Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Онлайн-интервью: троянские вымогатели

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838

    Онлайн-интервью: троянские вымогатели

    Уважаемые коллеги, участники и гости проекта!

    Антивирусный портал VirusInfo сообщает о новом онлайн-интервью.

    Наша очередная беседа будет посвящена троянским вымогателям, блокирующим функционал операционной системы и требующим от пользователя определенных выплат за разблокировку. На вопросы зарегистрированных участников VirusInfo будет отвечать вирусный аналитик "Лаборатории Касперского" Иван Татаринов.

    Формат интервью:
    1. каждый участник может задать не более 2 вопросов;
    2. вопросы принимаются с момента публикации настоящего анонса;
    3. ответы на предложенные участниками вопросы будут поступать с 15 по 19 марта включительно.


    Регистрация (для гостей)
    Задать вопрос (для уже зарегистрированных участников)

    Напоминаем, что респондент может проигнорировать вопрос, если сочтет его неподобающим, оскорбительным, бессодержательным и т.д. Будьте корректны и задавайте вопросы исключительно по теме анонсируемого интервью.

    Иван Татаринов: краткая автобиография



    Родился 27 июля 1978 года в г.Дубна Московской обл.

    В 2001 закончил физический факультет Московского Государственного Университета им. М.В.Ломоносова по специальности "Физика элементарных частиц".
    С 1999 занимался разработкой программ для анализа и обработки данных физических экспериментов (ОИЯИ, FermiLab, CERN).
    С 2005 занимался разработкой под мобильные устройства: Symbian, Windows Mobile, Blackberry.
    В 2008 года пришел в "Лаборатории Касперского" на должность сменного вирусного аналитика. Работал начальником смены сменных вирусных аналитиков. Сейчас - вирусный аналитик группы поддержки SLA. Занимается анализом вредоносных программ, разработкой лечащих утилит и сервисов.

    Не женат.
    Хобби: велосипед, волейбол, биатлон и снукер.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    1. Почему ЛК молчала о эпидемии локеров (т.е. эпидемией в рамках СНГ), я имею ввиду официальные итоги http://www.securelist.com/ru/analysi..._v_2009_godu#4
    ну и конечно http://www.kaspersky.ru/news?id=207733168
    я уже не говорю о некоторых высказываний сотрудников ЛК на других форумах (сам вступал с ними в дискуссии на данных форумах, например http://www.anti-malware.ru/forum/ind...howtopic=12057 ).
    Позиция конкурента ЛК, Веба была совсем противоположна и была видна невооруженным взглядом, для тех же новостных аналитиков по информационной безопасности.
    например действия Веба:
    1. http://www.drweb.com/unlocker - 750.000 заходов с 22 января.
    2. Фидбэк с http://www.drweb.com/unlocker - около 50 новых кодов разблокировки, присылаемых пользователями, в сутки.
    3. Общение с отделом "К" и другими государственными органами для локализации проблемы.
    4. Общение с агрегаторами коротких номеров и сотовыми операторами.
    подобных действий ЛК к сожалению не было видно.
    Если у Вас другое мнение, жду с нетерпением аргументируемого ответа на вопрос.
    http://club-symantec.ru/forum.php

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3731
    Здравствуйте! Как Вы думаете, почему АВ индустрия оказалась неготова к эпидемии "вымогателей"? Класс зловредов не нов, с момента первого их появления АВ продукты только улучшили свой функционал, сделали ещё больший шаг в сторону простоты для пользователя (принимая решения во многом самостоятельно), уровень защиты только поднялся. Но пользователей буквально захлестнула волна таких зловредов. Это было видно и здесь, на ВИ, и я видел (и слышал) что происходило (да и сейчас происходит) у нас в городе.
    Left home for a few days and look what happens...

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Lexxus
    Регистрация
    27.10.2006
    Адрес
    г. Химки
    Сообщений
    494
    Вес репутации
    437
    И снова я с любимыми вопросами

    1) Подскажите существует ли данная проблема (блокирующая функционал операционной системы и требующим от пользователя определенных выплат за разблокировку) на мобильных устройствах. (Например Symbian, или Windows Mobile, или же Android?)

    2) Существует ли опасность заражения данной заразой *nix-like систем, например Linux, или MacOS?


