Показано с 1 по 18 из 18.

Беcсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Exclamation Беcсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

    К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

    Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).
    далее http://www.anti-malware.ru/node/2179

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    372
    Вроде бы такой супер-пупер HIPS, а с такими вещами не справляется. Почему? Разве нельзя изменить правила и сделать такие по-умолчанию?
    Клуб любителей Symantec - http://symantecclub.ru/

  4. #3
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для priv8v
    Регистрация
    26.06.2008
    Сообщений
    1,373
    Вес репутации
    1236
    Цитата Сообщение от senyak Посмотреть сообщение
    Вроде бы такой супер-пупер HIPS, а с такими вещами не справляется. Почему? Разве нельзя изменить правила и сделать такие по-умолчанию?
    С технической точки зрения (для разработчиков) сделать такие правила - очень просто. Даже очень.
    Но вот для домохозяйки это будет не очень - вопросы от КИСа появятся какие-то...
    Если уж делать такие правила по дефолту, то вирусописатели это заметят и изменят ключи, значит нужно больше ключей добавлять (все какие только можно), а это приведет к еще большему количеству вопросов от антивируса.
    Поэтому антивирусы вынуждены балансировать около золотой середины - и безопасно что бы было и и чтоб у пользователя спрашивать как можно меньше.
    // ...

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    415
    Цитата Сообщение от senyak Посмотреть сообщение
    Вроде бы такой супер-пупер HIPS, а с такими вещами не справляется. Почему?
    Очевидно, потому что он не супер-пупер.
    http://www.softsphere.com - DefenseWall, DefencePlus

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    356
    Цитата Сообщение от priv8v Посмотреть сообщение
    С технической точки зрения (для разработчиков) сделать такие правила - очень просто. Даже очень.
    Но вот для домохозяйки это будет не очень - вопросы от КИСа появятся какие-то...
    Если уж делать такие правила по дефолту, то вирусописатели это заметят и изменят ключи, значит нужно больше ключей добавлять (все какие только можно), а это приведет к еще большему количеству вопросов от антивируса.
    Поэтому антивирусы вынуждены балансировать около золотой середины - и безопасно что бы было и и чтоб у пользователя спрашивать как можно меньше.
    действительно, почему бы не сделать такие правила по-умолчанию? или есть действительно уважительные причины этого не делать?
    как часто нормальные программы лезут прописываться в ключи Winlogon, AppInit_DLLs? не помню таких.
    на счет Image File Execution просто не в курсе ..

    а вирусописатели пусть выдумывают новые способы, на каждый способ найдется своя защита
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Matias
    Регистрация
    02.01.2008
    Адрес
    Moscow
    Сообщений
    1,044
    Вес репутации
    380
    Цитата Сообщение от Юльча Посмотреть сообщение
    как часто нормальные программы лезут прописываться в AppInit_DLLs? не помню таких.
    Такие программы есть. Для примера назову Outpost.

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    А еще Касперский
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Matias
    Регистрация
    02.01.2008
    Адрес
    Moscow
    Сообщений
    1,044
    Вес репутации
    380
    Из антивирусов могу назвать еще AVG.

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    356
    ну сам-то касперский себя не заблокирует?
    а ставить outpost при установленном КИСе изврат..
    еще варианты?


    Добавлено через 2 минуты

    Цитата Сообщение от Matias Посмотреть сообщение
    Из антивирусов могу назвать еще AVG.
    я имела в виду программы которые можно ставить совместно с КИС..
    Последний раз редактировалось Юльча; 31.01.2010 в 22:07. Причина: Добавлено
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Matias
    Регистрация
    02.01.2008
    Адрес
    Moscow
    Сообщений
    1,044
    Вес репутации
    380
    Цитата Сообщение от Юльча Посмотреть сообщение

    еще варианты?
    http://www.bleepingcomputer.com/star...cui-16164.html

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Юльча
    Регистрация
    19.01.2009
    Адрес
    Ukraine
    Сообщений
    350
    Вес репутации
    356
    если я правильно поняла это фича к итегрированному интеловскому видеодрайверу..
    а как часто домохозяйки устанавливают драйвер на видео, да еще и после установки КИСы?

    речь шла о домохозяйках для которых проблема если КИС будет задавать слишком много вопросов при обращении к этим защищенным ключам
    Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Matias
    Регистрация
    02.01.2008
    Адрес
    Moscow
    Сообщений
    1,044
    Вес репутации
    380
    Вот еще программа которая прописывается в Winlogon - Superantispyware. Поскольку она довольно часто обновляется, то и алерты KIS будет выдавать регулярно. Следует особо отметить, что анитвирусы не могут полностью заменить антишпионские программы. SAS очень популярна на западных антималварных форумах. Я, правда не очень понимаю, зачем бесплатной версии SAS, которая не обеспечивает резидентной защиты, запускаться вместе с Windows. Но по умолчанию она так и делает.
    Последний раз редактировалось Matias; 01.02.2010 в 21:53.

