» Malware Defender (360.cn)

KismetT 19:18 07-08-2011
Цитата:

На Матусеке Комод кстати стоит выше немножко МД , но там проверяют на дефолтных настройках

неа, на максимальных настройках, которые можно выставить в GUI без "знания юзером подробностей касательно реестра и файловой системы "

Цитата:

The tested products are installed on Windows XP Service Pack 3 with Internet Explorer 8 set as the default browser. The products are configured to their highest usable security settings and tested with this configuration only. We define the highest security settings as settings that the user is able to set without advanced knowledge of the operating system. This means that the user, with the skills and knowledge we assume, is able to go through all forms of the graphic user interface of the product and enable or disable or choose among several therein given options, but is not able to think out names of devices, directories, files, registry entries etc. to add to some table of protected objects manually, not even if such a configuration is suggested on the product's support forum or website.

- http://www.matousec.com/projects/proactive-security-challenge/#methodology-rules

Добавлено:
ST4NN 15:31 08-08-2011
Цитата:

Резюме
Trojan-Dropper. Скрытно устанавливает в систему другие вредоносные программы  
Технические детали
 Имеет размер 2443608 байт.  
Вредоносная активность
Создает следующие файлы:  
%System%\drivers\degnjfii.sys  
 
После чего обеспечивается автозагрузка установленных файлов:
используя системные службы: Имя службы:    degnjfii
Параметры запуска:    %System%\drivers\degnjfii.sys
Тип запуска:    специальный запуск
 
Следующие файлы запускаются на исполнение:  
%System%\drivers\degnjfii.sys  
 
Пытается найти файлы на компьютере пользователя по следующим маскам:  
 mdres*.dll

Какой сервис такую аналитику выдаёт?

K_Ok_O_S

Цитата:

Какой сервис такую аналитику выдаёт?

Это была цитата сообщения SovaRu

Цитата:

Антивирус Касперского с 6 августа русификатор malware defender 2.7.3.2 детектирует как Trojan.Win32.Diple.zct   http://www.securelist.com/ru/search?VN=Trojan.Win32.Diple.zct&referer=kis

текстовку привёл для разворачивания ссылки и наглядности, о чём говорю

Сегодня столкнулся с тем, что portable программы собранные на VMware ThinApp ни как не хотели запускаться, оказывается все дело было в mdhook.dll в MD (Инструменты-настройка-защита) после того как поставил галочку все заработало.

SovaRu
на форуме не нашел портабельного варианта, для себя делали?
хотелось бы посмотреть.

folta

Цитата:

на форуме не нашел портабельного варианта, для себя делали?
хотелось бы посмотреть.

имелось в виду другие портабельные программы запускаемые с Malware Defender, но мысль по поводу портабельности MD конечно интересная..

SovaRu
Respect за проделанную работу по правилам!

SovaRu

Цитата:

оказывается все дело было в mdhook.dll в MD (Инструменты-настройка-защита) после того как поставил галочку все заработало.

Кстати, она по-умолчанию стоит!

zye

Цитата:

Кстати, она по-умолчанию стоит!

Да верно. Это я уже сам перенастроил, и на тот момент не знал о возможной блокировке запуска портабельного софта. Ко всему прочему это событие ни как не отображалось в отчете журнала MD.

Цитата:

мысль по поводу портабельности MD конечно интересная

Да... Довольно часто интересно, что вытворяет на другом компе какая-либо неизвестная программа в реальном времени и, желательно, без риска (если что - пресечь сабжем).
Для этого давно пробовал запускать на другом компе установленные версии (и некоторые ХИПСы так работают вполне стабильно). Сначала всё ОК, потом вешается. Глубоко не копал, почему.

Erekle 22:59 03-11-2011
Цитата:

Да... Довольно часто интересно, что вытворяет на другом компе какая-либо неизвестная программа в реальном времени и, желательно, без риска (если что - пресечь сабжем).

Ну дак для этого в самый раз AVZ

Дополнительные правила MD одним файлом v1.4 (для версий 2.6.0 и 2.7.3.2)
[more=прочти]
1. Из группы "Все исполняемые файлы" (с запросом на доступ на чтение "Разрешить") перенесены в группу "Исполняемые файлы" (с запросом на доступ на чтение "Спросить") следующие
правила для расширений
*; *.bat
*; *.chm
*; *.cmd
При появлении новых файлов с расширением bat,cmd,chm "MD" выдаст запрос на их запуск, ну а если "MD" будет работать в тихом режиме запуск подобных файлов заблокируется.
P.S. В группе "Все исполняемые файлы" удалить вручную *; *.bat *; *.chm *; *.cmd, чтобы правила в группе "Исполняемые файлы" не дублировались.

