Comments 36
Nod32 иногда сам хуже вируса. То DC++ блокирует, то IP-TV.
Сколько раз уже говорили, качайте ПО с официальных сайтов. Заголовок жёлтый. Легальность тут вообще ни при чём.
тут коммент про alizar'a
что за дизассемблер такой красочный?
UFO just landed and posted this here
Раньше было много дропперов, скрыто устанавливающих RAdmin на зараженную машину.
Странно, что антивирусы не палят компоненты TV (и подобных программ) в неположенных местах.
Странно, что антивирусы не палят компоненты TV (и подобных программ) в неположенных местах.
В неположенных это в каких? Есть версия TV Portable, с ним как быть?
В данном случае, она и была взята за основу бэкдора, дроппер же все скидывает в %WINDIR% и после этого запускает. Зараженный компьютер, фигурирующий в инциденте, работал на WinXP со всеми обновлениями + была лицензионная антивирусная программа (какая не скажу, дабы никого не очернять).
Ну так вот я и пытаюсь выяснить у автора комментария, как антивирус должен отличать, в положенном ли месте находится portable версия какого-то софта?
Как минимум спросить юзер ли запустил и установил эту утилиту. Что-то наподобие UAC
UAC в антивирусах. Шикарно.
А ещё он будет спрашивать пользователя стопицот раз о предоставлении доступа другим установленным копонентам.
В итоге при потоке однотипных запросов (если не предусмотрена соответствующая галочка) пользователь, насколько бы продвинутым он ни был, всё равно нажмёт «разрешить» с пометкой «Всегда для такого компонента». Ибо к тому времени на подобное уведомление будет всего одна закрепившаяся реакция (рефлекс) — «как же меня этот антивирус за… л! Ок!»
А ещё он будет спрашивать пользователя стопицот раз о предоставлении доступа другим установленным копонентам.
В итоге при потоке однотипных запросов (если не предусмотрена соответствующая галочка) пользователь, насколько бы продвинутым он ни был, всё равно нажмёт «разрешить» с пометкой «Всегда для такого компонента». Ибо к тому времени на подобное уведомление будет всего одна закрепившаяся реакция (рефлекс) — «как же меня этот антивирус за… л! Ок!»
Вы используете на своем компьютере настолько много портативных программ чтобы антивирус стопицот раз на дню вас об этом спрашивал?
Это во первых, во вторых я же не сказал что именно ЮАС. Как вариант, чтобы антивирус при первом запуске делал пометку в файле портативного приложения с его хэш суммой например, а сам сохранять эту хэш сумму и название приложения. Если при запуске совпадает все — можно запускать. Нет — спросить
Это во первых, во вторых я же не сказал что именно ЮАС. Как вариант, чтобы антивирус при первом запуске делал пометку в файле портативного приложения с его хэш суммой например, а сам сохранять эту хэш сумму и название приложения. Если при запуске совпадает все — можно запускать. Нет — спросить
Я не автор, но предположу что если включен детект RiskWare (в терминологии KAV, ЕМНИП), то — везде.
Собственно доверенная зона и исключения для того и сделаны, чтобы администратор мог сказать что вот тут — хорошо, а остальных местах плохо.
Собственно доверенная зона и исключения для того и сделаны, чтобы администратор мог сказать что вот тут — хорошо, а остальных местах плохо.
Этому бекдору уже больше 2-х год (еще на 4-м тимвьювере предыдущая версия работала). А нод32 только сейчас детектить начал…
Извините — но нужно быть круглым идиотом, чтобы БЕСПЛАТНЫЙ софт качать не из ОФФ источника!
Извините — но нужно быть круглым идиотом, чтобы писать о том, о чем не понимаешь.
Да. Я не понимаю как он устроен.
Я свечку не держал.
И что?
Я отвечаю на топик исходя из его названия.
А из комментов понятно, что это обертка тв.
Что здесь не понятного? Нигде не указано, что бэкдор выдавался за картинку — «сиськи.jpg.exe».
Т.е. люди качали тв патченный и ловили кайф потом. Я правильно понимаю?
Тогда еще повторю — нефиг фри софт качать с варезных сайтов.
Хотя если смотреть на коммент — habrahabr.ru/company/eset/blog/112032/#comment_3581721 — то можно согласится, что тв заражался после.
И снова в топике нет такой инфы.
Кроме желтого заголовка, который меня привлек, потому что я юзер тв и мне было интересно -как это тв, да еще и бэкдор.
Я свечку не держал.
И что?
Я отвечаю на топик исходя из его названия.
А из комментов понятно, что это обертка тв.
Что здесь не понятного? Нигде не указано, что бэкдор выдавался за картинку — «сиськи.jpg.exe».
Т.е. люди качали тв патченный и ловили кайф потом. Я правильно понимаю?
Тогда еще повторю — нефиг фри софт качать с варезных сайтов.
Хотя если смотреть на коммент — habrahabr.ru/company/eset/blog/112032/#comment_3581721 — то можно согласится, что тв заражался после.
И снова в топике нет такой инфы.
Кроме желтого заголовка, который меня привлек, потому что я юзер тв и мне было интересно -как это тв, да еще и бэкдор.
В топике вообще не затрагивается механизм распространения, зачастую подобные зловреды используются как компоненты других зловредов, например подгружаются лоадером, а лоадер распостраняется через уязвимости в браузерах (так называемый drive-by-download метод).
Способов распостранения много, это спам, социальная инженерия, распостранение через внешние носители, эксплоиты под популярный софт, и не все зловреды имеют встроенные средства к распостранению, как в этом случае.
Способов распостранения много, это спам, социальная инженерия, распостранение через внешние носители, эксплоиты под популярный софт, и не все зловреды имеют встроенные средства к распостранению, как в этом случае.
Sheldor the Conqueror.
На «тематических» форумах патченный teamviewer, со скрытыми функциями и стучалкой на урл злоумышленника, раздается-продается уже точно года полтора.
Сигнатура Win32.Palevo.gen, продавался как Palevo TV4, что какбэ намекает, что базировался он ещё на TeamViewer4:
www.hackzone.ru/forum/open/id/7186/
damagelab.org/index.php?s=9a83f546ebff9b85c9686f8c5f3e1e73&showtopic=17260&st=0
Сигнатура Win32.Palevo.gen, продавался как Palevo TV4, что какбэ намекает, что базировался он ещё на TeamViewer4:
www.hackzone.ru/forum/open/id/7186/
damagelab.org/index.php?s=9a83f546ebff9b85c9686f8c5f3e1e73&showtopic=17260&st=0
Вопрос: каким образом получена цифровая подпись? Скомпрометирован закрытый ключ TV?
Что вы ответите на то, что ESET загружает на машины случайных пользователей adware со своих серверов обновлений?
Sign up to leave a comment.
TeamViewer, как компонент бэкдора Win32/Sheldor.NAD