Инструментарий
HEX-редакторы
Один из основных инструментов статического базового анализа — это HEX-редактор. Их много, но в первую очередь необходимо отметить Hiew. Это безусловный лидер и бестселлер. Помимо непосредственно функций HEX-редактора, в нем реализовано еще много дополнительных возможностей, связанных с анализом файла: это и дизассемблер, и просмотрщик секций импорта и экспорта, и анализатор заголовка исполняемых файлов. Главный недостаток — все это не бесплатно (хотя и весьма недорого — от 555 рублей).
HEX-редактор Hiew
Если не хочется тратить деньги, то можно обратить внимание, например, на Hex Editor Neo (есть бесплатный вариант) или на HxD Hex Editor.
Детекторы упаковщиков
Если есть подозрение, что файл упакован, то с помощью детектора упаковщиков можно попытаться определить, какой упаковщик при этом использовался, и попробовать распаковать исследуемый файл. Долгое время безусловным лидером здесь была программа PEiD, и в принципе можно пользоваться и ей, однако поддержка давно прекращена и новых сигнатур для определения типов упаковщика уже никто не выпускает. Альтернатива — Exeinfo PE.
Exeinfo PE
Эта программа, помимо детекта упаковщиков, имеет еще много других функций для анализа исполняемых файлов Windows, и во многих случаях можно обойтись ей одной.
Специализированные утилиты для исследования исполняемых файлов Windows
Программа CFF Explorer из пакета Explorer Suite — это настоящий швейцарский нож для исследователя PE-файлов. Позволяет получить огромное количество разнообразной информации обо всех компонентах структуры PE-файла и, помимо прочего, может служить HEX-редактором.
CFF Explorer
Так что настоятельно рекомендую CFF Explorer, тем более что программа бесплатная.
Python-модуль pefile
Python-модуль pefile позволит обойтись при анализе PE-файлов исключительно интерпретатором Python. С ним практически все операции по базовому статическому анализу можно реализовать путем написания небольших скриптов. Прелесть всего этого в том, что заниматься исследованием PE-файлов можно в Linux.
Модуль присутствует в PyPi, и установить его можно через pip:
pip install pefile
Yara
Ну и в завершение всего списка весьма популярный и востребованный инструмент, ставший своеобразным стандартом в среде антивирусной индустрии, — проект Yara. Разработчики позиционируют его как инструмент, который помогает исследователям малвари идентифицировать и классифицировать вредоносные сэмплы. Исследователь может создать описания для разного типа малвари в виде так называемых правил, используя текстовые или бинарные паттерны.
Что такое троянские кони?
Троянские кони — это общее название для множества вирусов, которые проходят в ваш компьютер незамеченными с какими-то другими программами или другими путями. Такое название инфекции получили за то, что для того, чтобы проникнуть в ваш компьютер, они используют нечестные и зловредные техники. Часто это — использования слабых сторон и так называемых брешей в броне вашей защитной программы на компьютере или через слабое место в операционной системе в целом.
Для того, чтобы лучше разобраться в теме компьютерных вирусов, мы советуем вам прочитать нашу статью о том, как происходит заражение вирусами. Это поможет вам избежать многих проблем с компьютером в дальнейшем.
В основном бреши появляются тогда, когда пользователь не проходит через процесс обновления программ для защиты компьютера или использует пиратские версии антивирусников, которые априори слабее, чем обычные.
Кроме того, что троянские кони для проникновения в систему используют бреши, они также часто проникают на компьютер вместе с программами и приложениями, которые вы качаете в интернете неофициально — с чатов, торрентов и других ненадежных ресурсов. Однако даже если вы ничего не скачиваете и вовремя обновляете свою лицензионную систему защиты, инфекция может проникнуть на ваш компьютер в виде автоматической загрузки ссылки на ненадежном сайте, которая активизируется тогда, когда вы на него заходите. Также часто ссылку для загрузки вредоносной программы присылают по почте в виде спама и многие пользователи по незнанию кликают на нее и скачивают себе на ПК или ноутбук опасный вирус. Также ее вам может просто принести знакомый на флешке, сам об этом не подозревая. Вот поэтому стоит всегда проводить проверку антивирусником любого незнакомого записывающего устройства прежде, чем открыть его.
Злоумышленники очень изобретательны в вопросах того, каким образом “подсунуть” вам вредоносную программу, поэтому для того, чтобы не скачать на компьютер Win32.malware.gen и не передать ее случайно другому человеку.
