Цитата:
Эра ежечасного бэк-апа Акронис и Парагон станут править миром
Здесь есть одна проблема, если малвара украдет пароли, то Акронис не поможет.
» Обзор антивирусов под Windows
Цитата:
Здесь есть одна проблема, если малвара украдет пароли, то Акронис не поможет.
HarDDroN
Есть. eSage TDSS Remover, Norman TDSS Cleaner, DrWeb CureIt. Со своими плюсами и минусами. LiveCD тоже помогает, но актуальный.
Kristallite
С процессом ничего не происходит, он выполняет нормальные функции Windows. Читайте внимательнее.
Народ, вы не поняли. Многие из вас контролируют паразитный трафик? У многих из вас постоянно включен антивирус? Вооот... Резидент антивируса регистрирует зловреда (но не у всех вендоров), но лечить не может. А трафик в эпоху скоростных безлимитов вообще мало кто видит.
В итого - стремительно формируется новый ботнет, при чём мало кто даже подозревает, что является его частью.
Есть. eSage TDSS Remover, Norman TDSS Cleaner, DrWeb CureIt. Со своими плюсами и минусами. LiveCD тоже помогает, но актуальный.
Kristallite
С процессом ничего не происходит, он выполняет нормальные функции Windows. Читайте внимательнее.
Народ, вы не поняли. Многие из вас контролируют паразитный трафик? У многих из вас постоянно включен антивирус? Вооот... Резидент антивируса регистрирует зловреда (но не у всех вендоров), но лечить не может. А трафик в эпоху скоростных безлимитов вообще мало кто видит.
В итого - стремительно формируется новый ботнет, при чём мало кто даже подозревает, что является его частью.
gjf
Цитата:
Раз КурИт может, значит, и обычный Дохтур из под LiveCD должен справиться?
И еще - через что вся эта дрянь вылезает в Инет?
Цитата:
DrWeb CureIt
Раз КурИт может, значит, и обычный Дохтур из под LiveCD должен справиться?
И еще - через что вся эта дрянь вылезает в Инет?
WatsonRus
CureIt глючит с Native SATA. Возможно поэтому в основной продукт это не включили.
Кроме KernelMode, который перехватывает вызовы и скрывает присутствие есть и UserMode - библиотеки, которые внедряются во все процессы, а сами находятся в зашифрованной области в конце физического диска. Они и обеспечивают вредоносный функционал. И именно их фиксируют в памяти некоторые антивирусы. Фиксировать-фиксируют, а удалить не могут.
CureIt глючит с Native SATA. Возможно поэтому в основной продукт это не включили.
Кроме KernelMode, который перехватывает вызовы и скрывает присутствие есть и UserMode - библиотеки, которые внедряются во все процессы, а сами находятся в зашифрованной области в конце физического диска. Они и обеспечивают вредоносный функционал. И именно их фиксируют в памяти некоторые антивирусы. Фиксировать-фиксируют, а удалить не могут.
gjf
А через что вся эта дрянь распространяется?
А через что вся эта дрянь распространяется?
WatsonRus
В основном, эксплоиты и IFRAME на сайтах.
В основном, эксплоиты и IFRAME на сайтах.
gjf
Образцы есть в паблике? AVZ не гоняли на данную тему и другие специальные утилиты против rootkit'ов?
Образцы есть в паблике? AVZ не гоняли на данную тему и другие специальные утилиты против rootkit'ов?
redwhiterus
Образцов как грязи. При чём куча версий. Не тестил бы сам - не писал бы.
AVZ??? Шутить Изволите? AVZ против руткитов никогда не был силён - в нём для этого нет достаточно низкоуровневого парсера файловой системы.
Детектят RkU, Gmer, VBA32 AntiRootkit. Ээээ... вроде всё. Только они ж не лечат.
Образцов как грязи. При чём куча версий. Не тестил бы сам - не писал бы.
AVZ??? Шутить Изволите? AVZ против руткитов никогда не был силён - в нём для этого нет достаточно низкоуровневого парсера файловой системы.
Детектят RkU, Gmer, VBA32 AntiRootkit. Ээээ... вроде всё. Только они ж не лечат.
Цитата:
В основном, эксплоиты и IFRAME на сайтах.
Заплатки + репутационные сервисы типа WOT - http://www.mywot.com/ немного сгладят ситуацию.
Кстати, по поводу заплаток. Почему-то очень мало доступных для простого народа WSUS-серверов, на которых нет антипиратских обновлений. Но это я уже оффтоплю.
gjf
Цитата:
А что насчёт UnHackMe? Воть недавно поставил - впечатляет, при первом bootwatch-е нашел 2 подозрительные длл-ки с не менее подозрительными названиями типа Heck3 и NUH. Кстати, использует движок RegRun, а этой софтине от Greatis доверяю...