    Спасибо.
    Я против коррупции.

    http://strike.migraph.ru - CS 1.6 server (CentOS) (не работает, нет финансирования)




  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Вопрос будет простым:
    Почему мы вынуждены идти в "отступление"? Подбор кодов, реализованный
    у Ваших конкурентов по мне бессилие А/вируса, за который я заплатил деньги.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    23.01.2010
    Сообщений
    1
    Вес репутации
    52
    Сколько времени еще будет продолжаться эпидемия? Когда антивирусы смогут бороться с этой дрянью без участия пользователя? Каковы Ваши предположения\прогнозы?

  8. #7
    Junior Member Репутация
    Регистрация
    08.02.2010
    Сообщений
    1
    Вес репутации
    52
    1 подскажите реальный способ избавления от данного типа вирусов.
    2 где слабое место или что не так сделал пользователь при установке и настройке средств защиты.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Добрый день!

    Эпидемия смс-блокеров, а также семейства TDL (aka семейство Cosmu, семейство TDSS) показало неготовность антивирусов не только к защите компьютера, но и к процессам лечения и и восстановления работоспособности. Для удаления TDL3 потребовались новые утилиты, что указывает на отсутствие унифицированной процедуры внутри самого антивирусного продукта. Реальным инструментом против смс-блокеров оказались сервисы паролей и последующая ручная зачистка.

    Автор зловредов прямо издевался над Лабораторией Касперского (именование своих творений "eKAV", упоминание сотрудников и хелперов в отдельных "следах" от блокеров и т.д.), однако на фоне всего этого реакция Лаборатории Касперского выразилась в установлении детекта зловредов через пакеры (aka Packed.TDSS и семейство Krap, целый ряд пакованных блокеров), но опять же - единого универсального решения так разработано и не было. Авторы зловредов просто занимались перепаковкой своих творений, не заботясь об изменении ни кода, ни его обфусикацией. Поскольку перепаковка - дело несложное, в день можно было наблюдать до пяти "новых" зловредов с абсолютно идентичным функционалом (по сути - просто перепакованных).

    Этот поток привёл к фактической блокировке и завалом аналитиков. В связи с этим реакция в виде детекта на дроппер запаздывала, и многие успевали заразиться. После заражения работа антивирусного продукта нарушалась и даже появление детекта уже ситуацию не спасало.

    Сообщите пожалуйста следующее.

    1. Ведутся ли работы, которые позволят в будущем исключить подобные происшествия? В чём эти работы выражаются конкретно и каков срок их исполнения?
    2. Будет ли результат этих работ отражён во всех существующих поддерживаемых продуктах Лаборатории Касперского, или же коснётся только новых версий?

  10. #9
    Junior Member Репутация
    Регистрация
    30.01.2010
    Адрес
    Новополоцк, Беларусь
    Сообщений
    7
    Вес репутации
    52
    Здравствуйте. Хоте бы уложиться в 2 вопроса, но надеюсь на 1 дополнительный сверх нормы ответят. 1. Действительно ли против блокеров пока бессильна проактивная защита? 2. В интернете сейчас у ЛК и некоторых других производителей антивирусов есть сервисы по разблокированию windows и убиранию порно-баннеров, но не всегда находятся нужные коды. Туда поступает информация только присылаемая пользователями или есть какие-нибудь альтернативные пути добывания информации, например от операторов этих номеров? 3. Есть ли в планах создание обновляемой через интернет оффлайн базы данных или хотя бы большого списка кодов разблокировки для тех, у кого в результате действия блокера отключился интернет?

  11. #10
    Junior Member Репутация
    Регистрация
    25.11.2008
    Сообщений
    21
    Вес репутации
    56
    Вопросы, скорее, риторические:
    1. Чем, как Вы думаете, обусловлено нежелание карающих органов бороться с вымогателями?
    2. Чем, как Вы думаете, обусловлено нежелание сотовых операторов бороться с вымогателями?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Когда появился первый зверёк с функционалом блокировки системы?

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2009
    Сообщений
    135
    Вес репутации
    79
    Добрый день!
    1)Будет офлайн форма для разблокировки троянов таких(есть,планируется)?
    2)В 2011 версии будет по умолчанию блокироваться изменение ключей реестра(что сейчас в ручную надо делать)?

