Comments 56
как детектив прям=))
очень интересно.)
очень интересно.)
+2
Стараюсь :-) Было бы интересно услышать от читателей, о чем они хотели бы еще почитать в этой области.
+1
мне лично очень интересно про трояны, про такие вещи как пинч. вообще тема сетевой безопасности сегодня очень актуальна.
0
Пинч... Пинч как раз упаковщиками интересен :-) А в остальном - ищет файлы на дисках, которые содержат пароли и отправляет их хозяину. Сейчас пинчи идут чуть ли не трижды перепакованные, и чтобы скрыть что что-то тут не то, несут в себе картинку и показывают ее юзеру (если он якобы как картинка распространялся). И с видео были экземпляры.
0
Отличная статья. Действительно интересно. А вот что бы почитать, так хотелось бы именно из области - как правильно обустроить защиту. То есть рекомендуемые приложение, конечно кроме известных антивирусов и файрволлов, и конечно правильная настройка. Хотя, возможно это не то что вы, vilgeforce, хотели услышать :)
0
Опа, чуть коммент не пропустил :-)
Была мысль про это написать. Правда, слова типа "не пользуйтесь IE", "Не сидите под админом" приведут к холивару :-)
Была мысль про это написать. Правда, слова типа "не пользуйтесь IE", "Не сидите под админом" приведут к холивару :-)
0
vilgeforce, у Вас отличный слог! К тому же, освещаемые темы действительно интересны.
Собственно про настройки: я думаю, что холиваров не будет, если советы по настройке будут даваться не в форме "сделайте так - будет безопасно", а "у нас весь отдел сидит так-то - и никаких вирусов"
В действительности, нельзя полностью защититься только прогами. Было бы интересно узнать конфигурации, при которых обычному рядовому пользователю было бы наиболее безопасно сидеть в нете (во всех аспектах) и быть вне группы риска :) "не сидите под админом" - отличное в общем-то начало! )
Собственно про настройки: я думаю, что холиваров не будет, если советы по настройке будут даваться не в форме "сделайте так - будет безопасно", а "у нас весь отдел сидит так-то - и никаких вирусов"
В действительности, нельзя полностью защититься только прогами. Было бы интересно узнать конфигурации, при которых обычному рядовому пользователю было бы наиболее безопасно сидеть в нете (во всех аспектах) и быть вне группы риска :) "не сидите под админом" - отличное в общем-то начало! )
0
Не все ведь холиварщики :) Кто-то примет информацию к сведению обязательно. Вот я хотел спросить - читал местами, что если действительно не сидеть под админом, то большинство вирусов просто не сможет установиться. Это действительно так? Можно чуть подробнее осветить эту тему? Да и вообще, не только эту, но и другие сопутствующие - как предотвратить попадание и установку вируса, не считая использования антивируса.
0
Да, это действительно так: трояны пытаются спрятать свои файлы в системном каталоге венды. Если запретить туда запись вирус не сможет нормально работать. Также крайне полезным будет запрос на любые действия с сервисами и драйверами (запуск, установка, останов). И такие привилегии, вроде, только у админов.
0
Тут сложный вопрос, что лучше: сидеть под юзером и что надо запускать под админом (к сожалению не все, для некоторых вещей в винде необходимо перелогиниваться :(
или сидеть под админом или повер юзером и запускать все подозрительное под очень урезаным юзером.
Первый вариант банально не спасает от кражи данных, типа, паролей и пт.
Щас пользуюсь первым, но подумываю о переходе на второй. Интересно мнение специалиста по этому поводу ;)
или сидеть под админом или повер юзером и запускать все подозрительное под очень урезаным юзером.
Первый вариант банально не спасает от кражи данных, типа, паролей и пт.
Щас пользуюсь первым, но подумываю о переходе на второй. Интересно мнение специалиста по этому поводу ;)
0
Мне всегда было интересно, как в антивирусную базу достаточно небольшого размера помещается информация о детектировании и излечении ТАКОГО количества вирусов?