Меры предосторожности
Чтобы обезопасить систему при проведении базового статического анализа подозрительных файлов, необходимо:
- установить запрет на операцию чтения и выполнения анализируемого файла (вкладка «Безопасность» в контекстном меню «Свойства»);
- сменить разрешение файла с .exe на какое-нибудь другое (или вообще убрать расширение анализируемого файла);
- не пытаться открыть файл текстовыми процессорами и браузерами.
Можно обойтись этими мерами и не использовать виртуальную среду, хотя для полной безопасности можешь установить, например, Virtual Box и проводить анализ в нем (тем более что при динамическом анализе без виртуалки, как правило, не обойтись).
Удаление этого софта из операционной системы
Поскольку данная программа не является вирусом, то она удаляется традиционным путём. Перейдите в инструмент удаления программ ОС Виндовс, найдите в списке «ByteFence Anti-Malware Pro», и удалите данную программу.
Также рекомендуем открыть перечень расширений в вашего браузера (например, в Хром это делается вводом в адресной строке chrome://extensions и нажатием на ввод). Там найдите расширение «ByteFence» и отключите (удалите) его.
Если ваша домашняя страница была изменена на search.bytefence.com, рекомендуем использовать антивирусные инструменты уровня AdwCleaner для устранения последствий работы программы.
Это может пригодиться: что за программа «Office Tab».
Определение типа файла
Я думаю, тебе известно, что признак PE-файла в Windows — это не только расширение .exe, .dll, .drv или .sys. Внутри него содержатся и другие отличительные черты. Первая из них — это сигнатура из байт вида MZ (или 0x4d, 0x5a в шестнадцатеричном представлении) в самом начале файла. Вторая — сигнатура также из двух байт PE и двух нулевых байтов следом (или 0x50, 0x45, 0x00, 0x00 в шестнадцатеричном представлении).
Смещение этой сигнатуры относительно начала файла записано в так называемом DOS-заголовке в поле e_lfanew, которое находится по смещению 0x3c от начала файла.
Как распространяется?
Существует множество способов заражения троянами, однако наиболее распространенным является неосторожная и небезопасная работа в Интернете. Если вы зашли на опасный или зараженный сайт, скачали какую-либо программу с неизвестного источника, то троян может легко загрузиться на ваш компьютер. Именно поэтому следует использовать антивирусы, которые блокируют подобные страницы и не позволяют вирусам проникать в систему.
Еще одним вариантом заражения являются торренты – это огромная платформа распространения вредоносных программ. Также эффективным способом распространения вымогателей и прочего рода угроз считаются подозрительные письма на почту и спам. При открытии инфицированного вложения, на ваш ПК будет скачан вирус, который начнет свою вредоносную деятельность. Именно поэтому перед открытием файлов и ссылок в письмах всегда дважды проверяйте отправителя. Иначе ваше устройство окажется в серьезной опасности.
WWW
- Описание формата PE на сайте Microsoft
- «Исследуем Portable Executable» (Codeby.net)
По большому счету наличие этих двух сигнатур в файле и подходящее расширение свидетельствует о том, что перед нами именно PE-файл, однако при желании можно посмотреть еще значение поля Magic опционального заголовка (Optional Header). Это значение находится по смещению 0x18 относительно начала сигнатуры PE. Значение этого поля определяет разрядность исполняемого файла:
- значение 0x010b говорит о том, что файл 32-разрядный (помни, что в памяти числа располагаются с обратной последовательностью байтов, сначала младший байт и далее старшие байты, то есть число 0x010b будет представлено последовательностью 0x0b, 0x01);
- значение 0x020b говорит о том, что файл 64-разрядный.
Посмотреть это все можно несколькими способами. Первый — с помощью HEX-редактора.
Признаки PE-файла в HEX-редакторе Hiew
Второй — используя CFF Explorer или Exeinfo PE. Они наглядно показывают значения указанных сигнатур.
Третий способ — использовать возможности Python, запустив такой скрипт:
with open(<���������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
�� можешь использовать вот такое правило для Yara:
import «pe» //импортируем Yara-модуль pe rule is_pe_file { strings: $MZ_signature = «MZ» condition: ($MZ_signature at 0) and (pe.is_32bit() or pe.is_64bit()) }
Win32.malware.gen — что это?
