PDA

Просмотр полной версии : Хороший антивирус против блокеров-вымогателей



i++
06.07.2010, 10:31
Недавно подхватил вирус розовый баннер при входе в windows. Стояли outpost firewall и Eset Nod. Никто не спас. Говорят, что касперский тоже не помогает.
Неподскажите хороший антивирус против таких блоков.

Vadim_SVN
06.07.2010, 11:28
Моск + прямые руки :) и остальной софт на подхвате

rav
06.07.2010, 13:49
Неподскажите хороший антивирус против таких блоков.
Ни один антивирус не помогает предотвратить инфицирование. Пользуйтесь специализированными инструментами (HIPS).

antanta
06.07.2010, 21:26
i++, "Говорят, в Москве кур доЯт", поговаривола моя бабуля.
rav, То есть в KIS HIPS отсутствует кагбэ? Опа, зато он есть в неких продуктах, на которые прямо указывает таки ваша подпись! Спасибо. Ща скачаю ваше изделие.

rav
06.07.2010, 21:48
rav, То есть в KIS HIPS отсутствует кагбэ? Опа, зато он есть в неких продуктах, на которые прямо указывает таки ваша подпись! Спасибо. Ща скачаю ваше изделие.
KIS- это не антивирус. KAV- это антивирус. KIS- класса Internet Security и HIPS там есть. Но блокираторы его обходят на раз.

antanta
06.07.2010, 21:59
rav, Ловите результат работы маленького vbs-скрипта. Зацените время, которое мне понадобилось на то, чтобы прибить этот хипс, включая установку, пару перезагрузок... http://pixs.ru/showimage/dwsocoolJP_5124044_799306.jpg
Пусть послужит утешением тот факт, что ESET Smart Secur прибивается точно тем же способом.

Добавлено через 55 секунд

Почему-то не грузится изображение

Добавлено через 1 минуту

http://slil.ru/29437457

rav
06.07.2010, 23:21
Скрипт, конечно же, запускался из доверенной зоны песочницы?

antanta
06.07.2010, 23:31
rav, Ага, конечно... Только объясните мне, как это делается?
Будем дальше делать здесь рекламу, или опубликовать способ выноса? Как к последнему отнесется администрация? Да и кпервому, кстати...
Не вводите пользователей в заблуждение. Не все владеют терминологией, да и та не вполне устоялась. Поэтому "Антивирус" и "класса Internet Security" - не для всех различимые понятия. И играть на непонимании юзеров, жонглирование понятиями - не совсем честно. В этом причина моей теперешней позиции.
Впрочем, я готов к диалогу ;) Тут, некоторым образом, задето ... Ну, Вы понИли.

amcenter
07.07.2010, 00:36
antanta, неужели Вы сумели завалить кроме Касперского и Нода еще и Дефэнсвол?!

rav
07.07.2010, 00:43
1. Это делается по умолчанию. Всё, что не находится в недоверенной зоне, считается доверенным. Учите матчасть. Песочницы на рынке вот уже лет цесть минимум, а вы даже элементарного представления о них не имеете. Очень стыдно.

2. Способ выноса- пожалуйста, публикуйте. Более чем уверен, что в недовереной зоне песочницы он не работает. Ну вот совсем никак.

3. Это вы жонглируетеп понятиями и вводите в заблуждение. Терминология уже давно устоялась, лет пять как. Продукты класса IS- это интегрированный файервол+антивирус+(антиспам+родительский контроль+HIPS). То, что в скобках, факультатив. Есть ещё средства класса Total Security, они включают в себя ещё и средства резервного копирования онлайн. А если кто-то терминологией не владеет, это значит, что нужно обучать, а не потакать. Ведь мы все здесь собрались в том числе и для этого, не так ли?

Добавлено через 47 секунд


antanta, неужели Вы сумели завалить кроме Касперского и Нода еще и Дефэнсвол?!
Да нет, конечно. Просто он не понял, как моя программа работает.

antanta
07.07.2010, 02:43
rav, Вот я и подумал, что на неофита не похожи, лицо явно заинтересованное.