  14. #13
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    3
    Вес репутации
    52
    Здравствуйте!
    Уважаемый Иван, очень хотелось бы получить от Вас комментарий по такой теме.
    Часть СМС-блокеров (впрочем, не только блокеры) прикрыта руткитами. Степень интеграции руткитов в систему различна, соответственно и время на их деактивацию различно. Как показывает практика - на сегодня в антивирусных утилитах общего назначения нет эффективных средств борьбы с ними. Таким образом, получается, что вирусописатели получили в свои руки очень мощный инструмент по противодействию антивирусам. Похоже это только начало, дальше это направление будет развиваться. Отсюда собственно вопрос к Вам - планируют ли в ЛК ввод в линейку своих продуктов эффективных средств борьбы с ними?!

  15. #14
    Junior Member Репутация
    Регистрация
    13.03.2010
    Сообщений
    1
    Вес репутации
    52
    Здравствуйте. Сталкнулся продуктом описанным выше. Отключил данный банер при помощи програмки регорганайзер (посмотрел какой новый процесс прописался в автозагрузке и отключил его).
    Скажите пожалуйста почему файл сданным банером не распознается Касперским как вирус?

  16. #15
    Junior Member Репутация
    Регистрация
    21.03.2009
    Сообщений
    543
    Вес репутации
    58
    Здравствуйте!
    У меня ,возможно, наивный вопрос. Несколько раз сталкивался с порнолокерами.
    Проблема в том, что программы вроде запускаются и действуют, но к их интерфейсу не подобраться. Возможно ли появление "окна скорой помощи", т.е. за счет возможностей АВ открыть независимое, незаблокированное окно? Ведь АВ достаточно глубоко внедряется в систему. Просто выполнение каких-либо достаточно простых операций. Что-то типа восстановление системы в AVZ...

  17. #16
    Junior Member Репутация
    Регистрация
    05.01.2010
    Сообщений
    1
    Вес репутации
    52
    Вопросы то примерно одинаковые, тема одна, это все понятно, а когда будут ответы?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от f1-forum Посмотреть сообщение
    Вопросы то примерно одинаковые, тема одна, это все понятно, а когда будут ответы?
    С 15 марта по календарю.
    http://club-symantec.ru/forum.php

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.03.2010
    Сообщений
    5
    Вес репутации
    97
    Добрый день! Спасибо всем участникам форума за интересные вопросы. Поехали!

    Добавлено через 7 минут

    Цитата Сообщение от SDA Посмотреть сообщение
    1. Почему ЛК молчала о эпидемии локеров (т.е. эпидемией в рамках СНГ), я имею ввиду официальные итоги http://www.securelist.com/ru/analysi..._v_2009_godu#4
    ну и конечно http://www.kaspersky.ru/news?id=207733168
    я уже не говорю о некоторых высказываний сотрудников ЛК на других форумах (сам вступал с ними в дискуссии на данных форумах, например http://www.anti-malware.ru/forum/ind...howtopic=12057 ).
    Позиция конкурента ЛК, Веба была совсем противоположна и была видна невооруженным взглядом, для тех же новостных аналитиков по информационной безопасности.
    например действия Веба:
    1. http://www.drweb.com/unlocker - 750.000 заходов с 22 января.
    2. Фидбэк с http://www.drweb.com/unlocker - около 50 новых кодов разблокировки, присылаемых пользователями, в сутки.
    3. Общение с отделом "К" и другими государственными органами для локализации проблемы.
    4. Общение с агрегаторами коротких номеров и сотовыми операторами.
    подобных действий ЛК к сожалению не было видно.
    Если у Вас другое мнение, жду с нетерпением аргументируемого ответа на вопрос.
    Хочу сразу заметить, что в прошлом году наблюдались гораздо более опасные эпидемии, чем Trojan-Ransom.Win32.SMSer. Тем не менее, мы разработали бесплатную утилиту “Деблокер”, подбирающую коды разблокировки, и постоянно консультировали пользователей о способах решения проблемы. Просто не использовали эту эпидемию, как единственную и неповторимую возможность повысить нашу цитируемость в СМИ.
    А вообще же, “Наша служба и опасна и трудна, и на первый взгляд как будто не видна…”. Вот основные шаги, к которым прибегнула «Лаборатория Касперского» в борьбе с блокерами:
    1.В феврале этого года мы отметили миллионное (!) обращение к нашему бесплатному сервису Деблокер (http://support.kaspersky.ru/viruses/deblocker)
    2.Постоянно проводятся работы с правоохранительными органами
    3.Работаем с сотовыми операторами (первым был Киевстар – крупнейший оператор Украины, собирающийся блокировать нечистоплотные короткие номера).
    4.Касательно фидбэка от пользователей – у нас несколько иной подход при организации сервиса, чем у Др.Веба. Вместо пар “текст смс” – “код деактивации” используются генераторы текстов и кодов. В итоге “50 новых кодов разблокировкимы захватываем одним генератором.