Win32.malware.gen — это злонамеренная компьютерная инфекция. По сути вирус — троянский конь. У него есть некоторые похожие характеристики на другие инфекции, поэтому его можно смело классифицировать как троянский конь. Типичным признаком, который объединяет всех “троянов” — то, что он может доставить неприятности, которые связаны в одно время и с работой ПК или ноутбука, и с личной информацией пользователя компьютера. Также очень опасно в троянских конях то, что их присутствие часто остается незамеченным для пользователя, если тот не проводит постоянную проверку с помощью антивирусника. И, действуя незаметно, он может причинять вред компьютеру, разлаживать всю систему, сливать файлы, и всячески вредить компьютеру и вам.
Поиск в VirusTotal по хешу
Отправить на VirusTotal для проверки можно не только сам файл, но и его хеш (md5, sha1 или sha256). В этом случае, если такой же файл уже анализировался, VirusTotal покажет результаты этого анализа, при этом сам файл на VirusTotal мы не засветим.
Думаю, как узнать хеш файла, ты прекрасно знаешь. В крайнем случае можно написать небольшой скрипт на Python:
import hashlib with open(<����������������������������������������������������������������������������
��ультат подсчета хеша шлем на VirusTotal либо применяем мои рекомендации из статьи «Тотальная проверка. Используем API VirusTotal в своих проектах» и автоматизируем этот процесс с помощью небольшого скрипта на Python.
import sys import requests ## будем использовать 2-ю версию API VirusTotal api_url = ‘https://www.virustotal.com/vtapi/v2/file/report’ ## не забудь про ключ доступа к функциям VirusTotal params = dict(apikey=<��������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������
�� видишь, скрипт получает значение хеша, переданного в виде аргумента командной строки, формирует все нужные запросы для VirusTotal и выводит результаты анализа.
Если VirusTotal выдал в ответ какие-нибудь результаты анализа, это значит, что исследуемый файл уже кто-то загружал для анализа и его можно загрузить туда повторно и получить более актуальные результаты, на чем анализ можно и завершать. Но вот если VirusTotal не найдет файла в базах, тогда есть смысл идти дальше.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Как самому проверить компьютер на зараженность Malware
Поиск резидентных программ
Резидентные программы — это такие процессы, которые работают и остаются в памяти после их исполнения. Такая форма дает возможность программе Malware иметь постоянный доступ к данным и, не спуская глаз, следить за всеми происходящими в системе событиями.
Помогут обнаружить резидентного Malware в памяти обычные системные утилиты, такие, как менеджер задач – Task Manager, вызываемый комбинацией клавиш Ctrl+Alt+Del. После ее вызова появится диалоговое окно, где в виде списка отобразятся все работающие на текущий момент задачи. Нужно проверить этот перечень на предмет наличия в нем резидентного процесса с присоединенным Malware.
Риск самостоятельного выполнения такой манипуляции по незнанию довольно высокий. Закрытие важной резидентной программы, которая критично влияет на системную работу, может вызвать даже «синий экран смерти» или запустить перезагрузку. Ответить однозначно на вопрос о том, действительно ли конкретная резидентная программа не относится к работе системы, даже не всем профессионалам и гикам под силу. Можно поковыряться в руководстве по ОС, или поискать незнакомую программу из списка менеджера задач в интернете. Если по результатам поисковых мероприятий вы не нашли ничего существенного, или каких-либо указаний на то, что перед вами зловредный Malware, лучше не трогайте этот процесс.
Поддельные имена процессов
Malware очень часто берет себе имена процессов, которые чрезвычайно похожи на имена стандартных процессов. В данном случае глядя на него, вы можете подумать, что это нормальный процесс, однако это будет не так. К примеру, вместо процесса WSOCK23.dll, который отвечает за обработку функций сокетов, можно увидеть поддельный процесс WSOCK33.dll. Другие варианты предусматривают похожие формы подмены, похожие на те, которые используются при фишинге сайтов, когда визуально символы похожи друг на друга и их подмена на первый взгляд не видна. Например, KERNE132.dll – на самом деле будет подделкой, тогда как в правильном процессе вместо 1 (единицы) должна стоять буква L – KERNEL32.dll. Правильное местонахождение этого файла – в папке WindowsSystem32, но некоторые Malware кладут его в другое место – в папку WindowsSystem.
Закрытая программа висит в памяти
Можно удостовериться, не зависла ли в памяти уже закрытая программа, в том месте, где ее уже давно быть не должно.