2. Глобальные файловые правила "Почтовые клиенты"
Прежние правила
%USERPROFILE%\appdata\local\identities\*\microsoft\outlook express; *.*
%USERPROFILE%\appdata\roaming\thunderbird; *.*
%USERPROFILE%\application data\thunderbird; *.*
%USERPROFILE%\local settings\application data\identities\*\microsoft\outlook express; *.*

Измененные правила + добавлены почтовый клиент "The bat!"+ Microsoft Office Outlook+Windows Live 2011

%USERPROFILE%\local settings\application data\identities\*\microsoft\outlook express\*
%USERPROFILE%\AppData\Local\Microsoft\Windows Live Mail\*

%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook\*
%USERPROFILE%\AppData\Local\Microsoft\Outlook\*

%USERPROFILE%\appdata\roaming\thunderbird\*
%USERPROFILE%\application data\thunderbird\*
?:\Program Files\Mozilla Thunderbird\*

%USERPROFILE%\application data\the bat! pwd\*
%USERPROFILE%\Application Data\The Bat!\*
%USERPROFILE%\appdata\Roaming\The Bat! pwd\*
%USERPROFILE%\appdata\Roaming\The Bat!\*
?:\Program Files\The Bat!\*

Причина изменений
Прежние правила не распространялись на вложенные папки и файлы+добавлены новые почтовые клиенты

3. Глобальные файловые правила "Интернет браузер"
Прежние правила
%USERPROFILE%\appdata\roaming\mozilla\firefox\profiles\*; *.db
%USERPROFILE%\appdata\roaming\opera\opera; wand.dat
%USERPROFILE%\appdata\roaming\opera\opera\mail; *.*
%USERPROFILE%\appdata\roaming\opera\opera\profile; *.*
%USERPROFILE%\application data\mozilla\firefox\profiles\*; *.db
%USERPROFILE%\application data\opera\opera; wand.dat
%USERPROFILE%\application data\opera\opera\mail; *.*
%USERPROFILE%\application data\opera\opera\profile; *.*

Измененные правила+добавлен браузер Chrome,IE

%USERPROFILE%\appdata\roaming\mozilla\firefox\*
%USERPROFILE%\appdata\Local\Mozilla\Firefox\*
%USERPROFILE%\application data\mozilla\firefox\*
%USERPROFILE%\Local Settings\Application Data\Mozilla\Firefox\*
?:\Program Files\Mozilla Firefox\*

%USERPROFILE%\appdata\roaming\opera\opera\*
%USERPROFILE%\appdata\Local\Opera\Opera\*
%USERPROFILE%\application data\opera\opera\*
%USERPROFILE%\Local Settings\Application Data\Opera\Opera\*
?:\Program Files\Opera\*

%USERPROFILE%\local settings\application data\bromium\*
%USERPROFILE%\local settings\application data\google\chrome\*
%USERPROFILE%\AppData\Local\Bromium\*
%USERPROFILE%\AppData\Local\Google\*

%USERPROFILE%\Cookies\*
%USERPROFILE%\Local Settings\Temporary Internet Files\*
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies\*
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IECompatCache\*
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IEDownloadHistory\*
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\IETldCache\*

Причина изменений
Защита всех файлов и папок выше указанных программ.

4. Глобальные файловые правила "Системы обмена сообщениями"
Прежние правила
%USERPROFILE%\appdata\local\microsoft\messenger; *.*
%USERPROFILE%\appdata\roaming\icq; *.*
%USERPROFILE%\appdata\roaming\mra; *.*
%USERPROFILE%\appdata\roaming\skype\*; *.*
%USERPROFILE%\application data\icq; *.*
%USERPROFILE%\application data\mra; *.*
%USERPROFILE%\application data\skype\*; *.*
%USERPROFILE%\local settings\application data\microsoft\messenger; *.*
Измененные правила
%USERPROFILE%\appdata\local\microsoft\messenger\*
%USERPROFILE%\local settings\application data\microsoft\messenger\*
?:\Program Files\Windows Live\Messenger\*

%USERPROFILE%\appdata\roaming\icq\*
%USERPROFILE%\application data\icq\*
?:\Program Files\ICQ*\*

%USERPROFILE%\application data\skype\*
%USERPROFILE%\appdata\roaming\skype\*
?:\Program Files\Skype\*

%USERPROFILE%\appdata\roaming\mra\*
%USERPROFILE%\AppData\Roaming\Mail.Ru\Agent\*
%USERPROFILE%\application data\mra\*
%USERPROFILE%\Application Data\Mail.Ru\Agent\*