Цитата:
Детектят RkU, Gmer, VBA32 AntiRootkit. Ээээ... вроде всё. Только они ж не лечат.
А что насчёт UnHackMe? Воть недавно поставил - впечатляет, при первом bootwatch-е нашел 2 подозрительные длл-ки с не менее подозрительными названиями типа Heck3 и NUH. Кстати, использует движок RegRun, а этой софтине от Greatis доверяю...
gjf
Цитата:
Лечение это всегда отдельный вопрос
Спасибо за пояснение
Цитата:
Интересно что о ней упомянули, ранее как-то не обращал внимания не смотря на тесты и обзоры..
Попробовать пока не могу(чтобы самому увидеть), но хочу уточнить, она платная или нет?
Цитата:
Детектят RkU, Gmer, VBA32 AntiRootkit. Ээээ... вроде всё. Только они ж не лечат.
Лечение это всегда отдельный вопрос
Спасибо за пояснение Цитата:
VBA32 AntiRootkit
Интересно что о ней упомянули, ранее как-то не обращал внимания не смотря на тесты и обзоры..
Попробовать пока не могу(чтобы самому увидеть), но хочу уточнить, она платная или нет?
HarDDroN
Цитата:
redwhiterus
Цитата:
Цитата:
А что насчёт UnHackMe?Если не чего не изменилось, то здесь: UnHackMe
redwhiterus
Цитата:
Попробовать пока не могу(чтобы самому увидеть), но хочу уточнить, она платная или нет?в таблице номер 40.
gjf
Цитата:
Что же там такого страшного, можно взглянуть именно на синовал ? Опять разработчики рку гадят ?
Цитата:
Это надо проверять достойных, мало ли.
Цитата:
Что-то мне подсказывает, что это можно отнести и к самой малваре. Дроппер хотя бы на x64 работает ?
HarDDroN
Цитата:
Софтина фолсит много, у меня нашла драйвера от Cheat Engine и HP, order reminder от того же HP.
Цитата:
Ну что, кто там предсказывал кризис антивирусного жанра? Он наступил.
Что же там такого страшного, можно взглянуть именно на синовал ? Опять разработчики рку гадят ?
Цитата:
внедрение происходит абсолютно невидимо для хипса.
Это надо проверять достойных, мало ли.
Цитата:
Очевидно, что такой низкоуровневый доступ будет очень специфичным к оборудованию, а потому сложно изобрести утилиту, которая будет одинаково хорошо работать на всех контроллерах.
Что-то мне подсказывает, что это можно отнести и к самой малваре. Дроппер хотя бы на x64 работает ?
HarDDroN
Цитата:
UnHackMe
Софтина фолсит много, у меня нашла драйвера от Cheat Engine и HP, order reminder от того же HP.
RW3DVK
Что в таблице №40? VBA32 AntiRootkit это отдельная утилита и с сайта мне не очень понятно нужно ли его покупать.
Что в таблице №40? VBA32 AntiRootkit это отдельная утилита и с сайта мне не очень понятно нужно ли его покупать.
Нашёл немного интересного в инструкции Unhackme
[more=Подробнее]Redirection Explorer DLLs Protection
Purpose:
The feature allows you to protect against malware using "redirection Windows Explorer DLLs" startup hole.
History of the problem:
Recently our security team tested the W32/Almanahe.c virus.
The detailed description of the virus described can be found here:
http://www.greatis.com/appdata/d/n/nvmini.sys.htm
The virus uses the different ways of auto starting with Windows boot:
Driver;
Autorun.inf on the hard drive;
File infection.
But we found that the virus uses a new hole, not detected by RegRun.
Virus creates "linkinfo.dll" and puts that DLL into the Windows folder.
The normal "linkinfo.dll" made by Microsoft is stored in the Windows\System32 folder.
Why the Windows shell "explorer.exe" loads the "linkinfo.dll" from non-standard place?
Good question.
We researched the file and registry changes made by the virus and found nothing.
After that we put the virus file "linkinfo.dll" into the Windows folder on a clean computer and found that explorer.exe loads infected version of the "linkinfo.dll".
We tried to copy "linkinfo.dll" from the System32 folder to the Windows folder and we see that the Windows uses "linkinfo.dll" from Windows folder again.
What is dangerous?
The computer may be infected by simply copying virus file to the Window folder without making changes the system settings (registry or configuration files) or changes the system files.
