Комментарии 36
Nod32 иногда сам хуже вируса. То DC++ блокирует, то IP-TV.
+7
Сколько раз уже говорили, качайте ПО с официальных сайтов. Заголовок жёлтый. Легальность тут вообще ни при чём.
+33
Тут дело не в том, что пользователь качает зараженный файл с «левого» сайта. Разработчики бэкдора решили особо не напрягаться, а воспользовались решением от TV, но сделали его скрытым, добавили «стучалку», свой дроппер и модуль распространения.
+3
тут коммент про alizar'a
-5
что за дизассемблер такой красочный?
0
НЛО прилетело и опубликовало эту надпись здесь
Раньше было много дропперов, скрыто устанавливающих RAdmin на зараженную машину.
Странно, что антивирусы не палят компоненты TV (и подобных программ) в неположенных местах.
Странно, что антивирусы не палят компоненты TV (и подобных программ) в неположенных местах.
0
В неположенных это в каких? Есть версия TV Portable, с ним как быть?
0
В данном случае, она и была взята за основу бэкдора, дроппер же все скидывает в %WINDIR% и после этого запускает. Зараженный компьютер, фигурирующий в инциденте, работал на WinXP со всеми обновлениями + была лицензионная антивирусная программа (какая не скажу, дабы никого не очернять).
+2
Ну так вот я и пытаюсь выяснить у автора комментария, как антивирус должен отличать, в положенном ли месте находится portable версия какого-то софта?
0
Как минимум спросить юзер ли запустил и установил эту утилиту. Что-то наподобие UAC
0
UAC в антивирусах. Шикарно.
А ещё он будет спрашивать пользователя стопицот раз о предоставлении доступа другим установленным копонентам.
В итоге при потоке однотипных запросов (если не предусмотрена соответствующая галочка) пользователь, насколько бы продвинутым он ни был, всё равно нажмёт «разрешить» с пометкой «Всегда для такого компонента». Ибо к тому времени на подобное уведомление будет всего одна закрепившаяся реакция (рефлекс) — «как же меня этот антивирус за… л! Ок!»
А ещё он будет спрашивать пользователя стопицот раз о предоставлении доступа другим установленным копонентам.
В итоге при потоке однотипных запросов (если не предусмотрена соответствующая галочка) пользователь, насколько бы продвинутым он ни был, всё равно нажмёт «разрешить» с пометкой «Всегда для такого компонента». Ибо к тому времени на подобное уведомление будет всего одна закрепившаяся реакция (рефлекс) — «как же меня этот антивирус за… л! Ок!»
+3
Вы используете на своем компьютере настолько много портативных программ чтобы антивирус стопицот раз на дню вас об этом спрашивал?
Это во первых, во вторых я же не сказал что именно ЮАС. Как вариант, чтобы антивирус при первом запуске делал пометку в файле портативного приложения с его хэш суммой например, а сам сохранять эту хэш сумму и название приложения. Если при запуске совпадает все — можно запускать. Нет — спросить
Это во первых, во вторых я же не сказал что именно ЮАС. Как вариант, чтобы антивирус при первом запуске делал пометку в файле портативного приложения с его хэш суммой например, а сам сохранять эту хэш сумму и название приложения. Если при запуске совпадает все — можно запускать. Нет — спросить
0
Я не автор, но предположу что если включен детект RiskWare (в терминологии KAV, ЕМНИП), то — везде.
Собственно доверенная зона и исключения для того и сделаны, чтобы администратор мог сказать что вот тут — хорошо, а остальных местах плохо.
Собственно доверенная зона и исключения для того и сделаны, чтобы администратор мог сказать что вот тут — хорошо, а остальных местах плохо.
0
Этому бекдору уже больше 2-х год (еще на 4-м тимвьювере предыдущая версия работала). А нод32 только сейчас детектить начал…
-2
Извините — но нужно быть круглым идиотом, чтобы БЕСПЛАТНЫЙ софт качать не из ОФФ источника!
-4
Извините — но нужно быть круглым идиотом, чтобы писать о том, о чем не понимаешь.
+2
Да. Я не понимаю как он устроен.
Я свечку не держал.
И что?
Я отвечаю на топик исходя из его названия.
А из комментов понятно, что это обертка тв.
Что здесь не понятного? Нигде не указано, что бэкдор выдавался за картинку — «сиськи.jpg.exe».
Т.е. люди качали тв патченный и ловили кайф потом. Я правильно понимаю?
Тогда еще повторю — нефиг фри софт качать с варезных сайтов.
Хотя если смотреть на коммент — habrahabr.ru/company/eset/blog/112032/#comment_3581721 — то можно согласится, что тв заражался после.
И снова в топике нет такой инфы.
Кроме желтого заголовка, который меня привлек, потому что я юзер тв и мне было интересно -как это тв, да еще и бэкдор.
Я свечку не держал.
И что?
Я отвечаю на топик исходя из его названия.
А из комментов понятно, что это обертка тв.
Что здесь не понятного? Нигде не указано, что бэкдор выдавался за картинку — «сиськи.jpg.exe».
Т.е. люди качали тв патченный и ловили кайф потом. Я правильно понимаю?
Тогда еще повторю — нефиг фри софт качать с варезных сайтов.
Хотя если смотреть на коммент — habrahabr.ru/company/eset/blog/112032/#comment_3581721 — то можно согласится, что тв заражался после.
И снова в топике нет такой инфы.
Кроме желтого заголовка, который меня привлек, потому что я юзер тв и мне было интересно -как это тв, да еще и бэкдор.
0
В топике вообще не затрагивается механизм распространения, зачастую подобные зловреды используются как компоненты других зловредов, например подгружаются лоадером, а лоадер распостраняется через уязвимости в браузерах (так называемый drive-by-download метод).
Способов распостранения много, это спам, социальная инженерия, распостранение через внешние носители, эксплоиты под популярный софт, и не все зловреды имеют встроенные средства к распостранению, как в этом случае.
Способов распостранения много, это спам, социальная инженерия, распостранение через внешние носители, эксплоиты под популярный софт, и не все зловреды имеют встроенные средства к распостранению, как в этом случае.
+1
Sheldor the Conqueror.
+1
На «тематических» форумах патченный teamviewer, со скрытыми функциями и стучалкой на урл злоумышленника, раздается-продается уже точно года полтора.
Сигнатура Win32.Palevo.gen, продавался как Palevo TV4, что какбэ намекает, что базировался он ещё на TeamViewer4:
www.hackzone.ru/forum/open/id/7186/
damagelab.org/index.php?s=9a83f546ebff9b85c9686f8c5f3e1e73&showtopic=17260&st=0
Сигнатура Win32.Palevo.gen, продавался как Palevo TV4, что какбэ намекает, что базировался он ещё на TeamViewer4:
www.hackzone.ru/forum/open/id/7186/
damagelab.org/index.php?s=9a83f546ebff9b85c9686f8c5f3e1e73&showtopic=17260&st=0
0
Тут реализация для версии пять, да и привлек нас этот бэкдор тем, что при помощи него реально пострадала достаточно уважаемая компания. И на момент его обнаружения детектов даже дроппера почти не было, только случайные срабатывания параноидальных эвкристик, которые реагируют почти на все.
+1
Вопрос: каким образом получена цифровая подпись? Скомпрометирован закрытый ключ TV?
0
Подпись видимо есть у тех компонентов, которые не модифицированы, это «родная» подпись компонентов тимвьювера.
+1
Что вы ответите на то, что ESET загружает на машины случайных пользователей adware со своих серверов обновлений?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
TeamViewer, как компонент бэкдора Win32/Sheldor.NAD