%USERPROFILE%\AppData\Roaming\QIP\*
%USERPROFILE%\Application Data\QIP\*
?:\Program Files\QIP 20*\*


%USERPROFILE%\AppData\Roaming\RnQ*\*
%USERPROFILE%\Application Data\RnQ*\*
?:\Program Files\RnQ*\*

[/more]
http://dl.dropbox.com/u/39341929/Rules/general_rules/more_rules_v1.4.dat

P.S. Перепроверены глобальные файловые правила "Исполняемые файлы", "Почтовые клиенты", "Системы обмена сообщениями", "Интернет браузер" (XP,7-ка)

Erekle, сколько версий сабжа не побовал, всегда хватало распаковать архив либо инсталлер и запустить. И всё запускалось и работало, и на 2000 и на ХР. Да и правила лежат с программой рядом, можно класть свои перед запуском. Другое дело, что это делалось на здоровых машинах, а как там и что пойдёт на заражённых (или как минимум с покоцанной системой) -- хз.

Сегодня решил проверить через сервис 2ip.ru открытость портов, предварительно отключив
Windows Брандмауэр (ICF), создал в MD правила на запрет к 135,137,138,139,445 портам
Любой протокол [Local host : 137] <-> [Любой адрес : Любой порт]
Любой протокол [Local host : 138] <-> [Любой адрес : Любой порт]
Любой протокол [Local host : 445] <-> [Любой адрес : Любой порт]
TCP/RawIP [Local host : 135] <-> [Любой адрес : Любой порт]
TCP/RawIP [Local host : 139] <-> [Любой адрес : Любой порт]
Результат тестов указанных портов - "Порт открыт", почему так?

SovaRu
IP - белый ? А то может быть проверяют файервол провайдера , а не тебя .
Можно ещё попробовать прописать эти запреты в правилах для svchost.exe , это же он открывает эти порты .

KismetT

Цитата:

IP - белый ? А то может быть проверяют файервол провайдера , а не тебя .
Можно ещё попробовать прописать эти запреты в правилах для svchost.exe , это же он открывает эти порты .

Да ip реальный. Если windows Брандмауэр включить - порты закрываются. А если только MD с правилами ну ни как не желают закрываться. Да для svchost.exe тоже пробовал правила выставлять, что-то не помогает.
Вот отдельная группа правил для портов http://dl.dropbox.com/u/39341929/Rules/ports.dat
[more=см.]
Пopты Ceтeвaя гpyппa Зaпpeтить
.TCP/RawIP [Local host : 1002] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1024] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1025] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1026] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1027] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1028] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1029] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1030] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 113] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 135] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 139] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1433] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1444] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1720] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 1723] <-> [Любoй aдpec : Любoй пopт] Ceть
.TCP/RawIP [Local host : 2869] <-> [Любoй aдpec : Любoй пopт] Ceть
.UDP/RawIP [Local host : 123] <-> [Любoй aдpec : Любoй пopт] Ceть
.UDP/RawIP [Local host : 1701] <-> [Любoй aдpec : Любoй пopт] Ceть
.UDP/RawIP [Local host : 4500] <-> [Любoй aдpec : Любoй пopт] Ceть
.UDP/RawIP [Local host : 500] <-> [Любoй aдpec : Любoй пopт] Ceть
.UDP/RawIP [Local host : 520] <-> [Любoй aдpec : Любoй пopт] Ceть
.Любoй пpoтoкoл [Local host : 137] <-> [Любoй aдpec : Любoй пopт] Ceть
.Любoй пpoтoкoл [Local host : 138] <-> [Любoй aдpec : Любoй пopт] Ceть
.Любoй пpoтoкoл [Local host : 13] <-> [Любoй aдpec : Любoй пopт] Ceть
.Любoй пpoтoкoл [Local host : 17] <-> [Любoй aдpec : Любoй пopт] Ceть
.Любoй пpoтoкoл [Local host : 19] <-> [Любoй aдpec : Любoй пopт] Ceть
.Любoй пpoтoкoл [Local host : 389] <-> [Любoй aдpec : Любoй пopт] Ceть
.Любoй пpoтoкoл [Local host : 445] <-> [Любoй aдpec : Любoй пopт] Ceть
[/more]

VitRom, я пробовал и распакованные, и установленные, иногда подсовывал и те символы (или как), что сабж качает после установки. Правда, делал это всегда на двух машинах (начисто чистых в вирусном отношении ) - один на дачном компе, у которого в силу плохой состыковки "железа" всегда были какие-то проблемы, и в офисе; в последнем случае на нём было много чего установлено, возможно, и путаница в системе.
Спасибо за опыт. Раз так, попробую ещё.