Например, по информации из раздела загрузок с вашего сайта:
drwebase.zip (2007-09-19, 17:12:20, records in the add-on: 209466) (размер 3 818 293 Байт)
Получается 209466/3818293=18.2 байт/вирус.
Не могли бы Вы немного приоткрыть для меня тайну, как грубо говоря в 18 байтах можно уместить инструкции для детектирования и лечения вируса? Какая информация там представлена и как она используется антивирусом?
Не прошу Вас раскрывать великие тайны, опишите настолько, насколько Вам позволят корпоративные политики. :)
Спасибо.
Например, по информации из раздела загрузок с вашего сайта:
drwebase.zip (2007-09-19, 17:12:20, records in the add-on: 209466) (размер 3 818 293 Байт)
Получается 209466/3818293=18.2 байт/вирус.
Не могли бы Вы немного приоткрыть для меня тайну, как грубо говоря в 18 байтах можно уместить инструкции для детектирования и лечения вируса? Какая информация там представлена и как она используется антивирусом?
Не прошу Вас раскрывать великие тайны, опишите настолько, насколько Вам позволят корпоративные политики. :)
Спасибо.
0
Как происходит внедрение этой DLL в адресное пространство заражаемых процессов? "дроппер, который скидывает анализируемую DLL на диск и прописывает ее в систему." Вот этот вопрос можно раскрыть?
0
UFO just landed and posted this here
UFO just landed and posted this here
Вот про BitAccelerator я ничего не могу сказать. Коллега мой им вплотную занимался - ругался жутко.
Он сделан как плагин к IE, а для меня это сложная штука :-(
Он сделан как плагин к IE, а для меня это сложная штука :-(
0
У меня есть такая штуковина(это из аваста):
Вирус - SWF:CVE-2007-0071 [Expl]
Файл - C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\SYPO27CJ\i115[1].swf
Боролся с ним и задолбался.. ни каспер, ни веб, ни авг, ни нод ни аваст не берут. Удаляют этот файлик и всё по-новому. Это сообщение появилось при попытке открыть http://www.drweb.com/ Может вы подскажете что делать? Я из-за него на опенсюсе пересел, но это не панацея 8(
Вирус - SWF:CVE-2007-0071 [Expl]
Файл - C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\SYPO27CJ\i115[1].swf
Боролся с ним и задолбался.. ни каспер, ни веб, ни авг, ни нод ни аваст не берут. Удаляют этот файлик и всё по-новому. Это сообщение появилось при попытке открыть http://www.drweb.com/ Может вы подскажете что делать? Я из-за него на опенсюсе пересел, но это не панацея 8(
0
Пришлите файл на vilgeforce@gmail.com в архиве с паролем virus.
Верно ли я понимаю, что этот вирус обнаруживается при попытке зайти на drweb.com?
Верно ли я понимаю, что этот вирус обнаруживается при попытке зайти на drweb.com?
0
если я не ошибаюсь, gmail не принимает письма с архивами
0
он обнаруживается при соединении с любым сервером через ie и в 70% случаев соединений через мозиллу и оперу, причём забавно что при попытке зайти на мейл.ру в браузер выводится первые штук 10 букв куки (Cache-control Expires...) А яндекс-деньги просят ввести правильный пароль при попытке ввода правильного пароля. Вышлю сегодня из дома, он у меня домашний, я к нему даже немного привык 8)
0
здорово написано. спасибо!
0
Использование вместо explorer альтернативной оболочки к примеру sharpe-shell.org может помочь как привентивная мера в борьбе с такими заразами наряду с антивирусом и файерволом.
+1
а как этот вирус попал к вам в руки?