SDA
07.07.2010, 09:33
В автоматическом режиме КИС локеры пропускает, нужна специальная настройка -
Защита от Trojan-Ransom (WinLock) средством Контроль программ в Kaspersky Internet Security 2010:
http://support.kaspersky.ru/faq/?qid=208637578

Vadim_SVN
07.07.2010, 10:50
В автоматическом режиме КИС локеры пропускает, нужна специальная настройка -
Защита от Trojan-Ransom (WinLock) средством Контроль программ в Kaspersky Internet Security 2010Какой процент пользователей, купивших сей продукт и установившие его по дефолту, будут производить такую настройку? ;)

SDA
07.07.2010, 11:41
Какой процент пользователей, купивших сей продукт и установившие его по дефолту, будут производить такую настройку? ;)
Ну так любимая ЛК "домохозяйка", точно не будет :)

antanta
07.07.2010, 18:16
Господа, признаюсь, погорячился я с DefenseWall HIPS. Пол-дня возился, пока научился прибивать. То есть, запускаю некий исполняемый файл, как "недоверенное", в итоге имеем после первой же перезагрузки нерабочий GUI, после двух перезагрузок - нерабочий дров. Потом допилю, сделаю автоматический ресет. Спасибо разработчикам, было интересно.

rav
07.07.2010, 22:25
Вот это уже интереснее. Хотелось бы взглянуть на сей код. Лучше в личку, но можно и в паблик.

И не разработчикам, а разработчику. То есть мне.

antanta
07.07.2010, 22:56
Некогда, ушел "учить матчасть", как Вы советовали. :D Шутка, конечно.
Пришлось применять "тяжелую артиллерию", "секретное оружия русских". Испытал сегодня впервые, все руки не доходили, да уж больно Вы меня того... стимулировали. На самом деле мой способ не совсем честный. Вы же не знаете про мой способ установки программ в автозапуск. Хотя, HIPS тоже ведет не совсем честную игру. Если запускаю vbs скрипт как "недоверенный", не удается, даже в пределах раздела, в безобидную папку скопировать файл. Жесть.
Если серьезно, испытанный способ атаки годится и для других систем защиты. Этого уже достаточно, чтобы не распространять такую инфу.
Шутки ради подсунул эту бяку KIS (безобидный вариант). Но, уже порадовало что-то вроде "Программа не была запущена, следует ли запускать программу в дальнейшем?" Хотя, необходимые действия в системе уже произведены (этой самой программой). Я в шоке, буду разбираться.

Добавлено через 8 минут

rav, Кстати, недоверенному скрипту нельзя копировать файлы никуда, а недоверенному бинарнику - можно, даже в системные папки. Это так задумано? Или я где-то ошибся?

SDA
07.07.2010, 23:01
antanta, проверь КИС со специальными настройками, если не затруднит. Было бы очень интересно.

rav
07.07.2010, 23:25
Ну, если вы хотите сделать мир немного более безопасным, то тогда пришлите мне, пожалуйста, техническую информацию по обходу, равно как и остальным вендорам.

Добавлено через 9 минут


Кстати, недоверенному скрипту нельзя копировать файлы никуда, а недоверенному бинарнику - можно, даже в системные папки.
Там есть разница в активности. VBS работает через WMI.

antanta
07.07.2010, 23:38
SDA, PM читаете? Какие настройки проверить?
rav, Я хотел только сказать, что приложение, копирующее себя или другой файл в системную папку, было написано угрюмо, без всяких выкрутасов. И ему, не взирая на запуск через попап-меню "недоверенные" была позволена такая операция. Я и пытаюсь понять, не выдаю ли я где-то "желаемое" за действительное. Хотя, проверял неоднократно, работает кагбэ. Но, все мы люди, можем и ошибаться.

rav
07.07.2010, 23:40
PM читаю.
Да, создать новый файл в system32 можно, это не является угрозой безопасности. DefenseWall просто пометит её как недоверенную и пойдёт дальше работать.

antanta
08.07.2010, 09:24
Отправил матеrиальчик Зайцеву Олегу. "Там разберутся".