парни, а для x64 кетайцы не забабахали ещё? а то на ихнем сайте х.. разберёшь

Цитата:

а то на ихнем сайте х.. разберёшь

Но это и так понятно
Windows XP (32-bit)
Windows 2003 (32-bit)
Windows Vista (32-bit)
Windows 2008 (32-bit)
Windows 7 (32-bit)

Обновилась программка - Malware Defender 2.8.0.0001 - http://dl.360safe.com/md_setup_en.exe

Цитата:

Translated changelog:

Kernel block access to the COM interface.
Kernel block access services manager.
Intercept the process added to the JOB object.
Intercepted by registering hotkeys to record keystrokes.
Parameters to solve SSDT HOOK improper handling can cause blue screen problem.
Notes displays an alert window to window above the rules.
Solve the performance problems resulting from a large number of logs, a second log does not repeat the same show.
Automatically merge contents of the log window and displays the count of the same log.
Within two seconds after the bubble does not prompt display shows the new bubble.
Fix some small bug.

Цитата:

Обновилась программка - Malware Defender 2.8.0.0001

Ну вот и дождались...
Теперь с нетерпением ждем качественный русификатор!

Malware Defender 2.8.0.0001 - 2.5Мб, дистр + локализованный бинарник и справка. В справке поправил параграф о логике работы правил, но файл, кажется, компилится с косяками в некоторых фразах - ещё не отловил, почему так выходит..
rghost multiupload пароль по госту
Пардоньте, сделал сразу, но опубликовать всё некогда было...

ST4NN
Спасибо Вам большое!
Программа работает нормально. Во всяком случае синих экранов, чем раньше грешила программа,
пока что не наблюдается. Тьфу! Тьфу! Тьфу!

Портабле версия Malware Defender 2.8.0.0001 (rus)
http://dl.dropbox.com/u/39341929/MD_portable/MD_portable_rus_2.8.0.1.exe
P.S. Спасибо ST4NN за русскую локализацию.

Китайцы пишут, что версия 2.8.0.0001 как-то не так реагирует на попытку удалить системные службы и имеет какие-то проблемы с дисками ExFAT...

Цитата:

Китайцы пишут, что версия 2.8.0.0001 как-то не так реагирует на попытку удалить системные службы

Все нормально реагирует, при дефолтных настройках, при удаление службы срабатывают "Глобальные правила реестра-Расположение автозагрузок"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Уважаемые, веточка немного уснула, позвольте потревожить... Завалялась у меня старенькая версия МД 2.7.2.2... Решил ее оживить в связи с тем, что вспомнил о том, как запускался МД, а именно, - через планировщик задач. Возникли вопросы: 1. Этот способ запуска остался и в новых версиях? 2. У меня на 7ке с теми параметрами задачи на запуск, которые создаются при установке МД, он не хочет запускаться под другим пользователем, хотя задача создана для всех. Скажите, это огрехи версии ( и происходит только у меня) или есть другое объяснение...

Kumga
Ни чего не могу сказать по поводу версии 2.7.2.2..., но версии 2.6.0; 2.7.3.2; 2.8.0.1 запускаются не через планировщик, а через реестр [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware Defender"="c:\\program files\\malware defender\\malwaredefender.exe"
Если два пользователя одновременно работают за компьютером, под разными сессиями, то настраивать MD может только тот пользователь который вошел первым. При входе второго пользователя MD уже будет активно, и правила для него будут такие - "все что не разрешено будет для него запрещено".

SovaRu
Спасибо за ответ. Я так и думал, что ненадежный планировщик для запуска - это слабое место.
Цитата:

При входе второго пользователя MD уже будет активно

- т.е. процесс будет один и при смене пользователя без выхода из системы перезапускаться не будет с другими правами? А с выходом из системы перезапускается с учеткой вошедшего? - Так?

Kumga

Цитата:

- т.е. процесс будет один и при смене пользователя без выхода из системы перезапускаться не будет с другими правами?

верно процесс один, перезапускаться не будет


Цитата:

А с выходом из системы перезапускается с учеткой вошедшего? - Так?

первый пользователь зашел - MD запустился, второй пользователь зашел, без выхода первого, MD сообщит что процесс уже запущен. Второй должен попросить первого отключить MD, только после этого второй пользователь может запустить MD "вручную". Я так делаю если захожу в терминальном режиме под своим пользователем, в то время когда другой пользователь уже вошел в систему.

SovaRu
Все ясно, спасибо.