0
Автор, спасибо за старания. Вы конечно таким делом можете удивить web-разработчиков и дизайнеров, аудитория которых на данном ресурсе преобладает. :)
Но давай не будем лукавить, то, что вы описываете - это случай самого обычного троянца. Ну что в нём интересного с точки зрения технологии? Если бы вы разобрали драйвер или описали процесс инжекта... хотя сомневаюсь, что там было бы что-нибудь интересного.
Вы говорили, что работаете в лаборатории Dr.Web, неужели ничего интересного выцепить не можете? Допустим, экземпляры с хорошими и оригинальными анти-эмуль трюками или целые семейства вирусов с продвинутыми техниками обфускации или даже виртуализации. Один из знакомых аналитиков давал посмотреть листинг malware, где использовались баги современных процессоров. Вот разбор такого материала - это действительно advanced :) Совсем другой уровень.
Может я неверно понимаю цель ваших текущих постов. Может вы просто ознакамливаете людей, но зачем тогда сувать асм-листинги и отладочные логи(в каком-то из прошлых ваших постов встречал), значит всё-таки ориентируетесь на более продвинутую аудиторию в этой области.
Но давай не будем лукавить, то, что вы описываете - это случай самого обычного троянца. Ну что в нём интересного с точки зрения технологии? Если бы вы разобрали драйвер или описали процесс инжекта... хотя сомневаюсь, что там было бы что-нибудь интересного.
Вы говорили, что работаете в лаборатории Dr.Web, неужели ничего интересного выцепить не можете? Допустим, экземпляры с хорошими и оригинальными анти-эмуль трюками или целые семейства вирусов с продвинутыми техниками обфускации или даже виртуализации. Один из знакомых аналитиков давал посмотреть листинг malware, где использовались баги современных процессоров. Вот разбор такого материала - это действительно advanced :) Совсем другой уровень.
Может я неверно понимаю цель ваших текущих постов. Может вы просто ознакамливаете людей, но зачем тогда сувать асм-листинги и отладочные логи(в каком-то из прошлых ваших постов встречал), значит всё-таки ориентируетесь на более продвинутую аудиторию в этой области.
+1
Я и не пытаюсь лукавить, троян самый обычный :-) Да только таких вот простых троянов процентов 90, если не больше. Серьезная обфускация и виртуализация - редкость, к тому же используется в упаковщиках обычно. А с упаковщиком разговор короткий - пройти не разбираясь и дело с концом.
0
Сорри, не понял, а как троян попадает в систему? Откуда берется "выполнение startup-кода"?
0
Интересно было бы почитать про файловые вирусы: Hi-Jack и иже с ним.
0
статья для журнала Ксакеп...
-1
UFO just landed and posted this here
По именам программ понятно, что троян нацелен, в первую очередь, на китайских пользователей.
/me всегда думал, что в китае red flag linux..
0
Спасибо за очередную интересную информацию!
0
Данный троян mayababy использовался как малая часть onlinegames'а загруженным другим даулоером отданным через эксплойты. MAYASYS это реинкарнация руткита BEEP.SYS тоже являющейся частью этого огромного боекомплекта.
ПС. Привет СВВ )
ПС. Привет СВВ )
+1
Уважаемый, а знаком ли Вам вирус Sector.5 (DrWeb) или Sality.z (Kaspersky)? Победить то я его победил, но мне очень интересен следующий факт. Он внедряет в систему свой драйвер под именем aic32p, в качестве файла драйвера указывается случайно сгенерированное имя .sys файла в папке \system32\drivers. Так вот, я загружаюсь ERD Commander'ом, смотрю в папку system32\drivers и не вижу этого файла. Хотя, удаление или отключение этого драйвера из загрузки решает проблему с этим вирусом. Где же он все-таки хранит файл с драйвером?
0
Ну немного знаком :-) Если вы не видите файла - не значит, что его нет. Руткиты могут скрывать файлы и ключи реестра, вполне возможно, что драйвер руткитом и являлся. Детально сектор знают другие наши сотрудники.
0
Sign up to leave a comment.
Вирусная стеганография