    Добавлено через 1 минуту

    Цитата Сообщение от ALEX(XX) Посмотреть сообщение
    Здравствуйте! Как Вы думаете, почему АВ индустрия оказалась неготова к эпидемии "вымогателей"? Класс зловредов не нов, с момента первого их появления АВ продукты только улучшили свой функционал, сделали ещё больший шаг в сторону простоты для пользователя (принимая решения во многом самостоятельно), уровень защиты только поднялся. Но пользователей буквально захлестнула волна таких зловредов. Это было видно и здесь, на ВИ, и я видел (и слышал) что происходило (да и сейчас происходит) у нас в городе.
    Иногда действительно можно предсказать появление того или иного класса зловредов и подготовиться к нему (например, так было в случае с Trojan-Ransom.Win32.ImBlocker), иногда же нельзя. Однако с Winlock проблема по большей части заключается в том, что пользователь устанавливал блокеры самостоятельно. К примеру, скачивает файл видеокодеков, аудиофайлов и т.п., под видом которых скрывается не детектирующийся exe-файл. Пользователь запускает файл и получает предупреждение об опасности от системы защиты. Но он настолько уверен, что устанавливает проверенный софт, что просто игнорирует предупреждение антивируса. Есть также проблема с наплывом «псевдолегальных» блокеров: скачиваемые приложения имеют лицензионные соглашения, в которых описываются возможности блокировки. Однако мало кто из пользователей читает соглашения, и почти все добровольно соглашаются на установку зловредов. Некоторые же блокеры показывают лицензионное соглашение лишь на пару секунд, после чего автоматически устанавливаются.
    Как только блокеры стали актуальной угрозой, в модули обнаружения и лечения были внесены необходимые изменения.

    Добавлено через 2 минуты

    Цитата Сообщение от Lexxus Посмотреть сообщение
    И снова я с любимыми вопросами

    1) Подскажите существует ли данная проблема (блокирующая функционал операционной системы и требующим от пользователя определенных выплат за разблокировку) на мобильных устройствах. (Например Symbian, или Windows Mobile, или же Android?)
    В настоящий момент, программ, блокирующих мобильные устройства и просящие за разблокировку денег (через те же СМС), не обнаружено (хотя, конечно, в будущем могут появиться концепты).
    На мой взгляд, для мобильных устройств СМС-блокеры не актуальны и актуальными, скорее всего, никогда не будут, потому что:
    1)Зловреду гораздо проще потихоньку снимать деньги с телефона, скрыто посылая на платные номера СМС (что, кстати, многие мобильные зловреды и делают), нежели “светить себя” и требовать оплаты от пользователя.
    2)Мало у кого на телефонах хранится важная и невосполнимая информация, поэтому всегда можно сделать “hard reset”, что займет от силы пару минут, а телефон после этого и без любимых программ останется телефоном
    Цитата Сообщение от Lexxus Посмотреть сообщение
    2) Существует ли опасность заражения данной заразой *nix-like систем, например Linux, или MacOS?


    Спасибо.
    Под Linux и MacOS по большей части сидит более аккуратная и продвинутая публика, которая своими руками может зловред найти и удалить из системы или просто не допустить его установки. Кроме того, не стоит забывать, что эти системы на порядок менее распространены, чем Windows, а блокерописатели берут именно размахом. Поэтому появление блокеров под Linux и MacOS маловероятно, не говоря уже про эпидемии.

