WinMHR: новый инструмент для обнаружения наличия вредоносного ПО

Теперь можно добавить новый инструмент в свой «набор инструментов» ИТ. Он называется WinMHR и был предоставлен Team Cymru, некоммерческой компанией по обеспечению безопасности.
Следует сразу отметить, что WinMHR далеко не является заменой антивирусного/антивредоносного программного обеспечения, а может использоваться как дополнительный инструмент для выявления наличия любых подозрительных элементов, которые могли остаться незамеченными в ходе тестов, проводимых на системе, используемой другие продукты.
Программное обеспечение Team Cymru использует постоянно обновляемую онлайн-базу данных, содержащую подписи MD5 и SHA сотен тысяч файлов. Хотя решения, основанные на антивирусных сигнатурах, эвристике и коллективном интеллекте, предпочтительнее, WinMHR предлагает пользователю дополнительную стратегию борьбы с любыми угрозами, обнаруженными в системе.
Фактически программа сначала сканирует запущенные процессы, извлекая для каждого из них соответствующие подписи MD5/SHA. Затем эта информация передается в онлайн-базу данных, чтобы определить, соответствуют ли какие-либо запущенные файлы идентичности какого-либо вредоносного ПО, находящегося в обращении.
База данных, на которую опирается WinMHR, содержит информацию, полученную в результате сканирования каждого файла, подвергнутого проверке основными антивирусными ядрами различных производителей. Окончательная оценка потенциальной опасности файла формируется также путем добавления информации, полученной в результате сканирования того же объекта, в специальную «песочницу», управляемую техническими специалистами Team Cymru.
Как поясняют авторы сервиса, с целью минимизировать любые «ложные срабатывания» (файлы, которые обозначены как вредоносные, хотя на самом деле это не так), WinMHR показывает только те элементы, для которых уровень опасности превышает 5%.

Напоминаем, что в подписях MD5 и SHA используются алгоритмы кодирования «необратимых» данных. Это означает, что и MD5, и SHA работают в одном направлении: учитывая исходный текст, они позволяют нам получить уникальную кодировку. Крайне маловероятно получить одну и ту же кодировку из двух разных текстовых строк. Таким образом, вычислив подписи MD5 или SHA двух файлов, можно проверить, имеют ли они одинаковое содержимое или идентичны.
Характеристики криптографических функций, лежащих в основе MD5 и SHA, используются WinMHR именно для сравнения идентичности файлов, содержащихся в системе пользователя, с файлами, известными Team Cymru и присутствующими в ее онлайн-базе данных.
WinMHR не отправляет удаленно содержимое анализируемых файлов, а только соответствующие подписи.

Во время установки программы вас спросят, должен ли WinMHR запускаться автоматически при запуске операционной системы.
Чтобы предотвратить запуск WinMHR при каждом входе в Windows, вы можете отключить флажок «Запускать WinMHR при входе в систему».

Сразу после запуска WinMHR извлечет подписи каждого запущенного файла и сравнит их с данными, хранящимися в онлайн-базе данных. Если процессы, загруженные в систему, не обнаруживают никаких проблем, WinMHR отображает окно, показанное на рисунке:

Чтобы проверить содержимое вашего персонального компьютера, просто нажмите кнопку «Сканировать компьютер». Используемый подход всегда будет одинаковым: подписи MD5/SHA каждого файла будут сравниваться с теми, которые хранятся в онлайн-базе данных, в поисках любых подозрительных элементов, связанных с действием какого-либо вредоносного ПО.

Ход операции можно проверить, перейдя на вкладку «Файлы» (вверху, в главном окне WinMHR).

По окончании проверки, если были обнаружены объекты, обозначенные как «вредоносные», можно сохранить отчет в формате .csv или .txt, щелкнув правой кнопкой мыши по интерфейсу приложения (или по кнопке «Действия» внизу), затем в пункте Экспорт.
Обратите внимание, что некоторые «инструменты взлома» и некоторые инструменты удаленного управления системой могут быть помечены как вредоносные программы. Если после соответствующей проверки будет установлено, что эти компоненты были лично установлены в используемую систему и используются в абсолютно законных целях, отчеты WinMHR можно игнорировать.

Однако WinMHR следует рассматривать как инструмент, способный лишь оказать некоторую помощь в выявлении вредоносного ПО: продукт, по крайней мере в его текущем состоянии, не позволяет устранить вредоносные компоненты, которые могут быть обнаружены в системе. Затем пользователь сможет удалить его, используя специальные инструменты или действуя вручную.
Кроме того, операция восстановления подписей каждого файла занимает довольно много времени и может привести к довольно длительному ожиданию, если в используемой системе хранится много файлов.
Кроме того, WinMHR не указывает личность потенциального вредоносного ПО: для получения дополнительной информации мы предлагаем скопировать подпись MD5 или SHA на соответствующей странице. ВирусТотал. Таким образом, можно будет установить, какие механизмы антивирусного сканирования обнаруживают файл, указанный как потенциально опасный.