  14. #13
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    107
    Ну уж в "Winlogon\Userinit" думаю, точно никакое нормальное ПО не лезет.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    bolshoy kot, украшатели винды (коим несть числа..), которые могут ставиться/удаляться по 10 раз в день
    The worst foe lies within the self...

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    175
    как часто нормальные программы лезут прописываться в AppInit_DLLs?
    Или всё остаётся, как есть (с перенаправлением на поиски ЛайвСиДов), или спрашивают пользователя, и не только в случаях с этим экзотическим ключом, но и при попытке прописаться в банальную автозагрузку; желательно - с подробным и внятным описанием возможных последствий в устрашающих тонах (но на популярном языке), и с удобным подставлением кнопки "Нет, я не хочу этого".

    П.С. Можно ещё внедрить (если нет - я просто не знаю) в таких случаях проверку на лету онлайн подозрительного файла с верификацией.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для senyak
    Регистрация
    05.03.2008
    Адрес
    Крым, Евпатория
    Сообщений
    1,224
    Вес репутации
    372
    Цитата Сообщение от Юльча Посмотреть сообщение
    если я правильно поняла это фича к итегрированному интеловскому видеодрайверу..
    а как часто домохозяйки устанавливают драйвер на видео, да еще и после установки КИСы?
    Меня интересует другое: как часто домохозяйки лазиют по таким сайтам, чтобы узнать об этой новости? Они же думаю, что КИС от всего защищает. Поэтому я за то, чтобы такие правила сделали по умолчанию. Если только в этом нет какой нибудь опасности, какая нибудь программа не получит туда доступ и винда ляжет
    Клуб любителей Symantec - http://symantecclub.ru/

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    175
    С технической точки зрения (для разработчиков) сделать такие правила - очень просто. Даже очень.
    Но вот для домохозяйки это будет не очень - вопросы от КИСа появятся какие-то...
    Если уж делать такие правила по дефолту, то вирусописатели это заметят и изменят ключи, значит нужно больше ключей добавлять (все какие только можно), а это приведет к еще большему количеству вопросов от антивируса.
    Поэтому антивирусы вынуждены балансировать около золотой середины - и безопасно что бы было и и чтоб у пользователя спрашивать как можно меньше.

    Такие программы есть. Для примера назову Outpost.

    Вот еще программа которая прописывается в Winlogon - Superantispyware. Поскольку она довольно часто обновляется, то и алерты KIS будет выдавать регулярно.

    Name: igfxcui
    This is a valid program that is required to run at startup.
    Можно ввести полу- или автоматические действия для определенных ключей + в сочетании с определенными программами. Ввести список или базу этих SAS и Outpost. Проверять онлайн при прописке в автозапуск и при таких неординарных действиях; есть же какая-то база в лайве. Что-то можно придумать?

    Иногда можно и спрашивать пользователя. Иногда можно блокировать - чат-мат и Скайп-майп будут запускаться не со стартом системы, а с ярлыка на раб. столе. У меня в офисе большинство так и делает, не подозревая о наличии автозапуска. Велика беда.

    Что-то из малвар последнего времени блокирует антивирусы не по именам, а по функциям или около того. Можно ли блокировать действия, точнее, совокупность действий, подобным образом, но в обратном направлении?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.10.2006
    Адрес
    Америка, Антигуа и Барбуда
    Сообщений
    1,213
    Вес репутации
    112
    Пару дней назад видел у знакомой как эта байда пыталась через winamp установиться когда она его запустила

Похожие темы

  1. Беcсигнатурная защита от смс-троянов с помощью KMS
    От apq в разделе Лечение и защита мобильных устройств
    Ответов: 0
    Последнее сообщение: 02.11.2010, 18:46
  2. Новая волна Trojan.Winlock пришлась на середину мая 2010
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 21.05.2010, 10:30
  3. Розовый баннер (Trojan-Ransom.Win32.PinkBlocker.ee, Trojan.Winlock.800)
    От bolshoy kot в разделе Описания вредоносных программ
    Ответов: 6
    Последнее сообщение: 16.02.2010, 19:16
  4. Ответов: 8
    Последнее сообщение: 09.02.2010, 13:52
  5. Trojan.Win32.Delf.aig -Trojan, which requires payment of a ransom through SMS.
    От MAPKOBKA^^ в разделе Custom descriptions of malware
    Ответов: 1
    Последнее сообщение: 05.12.2007, 00:55

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00608 seconds with 28 queries