်ဆာဗာလုံခြုံရေး
- F-Secure Linux လုံခြုံရေး
- Kaspersy Endpoint လုံခြုံရေး
- McAfee Endpoint လုံခြုံရေး
- Sophos Anti-Virus Linux အတွက်
- Windows ကို
- Avast အခမဲ့ဗိုင်းရပ်စ်
- Avira အခမဲ့ဗိုင်းရပ်စ်
- BitDefender GravityZone
- Comodo Endpoint လုံခြုံရေး
- F-Secure ကွန်ပျူတာကာကွယ်မှု
- FireEye Endpoint လုံခြုံရေး
- ကြားဖြတ် X (Sophos)
- Kaspersky Endpoint လုံခြုံရေး
- Windows အတွက် Malwarebytes
- McAfee Endpoint လုံခြုံရေး
- ပန်ဒါခုံး
- ဘယ်နေရာမှာမဆိုလုံခြုံသော Webroot
- MacOS
- AVG
- BitDefender စုစုပေါင်းလုံခြုံရေး
- Eset ဆိုက်ဘာလုံခြုံရေး
- Kaspersky Internet Security
- McAfee ကစုစုပေါင်းကာကွယ်စောင့်ရှောက်ရေး
- Microsoft Defender (BETA)
- က Norton လုံခြုံရေး
- Sophos မူလစာမျက်နှာ
- ဘယ်နေရာမှာမဆိုလုံခြုံသော Webroot
source: opennet.ru