Windows File Protection will not help you.
Affected Systems
Windows 2000, XP(SP1,SP2,SP3), 2003, Vista(SP1), 2008 Server.
Technical Details
The standard DLL search order:
1. The directory from which the application loaded.
2. The system directory. Use the GetSystemDirectory function to get the path of this directory.
3. The 16-bit system directory. There is no function that obtains the path of this directory, but it is searched.
4. The Windows directory. Use the GetWindowsDirectory function to get the path of this directory.
5. The current directory.
6. The directories that are listed in the PATH environment variable. Note that this does not include the per-application path specified by the App Paths registry key. The App Paths key is not used when computing the DLL search path.
We can see that the first place where "Explorer.exe" searches the DLLs is the directory from which the application loaded.
But the explorer.exe is stored in the Windows folder.
There is the source of the problem!
Explorer.exe searches the DLL in its current folder: Windows folder.
Is not a local problem with linkinfo.dll only!
We investigated the DLLs loaded by explorer.exe at the Windows boot and found that 20 DLLs under Windows XP and 46 DLLs under Windows Vista may be redirected.
Removal
RegRun automatically detects redirected DLLs and allows to remove it from your computer during executing of "Scan for Viruses".
Protection
The perfect way is a fixing security hole in the explorer.exe by the developers of the Windows.
We offer a workaround.
The Windows registry key
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
contains the list of the DLLs "known" to the system.
The DllDirectory value contains the path to the folder where the DLLs are stored.
It's a Windows\System32 folder.
If we add the redirected DLL names to the KnownDLLs registry key, the Windows "explorer.exe" will load DLLs from the right place.
The Raymond Chen from Microsoft wrote an article "The Known DLLs Balancing Act". He warns against changing the KnownDLLs registry key, because it may change the system performance.
We tested the performance in Windows 2000/XP/Vista after changing the KnownDLLs and we found no problems.
How to setup protection?
Open RegRun Start Control.
Open "Reanimator" in the main menu and choose the "Protect" item.
Click on the Protect button.
RegRun automatically backups KnownDLLs registry key to the:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs-
To restore from backup you need open "Protect" window as described above and click on the "Unprotect" button.[/more]
[more=Подробнее]Redirection Explorer DLLs Protection
Purpose:
The feature allows you to protect against malware using "redirection Windows Explorer DLLs" startup hole.
History of the problem:
Recently our security team tested the W32/Almanahe.c virus.
The detailed description of the virus described can be found here:
http://www.greatis.com/appdata/d/n/nvmini.sys.htm
The virus uses the different ways of auto starting with Windows boot:
Driver;
Autorun.inf on the hard drive;
File infection.
But we found that the virus uses a new hole, not detected by RegRun.
Virus creates "linkinfo.dll" and puts that DLL into the Windows folder.
The normal "linkinfo.dll" made by Microsoft is stored in the Windows\System32 folder.
Why the Windows shell "explorer.exe" loads the "linkinfo.dll" from non-standard place?
Good question.
We researched the file and registry changes made by the virus and found nothing.
After that we put the virus file "linkinfo.dll" into the Windows folder on a clean computer and found that explorer.exe loads infected version of the "linkinfo.dll".
We tried to copy "linkinfo.dll" from the System32 folder to the Windows folder and we see that the Windows uses "linkinfo.dll" from Windows folder again.
What is dangerous?
The computer may be infected by simply copying virus file to the Window folder without making changes the system settings (registry or configuration files) or changes the system files.
Windows File Protection will not help you.
Affected Systems
Windows 2000, XP(SP1,SP2,SP3), 2003, Vista(SP1), 2008 Server.
Technical Details
The standard DLL search order:
1. The directory from which the application loaded.
2. The system directory. Use the GetSystemDirectory function to get the path of this directory.
3. The 16-bit system directory. There is no function that obtains the path of this directory, but it is searched.
4. The Windows directory. Use the GetWindowsDirectory function to get the path of this directory.
5. The current directory.
6. The directories that are listed in the PATH environment variable. Note that this does not include the per-application path specified by the App Paths registry key. The App Paths key is not used when computing the DLL search path.
We can see that the first place where "Explorer.exe" searches the DLLs is the directory from which the application loaded.
But the explorer.exe is stored in the Windows folder.
There is the source of the problem!
Explorer.exe searches the DLL in its current folder: Windows folder.
Is not a local problem with linkinfo.dll only!
We investigated the DLLs loaded by explorer.exe at the Windows boot and found that 20 DLLs under Windows XP and 46 DLLs under Windows Vista may be redirected.