SDA
08.07.2010, 09:24
SDA, PM читаете? Какие настройки проверить?
rav, Я хотел только сказать, что приложение, копирующее себя или другой файл в системную папку, было написано угрюмо, без всяких выкрутасов. И ему, не взирая на запуск через попап-меню "недоверенные" была позволена такая операция. Я и пытаюсь понять, не выдаю ли я где-то "желаемое" за действительное. Хотя, проверял неоднократно, работает кагбэ. Но, все мы люди, можем и ошибаться.
Я прочитал, имел ввиду эти настройки http://support.kaspersky.ru/faq/?qid=208637578

antanta
08.07.2010, 17:05
SDA, Чтобы "мир стал чуточку безопасней", нужно запретить копирование файлов в system32. Поковырял кис, поставил запрет на создание и запись для слабо-и силноограниченных, что-то не работает. VBS- скрипт упорно копирует туда файлы. Потом разберусь, но это мои проблемы. Наверное, торможу.
Будет запрет - не будет дырки. От Зайцева Олега пока ответа не получал. Вообще-то дыра закрывается проще, правкой пары ключей в реестре.

Добавлено через 5 часов 10 минут

rav, Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить. Дурка работает из-за странной работы парсера. При обработки путей вида %SystemRoot%\system32\svchost -k rpcss (заметьте, без расширения. Это в XP службы Browser и RpcSs), сперва ищется файл svchost без расширения, а потом уже *.exe.
Алгоритм атаки прост. Копируем файл, он исполняется с правами службы, исполняется его код, потом правит путь запуска на нормальный (или удаляет себя). Фсе.

Зайцев Олег
08.07.2010, 17:32
rav, Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить.
... равно как например DLL системой ищется начиная с текущей папки программы (чем пользуются многие зловреды, положив скажем в папку браузера или иного ПО свою DLL с именем как у системной и т.п.
Но это уход от темы - никакой HIPS никого ни от чего не защитит, ибо:
1. HIPS должен ставиться на эталонно чистую систему.
2. пользователь должен иметь действующий сертификат сапера и электрика одновременно (так как он должен принимать решение, доверять программе X или не доверять, а ошибаться как в случае двух означенных профессий ему нельзя - первая же ошибка классификации - и кирдык).
Поэтому HIPS в составе антивируса (как в том-же KIS) - это дополнение к антивиурсному монитору, которое повышает надежность антивирусной защиты ПК на некоторое количество процентов.
В остальных случаях "пробить" его тривиально - достаточно замаскировать зверя под что угодно доверенное и подсунуть пользователю с указанием, что запускать как доверенное - 90% запустят, это же банальная социальная инженерия. Был например случай - заражение одной сетки трояном, ворующим пароли ... вроде HIPS был и не спасал. Обратились ко мне за помощью - поиски показали, что один нехороший человек взял драйвера NVidia свежайшие (было это давно, закачка файла размером в десятки мб считалась тогда огромной), приклеил к ним трояна и положил на местную файлопомойку, с инструкцией, что перед установкой выключить антивирь, иначе глючить будет и драйвера не установятся...

rav
08.07.2010, 17:34
Как я понимаю, файл svchost создаётся в system32 без расширения?

Зайцев Олег
08.07.2010, 17:35
Как я понимаю, файл svchost создаётся в system32 без расширения?
Именно так

antanta
08.07.2010, 17:47
Зайцев Олег, Да, хипс не для домохозяек. ИМХО, одного хипса явно недостаточно даже для так называемого "продвинутого пользователя". Тут у разговор не о том. Просто потестили один HIPS :)

rav
08.07.2010, 18:13
Спасибо, дырка закрыта.

antanta
08.07.2010, 18:21
Ух ты, тут даже спасибо за найденые дырки раздают, и без напоминаний. Респект :D