    Добавлено через 5 минут

    Цитата Сообщение от PavelA Посмотреть сообщение
    Вопрос будет простым:
    Почему мы вынуждены идти в "отступление"? Подбор кодов, реализованный
    у Ваших конкурентов по мне бессилие А/вируса, за который я заплатил деньги.
    Мы, между прочим, тоже коды подбираем/взламываем [скромный смайлик]: http://support.kaspersky.ru/viruses/deblocker
    Подбор кода – это лишь экстренная вспомогательная служба. Одновременно с получением кодов деактивации блокеров идет модификации проактивной защиты, эвристического анализа и прочих модулей основного продукта, создаются новые рекорды детектирования. Т.е. мы идем, дыша в затылок блокерописателям, а нередко и опережаем их.
    Приведу один пример: осенью года прошла волна Trojan-Ransom.Win32.ImBlocker, которую наши пользователи не заметили – почти все сэмплы ловились проактивной защитой и эвристикой.

    Добавлено через 2 минуты

    Цитата Сообщение от parovoz Посмотреть сообщение
    Сколько времени еще будет продолжаться эпидемия?
    Волну программ-вымогателей можно свести на нет, просто дружно перестав отправлять СМСки.
    Также можно выделить несколько “если”, которые положительным образом скажутся на ситуации:
    1)… если пользователи перестанут выполнять требования вымогателей
    2)…если мобильные операторы ужесточат процедуру получения/регистрации короткого номера (сделают ее хотя бы менее анонимной), ускорят решение вопроса об отключении короткого номера
    3)… если пользователи станут более аккуратными, внимательными и ответственными в сети
    Скорее всего, текущее состояние сохранится полгода-год. Антивирусные компании будут бороться с вымогателями все более и более успешно, но блокерописатели будут кормиться за счет тех, кто антивирус не использует или любит его отключать.
    Если же сотовые операторы начнут не только сообщать пользователям, сколько стоит СМСка, но и будут активно противодействовать мошенничеству на коротких номерах (ужесточат регистрацию, устроят перерегистрацию, начтут оперативно блокировать “черные” номера), то эпидемия сойдет на нет за месяц.

    Цитата Сообщение от parovoz Посмотреть сообщение
    Когда антивирусы смогут бороться с этой дрянью без участия пользователя?
    Совсем без участия пользователей бороться вряд ли получится – искусственный интеллект пока не придуман и в антивирусные продукты не встроен L. Но уже сейчас проактивная защита и эвристика обнаруживают большую часть блокеров, и этот процент будет только расти.

    Цитата Сообщение от parovoz Посмотреть сообщение
    Каковы Ваши предположения\прогнозы?
    Сейчас можно наблюдать некоторое смещение с блокирования систем на предоставление фиктивных online сервисов (например, разные тесты, сервисы типа “раздень училку”, “сканеры одежды для КПК” и т.п.).
    Если сотовые операторы активно включатся в борьбу с блокерами, то их количество резко сократится, и можно ожидать смены формы оплаты с СМС на WebMoney и т.п. сервисы. А поскольку такие формы оплаты более распространены за рубежом, то и блокеры могут начать мигрировать на запад.

    Добавлено через 2 минуты

    Цитата Сообщение от tolianmd Посмотреть сообщение
    1 подскажите реальный способ избавления от данного типа вирусов.
    1.Если все-таки подхватили блокера – добро пожаловать на http://support.kaspersky.ru/viruses/deblocker
    2.Обновите базы, просканируйте систему с максимальными настройками антивируса (глубокий эвристический анализ и т.д. и т.п.)
    3.Обратитесь в нашу службу поддержки
    Все остальные способы индивидуальны и зависят от семейства и модификации зловредов. Иногда достаточно отключить автозапуск для блокера, перегрузиться и вручную удалить файл, а иногда надо написать программу в несколько тысяч строчек кода или хитрый .reg файл.

    Цитата Сообщение от tolianmd Посмотреть сообщение
    2 где слабое место или что не так сделал пользователь при установке и настройке средств защиты.
    Настоятельно рекомендую держать включенными проактивную защиту и эвристический анализ (читай – средства защиты типа Internet Security). Кроме того, новый или подозрительный файл перед запуском можно проверить с максимальными настройками антивируса
    Первый запуск приложения можно/нужно осуществить в “песочнице”, которая обеспечивает создание защищенной среды для выполнения потенциально опасных приложений (данная возможность есть в KAV/KIS2010). Половину всех блокеров уже можно было бы отсеять только благодаря данной функции.
    Ну и, конечно, обязательно включите здравый смысл при скачивании и запуске приложений J. Если на сайте pornomegaporno.com вам предлагают установить кодек для дальнейшего просмотра, и антивирус усиленно намекает на то, что “хозяин, какое-то странное поведение у этой программы, может да ну ее нафиг?”, то я бы советовал прислушаться к советам умного антивируса.

    Добавлено через 2 минуты

    Цитата Сообщение от gjf Посмотреть сообщение
    Добрый день!

    Эпидемия смс-блокеров, а также семейства TDL (aka семейство Cosmu, семейство TDSS) показало неготовность антивирусов не только к защите компьютера, но и к процессам лечения и и восстановления работоспособности. Для удаления TDL3 потребовались новые утилиты, что указывает на отсутствие унифицированной процедуры внутри самого антивирусного продукта. Реальным инструментом против смс-блокеров оказались сервисы паролей и последующая ручная зачистка.

    Автор зловредов прямо издевался над Лабораторией Касперского (именование своих творений "eKAV", упоминание сотрудников и хелперов в отдельных "следах" от блокеров и т.д.), однако на фоне всего этого реакция Лаборатории Касперского выразилась в установлении детекта зловредов через пакеры (aka Packed.TDSS и семейство Krap, целый ряд пакованных блокеров), но опять же - единого универсального решения так разработано и не было. Авторы зловредов просто занимались перепаковкой своих творений, не заботясь об изменении ни кода, ни его обфусикацией. Поскольку перепаковка - дело несложное, в день можно было наблюдать до пяти "новых" зловредов с абсолютно идентичным функционалом (по сути - просто перепакованных).

    Этот поток привёл к фактической блокировке и завалом аналитиков. В связи с этим реакция в виде детекта на дроппер запаздывала, и многие успевали заразиться. После заражения работа антивирусного продукта нарушалась и даже появление детекта уже ситуацию не спасало.

    Сообщите пожалуйста следующее.

    1. Ведутся ли работы, которые позволят в будущем исключить подобные происшествия? В чём эти работы выражаются конкретно и каков срок их исполнения?
    Цитата Сообщение от gjf Посмотреть сообщение
    2. Будет ли результат этих работ отражён во всех существующих поддерживаемых продуктах Лаборатории Касперского, или же коснётся только новых версий?
    Улучшенное детектирование работает уже в существующих продуктах (KAV/KIS2010)

    Добавлено через 4 минуты

    Цитата Сообщение от av1981 Посмотреть сообщение
    Здравствуйте. Хоте бы уложиться в 2 вопроса, но надеюсь на 1 дополнительный сверх нормы ответят. 1. Действительно ли против блокеров пока бессильна проактивная защита?
    Блокеры ничем не отличаются от остальных зловредных программ, и их замечательно ловит как проактивная защита (+BSS эвристика, которая появилась в KAV/KIS2010), так и обычный эвристический анализ. Кроме того, не стоит забывать и про “песочницу”, которая предоставляет возможность запустить подозрительный файл в виртуальной среде. Половину блокеров можно отсеять уже на этом этапе.
    Цитата Сообщение от av1981 Посмотреть сообщение
    2. В интернете сейчас у ЛК и некоторых других производителей антивирусов есть сервисы по разблокированию windows и убиранию порно-баннеров, но не всегда находятся нужные коды. Туда поступает информация только присылаемая пользователями или есть какие-нибудь альтернативные пути добывания информации, например от операторов этих номеров?
    Насчет того, что не всегда находятся коды деактивации:
    Например, произошло мелкое изменение блокера: скажем, на номер xxxx вместо word#1 блокер требует прислать text#2. Как результат, пользователи не могут получить нужный код. Однако если вводить на странице нашего сервиса только номер, на который простя отправить СМС, есть возможность получить все коды для выбранного номера– очень часто один из них является требуемым кодом деактивации.
    Конечно, появляются и новые блокеры, новые алгоритмы генерации кодов – с этим приходится разбираться уже вручную. Если кода нет сегодня, он, скорее всего, появится на сервисе завтра.
    Цитата Сообщение от av1981 Посмотреть сообщение
    3. Есть ли в планах создание обновляемой через интернет оффлайн базы данных или хотя бы большого списка кодов разблокировки для тех, у кого в результате действия блокера отключился интернет?
    К сожалению, от пользователей мы получаем не так много сэмплов, как этого хотелось бы: к примеру, (блокер подхватили 100 человек, а нашли (сами или с помощью нашей службы поддержки) и выслали сэмпл лишь несколько человек.
    Много сэмплов отлавливает наша автоматика (хонипоты, липучки и т.д. и т.п.), много приходит по партнерским программам (обмен сэмплами между антивирусными компаниями).
    От сотовых операторов сэмплы нам не приходят (они же их не распространяют). Еще раз повторюсь – наиболее интересны и ценны файлы, получаемые от пользователей.

    Добавлено через 1 минуту

    Цитата Сообщение от brag Посмотреть сообщение
    Вопросы, скорее, риторические:
    1. Чем, как Вы думаете, обусловлено нежелание карающих органов бороться с вымогателями?
    У карающих органов желания бороться с вымогателями хоть отбавляй, но все упирается в техническую сторону вопроса - очень сложно пройти по цепочке от сэмпла и короткого номера до блокерописателя. Тем не менее, такие мероприятия ведутся, и в прошлом году было поймано несколько человек/групп и возбужден ряд уголовных дел.

    Цитата Сообщение от brag Посмотреть сообщение
    2. Чем, как Вы думаете, обусловлено нежелание сотовых операторов бороться с вымогателями?
    “Всему виною деньги, деньги, - Все зло от них, мне б век их не видать! (м/ф ‘Остров Сокровищ’)”. Сотовые операторы получают 10-90% от стоимости СМС.
    Конечно, операторы стали предоставлять сервисы по информированию абонентов о реальной стоимости СМС, но… это почти так же как продавать огнестрельное оружие всем, не спрашивая ни справок, ни документов, а потом предупреждать жителей близлежащих районов – мол в вашем районе орудует 3 маньяка с помповыми ружьями и у них осталось еще 30 патронов.
    Например, через неделю после того, как операторы взялись за борьбу с вымогателями, появился Trojan-Ransom.Win32.DigiPog, требующий прислать СМС на “волшебный” номер 9999.

    Добавлено через 38 секунд

    Цитата Сообщение от anton_dr Посмотреть сообщение
    Когда появился первый зверёк с функционалом блокировки системы?
    Первая программа-вымогатель появилась 20 лет назад, в декабре 1989 году. Пользователи получили по почте дискетки с программой, предоставляющей информацию о СПИДе. После установки система приводилась в неработоспособное состояние, и за ее восстановление с пользователей требовали денег.
    Первый SMS-блокер был зарегистрирован 25 октября 2007. Вымогатель инсценировал сбой системы (синий экран смерти). Практически полностью блокировал управление системой.

    Добавлено через 1 минуту

    Цитата Сообщение от Alexandr8540 Посмотреть сообщение
    Добрый день!
    1)Будет офлайн форма для разблокировки троянов таких(есть,планируется)?
    Сделать такую программу несложно. Речь, конечно, не идет о html форме (многие алгоритмы в нее будет затруднительно вписать), но в виде flash или исполнимого файла – задача несложная. Вопрос только в том – насколько это будет удобно пользователям и насколько данная утилита будет ими востребована. Ведь алгоритмы мы пополняем и модифицируем чуть ли не ежечасно. Значит, пользователь должен каждый час скачивать данную утилиту. А если вдруг его машина окажется заблокированной, то как же он ее (утилиту), запустит?J
    Есть другой вариант - наш сервис имеет и мобильную форму http://support.kaspersky.ru/sms, на которую Вы можете зайти со своего телефона.

    Цитата Сообщение от Alexandr8540 Посмотреть сообщение
    2)В 2011 версии будет по умолчанию блокироваться изменение ключей реестра(что сейчас в ручную надо делать)?
    Да, в KAV/KIS2011 планируется по умолчанию блокировать изменение ключей реестра.

    Добавлено через 2 минуты

    Цитата Сообщение от Consull Посмотреть сообщение
    Здравствуйте!
    Уважаемый Иван, очень хотелось бы получить от Вас комментарий по такой теме.
    Часть СМС-блокеров (впрочем, не только блокеры) прикрыта руткитами. Степень интеграции руткитов в систему различна, соответственно и время на их деактивацию различно. Как показывает практика - на сегодня в антивирусных утилитах общего назначения нет эффективных средств борьбы с ними. Таким образом, получается, что вирусописатели получили в свои руки очень мощный инструмент по противодействию антивирусам. Похоже это только начало, дальше это направление будет развиваться. Отсюда собственно вопрос к Вам - планируют ли в ЛК ввод в линейку своих продуктов эффективных средств борьбы с ними?!

    К сожалению иногда для лечения того или иного зловреда приходится создавать специальные утилиты. Это связано с тем, что “утилиты общего назначения” просто не могут содержать все методы борьбы и лечения (требования на размеры, скорость работы и т.д. и т.п.).
    Тем не менее работы в этом направлении (предоставление антивирусным продуктам больших возможностей) ведутся. В каждой новой версии продукта появляется новый, более мощный и более универсальные функционал.
    Касательно руткитов и борьбы с ними – над данной задачей работает целый отдел. И буквально в феврале нами был запатентован аппаратный антивирус - отдельное устройство, со своим процессором, памятью, программным обеспечением и т.п., никак не связанное с памятью и процессором ПК. Он находится в разрыве между системой и диском, что дает возможность или сканировать поток "на лету", или пометить изменные файлы и проверить их в фоном режиме. Используя аппаратные компоненты, нейтрализовать руткиты значительно проще, чем традиционными программными средствами.

    Добавлено через 37 секунд

    Цитата Сообщение от Andy410 Посмотреть сообщение
    Здравствуйте. Сталкнулся продуктом описанным выше. Отключил данный банер при помощи програмки регорганайзер (посмотрел какой новый процесс прописался в автозагрузке и отключил его).
    Скажите пожалуйста почему файл сданным банером не распознается Касперским как вирус?
    В первую очередь, если Вы нашли зловредный файл, который не обнаружился нашим продуктом, – вышлите его на [email protected] (поставьте в названии письма какую-нибудь говорящую пометку – например “== блокер ==”).
    Теперь о причинах, по которым блокер не распознался:
    1)На вашем ПК стоит низкий уровень детектирования, отключена проактивная защита, эвристический анализ и т.п. – этого может оказаться достаточным, чтобы пропустить зловредную программу.
    2)Блокерописатели сбили наш детект
    3)Появилось новое семейство блокеров, не берущихся ни проактивной защитой, ни эвристическим анализом.
    Еще раз повторю – очень хочется иметь от пользователей фитбек, часто помогает даже скриншот с экрана.

    Добавлено через 44 секунды

    Цитата Сообщение от alivan Посмотреть сообщение
    Здравствуйте!
    У меня ,возможно, наивный вопрос. Несколько раз сталкивался с порнолокерами.
    Проблема в том, что программы вроде запускаются и действуют, но к их интерфейсу не подобраться. Возможно ли появление "окна скорой помощи", т.е. за счет возможностей АВ открыть независимое, незаблокированное окно? Ведь АВ достаточно глубоко внедряется в систему. Просто выполнение каких-либо достаточно простых операций. Что-то типа восстановление системы в AVZ...
    Действительно, такие возможности для антивирусных продуктов планируются и должны появиться в KAV/KIS2011. Так, например, заблокировать систему станет гораздо сложнее, а разблокировать намного проще.
    Но даже в текущих продуктах есть мощные системы, чтобы вообще не допустить запуска блокера – “песочница”, проактивная защита (BSS эвристика как один из компонентов проактивки), глубокий эвристический анализ. Почти все, что приходит сейчас к нам, ловится антивирусом (если не на уровне detect, то на уровне warning).
    Последний раз редактировалось Татаринов Иван; 15.03.2010 в 20:26. Причина: Добавлено

  20. #19
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2009
    Сообщений
    135
    Вес репутации
    79
    Огромное спасибо за ответы!

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Татаринов Иван Посмотреть сообщение
    Приведу один пример: осенью года прошла волна Trojan-Ransom.Win32.ImBlocker, которую наши пользователи не заметили – почти все сэмплы ловились проактивной защитой и эвристикой.
    Вопрос был о конкретном малваре. Не надо отсылать к другому.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

Страница 1 из 2 12 Последняя

Похожие темы

  1. трояны!!!! руткиты!!!! троянские dll
    От Dron23 в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 06.09.2011, 09:37
  2. Dr.Web обнаружил троянские программы
    От vd7 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 18.02.2011, 22:29
  3. Keylogger-ы и троянские DLL задолбали!
    От Combat в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 12.11.2008, 12:37
  4. Онлайн-интервью И. Данилова.
    От borka в разделе Другие новости
    Ответов: 50
    Последнее сообщение: 04.08.2008, 02:35

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00654 seconds with 16 queries