Removal
RegRun automatically detects redirected DLLs and allows to remove it from your computer during executing of "Scan for Viruses".
Protection
The perfect way is a fixing security hole in the explorer.exe by the developers of the Windows.
We offer a workaround.
The Windows registry key
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
contains the list of the DLLs "known" to the system.
The DllDirectory value contains the path to the folder where the DLLs are stored.
It's a Windows\System32 folder.
If we add the redirected DLL names to the KnownDLLs registry key, the Windows "explorer.exe" will load DLLs from the right place.
The Raymond Chen from Microsoft wrote an article "The Known DLLs Balancing Act". He warns against changing the KnownDLLs registry key, because it may change the system performance.
We tested the performance in Windows 2000/XP/Vista after changing the KnownDLLs and we found no problems.
How to setup protection?
Open RegRun Start Control.
Open "Reanimator" in the main menu and choose the "Protect" item.
Click on the Protect button.
RegRun automatically backups KnownDLLs registry key to the:
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs-
To restore from backup you need open "Protect" window as described above and click on the "Unprotect" button.[/more]
redwhiterus
Если было бы в примечании - 1, то можно сюда не заходить.
Если было бы в примечании - 1, то можно сюда не заходить.
gjf
Цитата:
Gmer и VBA32 AntiRootkit на офсайтах очень древние, еще прошлогодние. Эти версии еще актуальны?
Цитата:
ИМХО главное - найти. Дальше LiveCD в руки. Любое "лечение" - все равно от лукавого.
Цитата:
А эти в разной степени лечат, так что ли?
Цитата:
Детектят RkU, Gmer, VBA32 AntiRootkit. Ээээ... вроде всё.
Gmer и VBA32 AntiRootkit на офсайтах очень древние, еще прошлогодние. Эти версии еще актуальны?
Цитата:
Только они ж не лечат.
ИМХО главное - найти. Дальше LiveCD в руки. Любое "лечение" - все равно от лукавого.
Цитата:
eSage TDSS Remover, Norman TDSS Cleaner, DrWeb CureIt. Со своими плюсами и минусами.
А эти в разной степени лечат, так что ли?
VBA32 AntiRootkit - 3.12.5.0
GMER - 1.0.15.15281
RkU - 3.8.388.590
eSage - нужно два ребута и оригинальный дистрибутив Windows для лечения (подмена заражнного дрова). Лично мне очень нравится.
Norman - не знаю, не тестил.
CureIt - точно не пашет с Native SATA. Есть баги с криптованными (легитимными программами) разделами.
Добавлено:
redwhiterus
RW3DVK
VBA32 AntiRootkit не имеет никакого отношения к антивирусу из шапки (разве что по компании-разработчику) и на данный момент является бесплатной.
Добавлено:
HarDDroN
UnHackMe год назад был редкостной дрянью с кучей фалсов. Доверять компании Greatis - себе во вред, для этого достаточно некоторое время использовать её сервис поиска "вредоносных" файлов.
А если по теме - нет, UnHackMe бессилен перед TDL3.
Engaged Clown
Достойных проверил - пропускают
Под х64 - Вы смеётесь, назовите хотя бы один руткит под х64? Я не платформу имею в виду, а контроллеры дисков.
И нет - это не относится к "любой малваре", поскольку в "любой малваре" доступ к диску осуществлялся более высокоуровневыми средствами операционной системы. Ну как пример: скопируйте файл Проводником, потом скопируйте FARом, потом - с помощью консольной copy, а потом - посекторно прописывая содержимое файла с помощью любого редактора диска с прямым доступом
Добавлено:
Да, и сразу оговорюсь: речь о классических хипсах, а не песочницах. Песочницы, как и простая ограниченная пользовательская запись, эффективно блокируют работу дроппера.
Просто есть некто Рабинович, который DefenseWall хипсом обозвал....
GMER - 1.0.15.15281
RkU - 3.8.388.590
eSage - нужно два ребута и оригинальный дистрибутив Windows для лечения (подмена заражнного дрова). Лично мне очень нравится.
Norman - не знаю, не тестил.
CureIt - точно не пашет с Native SATA. Есть баги с криптованными (легитимными программами) разделами.
Добавлено:
redwhiterus
RW3DVK
VBA32 AntiRootkit не имеет никакого отношения к антивирусу из шапки (разве что по компании-разработчику) и на данный момент является бесплатной.
Добавлено:
HarDDroN
UnHackMe год назад был редкостной дрянью с кучей фалсов. Доверять компании Greatis - себе во вред, для этого достаточно некоторое время использовать её сервис поиска "вредоносных" файлов.
