Intel и Microsoft будут использовать GPU для детектирования вредоносов

Олег Иванов 17 Апреля 2018 - 16:21

Домашние пользователи

...

После того, как отгремели уязвимости Meltdown и Spectre, корпорация Intel решила вернуть доверие пользователей, реализовав новые, специфичные для аппаратной платформы Intel, функции для повышения безопасности.

Прежде всего, речь идет о технологии Intel Threat Detection Technology (TDT), позволяющей обнаруживать вредоносные программы.

Intel также рассказала о двух функциях TDT, первая из которых получила название «Advanced Memory Scanning» («расширенное сканирование памяти»).

Стремясь избежать детектирования антивирусными программами, некоторые виды вредоносных программ воздерживаются от записи чего-либо на диск. Это хорошая тактика с точки зрения маскировки, обычно антивирусные решения прибегают к сканированию системной памяти для обнаружения таких вредоносов.

Однако Intel предупреждает, что подобный подход антивирусных программ может привести к загрузке процессора на целых 20 процентов. Именно здесь вступает в действие «Advanced Memory Scanning», которая вместо ресурсов CPU использует GPU. По словам корпорации, это снижает нагрузку процессора примерно на два процента.

Более того, сторонние решения также могут использовать «Advanced Memory Scanning». Например, Microsoft планирует реализовать это в Windows Defender Advanced Threat Protection (ATP).

Следующая функция — Advanced Platform Telemetry (расширенная телеметрия платформы), она использует такие вещи, как встроенные счетчики производительности процессора, чтобы обнаружить его необычную активность.

Это может помочь отследить вредоносную активность. Например, использующие Spectre вредоносы отражаются на работе процессора. Advanced Platform Telemetry может загружать плученные данные в облако для анализа состояния системы. Intel утверждает, что в будущем это решение будет интегрировано с Cisco Tetration.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »