Il malware utilizza una serie di trucchi per nascondere il suo processo, RunPE è uno degli esempi comuni della stessa. La tecnica coinvolge fondamentalmente l'avvio di un processo noto e attendibile explorer.exe in uno stato sospeso. Quindi sostituisce il suo codice con il codice del malware. E infine, lo avvia. Strumenti in esecuzione come Process Explorer potrebbero non riuscire sempre a rilevare il processo dannoso. Phrozen RunPE Detector è un software gratuito che è stato appositamente progettato per rilevare e sconfiggere alcuni processi sospetti come questi.
RunPE Detector per Windows
Cos'è
Inserendo parole semplici, il Detector di RunPE di Phrozen può essere utilizzato per rilevare malware, RAT, Trojan, Backdoor Crypters, Packers e malware residenti in memoria su computer Windows. Fondamentalmente esegue la scansione delle intestazioni dei processi in memoria e quindi li confronta con le loro immagini disco. Il trucco potrebbe sembrare troppo semplice per credere, ma funziona. Se un processo è stato sfruttato da Esegui, allora ci dovrebbe essere una differenza, e vedresti un avviso.
Come funziona
RunPE Detector rileva e sconfigge gli attacchi di hacking che utilizzano le tecniche di esecuzione per infettare il sistema in uno dei seguenti modi:
- Ignora firewall: questa tecnica ignora o disattiva le regole del firewall o dell'applicazione firewall.
- Malware packer o crypter: questa tecnica viene utilizzata per decomprimere o decodificare il malware in memoria e inserirlo in un processo originale senza scriverlo sul disco, dove può essere rilevato e bloccato.
Cosa fa
Phrozen RunPE Detector esegue la scansione delle intestazioni PE per ogni processo e quindi confronta le intestazioni PE in memoria con le intestazioni PE nel percorso dell'immagine del processo. Secondo gli sviluppatori, questo è un metodo molto semplice ed efficiente. Sono disponibili molti programmi antivirus commerciali, che hanno la capacità di eseguire questo tipo di scansione, ma il Detector di RunPE di Phrozen è uno strumento autonomo per eseguire manualmente tali scansioni. Questo programma di sicurezza è stato testato contro numerosi tipi di malware di uso comune e i tassi di rilevamento sono stati estremamente accurati.
Può essere usato per rimuovere il malware?
Questo programma offre agli utenti la possibilità di rimuovere qualsiasi malware rilevato. Anche se è consigliabile non fare affidamento su di esso completamente. Se trovi un problema, usare un motore antivirus completo per indagare, sarebbe una buona idea. Potrebbe essere molto utile per rilevare malware residenti in memoria come il malware senza file.
Cosa non fa
RunPE Detector identifica facilmente i processi dirottati analizzando tutti i file dell'applicazione nel sistema e quindi confronta i loro header PE con un processo in esecuzione per rilevare il punto di infezione. Ma non identifica le posizioni dell'host quando il codice malevolo viene caricato con un packer o crypter di malware. Questo è uno dei motivi per cui gli sviluppatori di Phrozen hanno raccomandato l'uso di una soluzione antivirus commerciale per rimuovere il malware.
Verdetto finale
Poiché la tecnica RunPE è così comunemente utilizzata con RAT, Trojan, Backdoor Crypters e Packers che utilizzano RunPE Detector è un approccio intelligente per garantire che il sistema sia privo dei tipi più distruttivi di malware.
RunPE è ancora un tipo di attacco comune e, poiché Detection Detector di Phrozen è una soluzione compatta, portatile e senza stringhe. Quindi, ti raccomandiamo prendi una copia di questo kit di sicurezza.
Phrozen RunPE Detector rileva i processi compromessi da RunPE solo se sono a 32 bit. È compatibile con i sistemi a 64 bit, ma al momento non è possibile eseguire scansioni, a quanto pare presto arriverà la scansione a 64 bit.