А если по теме - нет, UnHackMe бессилен перед TDL3.
Engaged Clown
Достойных проверил - пропускают
Под х64 - Вы смеётесь, назовите хотя бы один руткит под х64? Я не платформу имею в виду, а контроллеры дисков.
И нет - это не относится к "любой малваре", поскольку в "любой малваре" доступ к диску осуществлялся более высокоуровневыми средствами операционной системы. Ну как пример: скопируйте файл Проводником, потом скопируйте FARом, потом - с помощью консольной copy, а потом - посекторно прописывая содержимое файла с помощью любого редактора диска с прямым доступом
Добавлено:
Да, и сразу оговорюсь: речь о классических хипсах, а не песочницах. Песочницы, как и простая ограниченная пользовательская запись, эффективно блокируют работу дроппера.
Просто есть некто Рабинович, который DefenseWall хипсом обозвал....
Цитата:
gjf
С процессом ничего не происходит, он выполняет нормальные функции Windows. Читайте внимательнее.
Если с процессом ничего не происходит, каким образом происходит внедрение, можно пояснить?
gjf
Цитата:
А не проще ли заменить найденный к примеру тем же Gmer-ом драйвер/длл-ку загрузившись с LiveCD?
Цитата:
eSage - нужно два ребута и оригинальный дистрибутив Windows для лечения (подмена заражнного дрова). Лично мне очень нравится.
А не проще ли заменить найденный к примеру тем же Gmer-ом драйвер/длл-ку загрузившись с LiveCD?
Кто-то писал, что Gmer теперь часть Avast'a.
http://www.risspa.ru/node/186 :
Цитата:
Цитата:
Опубликовано alisa в Чт, 06/05/2010 - 11:31.
На момент тестирования последнюю версию TDSS лечили также Dr.Web и Norman.
В корпоративном масштабе: если пользователи жалуются на редиректы (наиболее типичный признак заражения TDSS) - проверить подходящей специализированной утилитой. Профилактика - идентично.
Поскольку основной вектор заражения TDSS - через веб, то меры предотвращения заражения стандартные: работа из-под учетной записи с ограниченными правами, или, если это затруднительно - то завернуть в такую учетную запись браузер.
PhoenixUA
Ну да, это Алиса Шевченко написала. И она очень права. Как и здесь.
Ну да, это Алиса Шевченко написала. И она очень права. Как и здесь.
Добрый день есть вопрос!
Только-что натолкнулся на статью Найден способ обмана любых антивирусов .
В какой мере этот опус соответствует действительности? Неужели это имеет место быть?
Только-что натолкнулся на статью Найден способ обмана любых антивирусов .
В какой мере этот опус соответствует действительности? Неужели это имеет место быть?
cdrom2
Ну я на заборе вчера тоже слово прочитал, посмотрел - а там дрова лежат
Был бы proof-of-concept код - можно было бы что-то говорить. А пока это только слова, хотя и от именитых специалистов.
Ну я на заборе вчера тоже слово прочитал, посмотрел - а там дрова лежат
Был бы proof-of-concept код - можно было бы что-то говорить. А пока это только слова, хотя и от именитых специалистов.
gjf
Цитата:
А по этим данным ? Хотя как я понял, свежие данные они пока еще не выложили?
Цитата:
Был бы proof-of-concept код - можно было бы что-то говорить. А пока это только слова, хотя и от именитых специалистов.
А по этим данным ? Хотя как я понял, свежие данные они пока еще не выложили?
cdrom2
Если уж Вас интересует эта тема, то почитайте вот тут и подумайте.
Если уж Вас интересует эта тема, то почитайте вот тут и подумайте.
А кто-нибудь подскажет есть ли ветка на RU-BOARDe по обсуждению программного продукта "OSSS" (Online Solutions Security Suite) v1.5 (финал)? Да и в шапке тоже нет.
gjf
Спасибо.
А то я все время бегу впереди паровоза!
gjf
Спасибо.
А то я все время бегу впереди паровоза!
cdrom2
Теме 14 лет. За 14 лет её никто не использовал в злонамеренных целях, потому как сложно и сильно подгружает систему, что заметно. И никто не залатал - иначе тормозить будет нереально.
Просто повторный пиар. Денег всем хоцца
Теме 14 лет. За 14 лет её никто не использовал в злонамеренных целях, потому как сложно и сильно подгружает систему, что заметно. И никто не залатал - иначе тормозить будет нереально.
Просто повторный пиар. Денег всем хоцца
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145
Предыдущая тема: System Mechanic Professional/Standard 9.5.3.3 fix and speed
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.