Еще может быть вариант, когда программа в памяти держит несколько копий себя, хотя никакого сервиса на текущий момент с таким названием пользователь не запускал.
Инструкция по удалению
Способ 1: Norman Malware Cleaner
Есть несколько программных вариантов, с помощью которых можно удалить вирус win32 malware gen раз и навсегда. Самым удобным является его устранение с помощью программы Norman Malware Cleaner.
Не удалось устранить проблему? Обратитесь за помощью к специалисту!
У выбранной нами утилиты есть всего один существенный недостаток, а именно постоянная необходимость скачивать новую версию утилиты из-за отсутствия функции обновления без перезакачки самой программы. Во всем остальном же исключительно преимущества – абсолютно бесплатно, простой интерфейс, высокая скорость работы. Единственное, чего не хватает, так это русского языка.
Для того чтобы быстро и без каких-либо проблем вылечить компьютер с помощью данной программы, необходимо придерживаться следующей инструкции :
Вот и все, остается лишь подождать окончания сканирования, после чего утилита в автоматическом режиме найдет и удалит все вредоносное ПО с вашего устройства.
Важно! Учитывайте, что утилита находит и удаляет любые взломщики программ, поэтому если таковые имеются, то следует заранее позаботиться об их сохранности.
Не удалось устранить проблему? Обратитесь за помощью к специалисту!
Способ 2: Spybot Search & Destroy
Еще одна отличная бесплатная программа, которая способна быстро обнаружить и удалить практически любой вирус, включая Win32.Malware-gen. Существует очень давно, регулярно обновляется и хорошо зарекомендовала себя среди множества пользователей. Также в функционале имеется карантин, который позволит вам восстановить случайно удаленные файлы.
Итак, как ей пользоваться :
Таким образом, мы полностью вылечим компьютер или ноутбук от вредоносного ПО.
Для полноценной защиты мы рекомендуем использовать комплексные антивирусы, пускай даже и с бесплатной версией.
Видео инструкция по удалению угрозы с помощью утилиты Malwarebytes’ Anti-Malware
Профессиональная помощь
Если не получилось самостоятельно устранить возникшие неполадки, то скорее всего, проблема кроется на более техническом уровне. Это может быть: поломка материнской платы, блока питания, жесткого диска, видеокарты, оперативной памяти и т.д.
Важно вовремя диагностировать и устранить поломку, чтобы предотвратить выход из строя других комплектующих.
Что такое Win32.Malware.Gen
Скачать утилиту для удаления Win32.Malware.Gen
Удалить Win32.Malware.Gen вручную
Получить проффесиональную тех поддержку
Читать комментарии
Функции
Удаляет все файлы, созданные Win32.Malware.Gen.
Удаляет все записи реестра, созданные Win32.Malware.Gen.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с Win32.Malware.Gen и удалить Win32.Malware.Gen прямо сейчас!
Оставьте подробное описание вашей проблемы с Win32.Malware.Gen в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Win32.Malware.Gen. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Win32.Malware.Gen.
Как удалить Win32.Malware.Gen вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Win32.Malware.Gen, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Win32.Malware.Gen.
Чтобы избавиться от Win32.Malware.Gen, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Win32.Malware.Gen для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи иили значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Win32.Malware.Gen для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
Win32.Malware.Gen иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Win32.Malware.Gen. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск
, и
Открыть
. Введите следующее в поле
Открыть
без кавычек и нажмите
Enter
: «inetcpl.cpl».
Если вы используете Windows 7 или Windows Vista, кликните Пуск
. Введите следующее в поле
Искать
без кавычек и нажмите
Enter
: «inetcpl.cpl».
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer
, кликните
Сброс
. И нажмите
Сброс
ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки
для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть
в диалоговом окне.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров
в
Инструменты
в программе Spyhunter Remediation Tool.
Для Google Chrome
Найдите папку установки Google Chrome по адресу: C:Users»имя пользователя»AppDataLocalGoogleChromeApplicationUser Data
.
В папке User Data
, найдите файл
Default
и переименуйте его в
DefaultBackup
.
Запустите Google Chrome и будет создан новый файл Default
.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров
в
Инструменты
в программе Spyhunter Remediation Tool.
Для Mozilla Firefox
В меню выберите Помощь
>
Информация для решения проблем
.
Кликните кнопку Сбросить Firefox
.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить
.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров
в
Инструменты
в программе Spyhunter Remediation Tool.