Просмотр полной версии : Хороший антивирус против блокеров-вымогателей
Недавно подхватил вирус розовый баннер при входе в windows. Стояли outpost firewall и Eset Nod. Никто не спас. Говорят, что касперский тоже не помогает.
Неподскажите хороший антивирус против таких блоков.
Vadim_SVN
06.07.2010, 11:28
Моск + прямые руки :) и остальной софт на подхвате
Неподскажите хороший антивирус против таких блоков.
Ни один антивирус не помогает предотвратить инфицирование. Пользуйтесь специализированными инструментами (HIPS).
i++, "Говорят, в Москве кур доЯт", поговаривола моя бабуля.
rav, То есть в KIS HIPS отсутствует кагбэ? Опа, зато он есть в неких продуктах, на которые прямо указывает таки ваша подпись! Спасибо. Ща скачаю ваше изделие.
rav, То есть в KIS HIPS отсутствует кагбэ? Опа, зато он есть в неких продуктах, на которые прямо указывает таки ваша подпись! Спасибо. Ща скачаю ваше изделие.
KIS- это не антивирус. KAV- это антивирус. KIS- класса Internet Security и HIPS там есть. Но блокираторы его обходят на раз.
rav, Ловите результат работы маленького vbs-скрипта. Зацените время, которое мне понадобилось на то, чтобы прибить этот хипс, включая установку, пару перезагрузок... http://pixs.ru/showimage/dwsocoolJP_5124044_799306.jpg
Пусть послужит утешением тот факт, что ESET Smart Secur прибивается точно тем же способом.
Добавлено через 55 секунд
Почему-то не грузится изображение
Добавлено через 1 минуту
http://slil.ru/29437457
Скрипт, конечно же, запускался из доверенной зоны песочницы?
rav, Ага, конечно... Только объясните мне, как это делается?
Будем дальше делать здесь рекламу, или опубликовать способ выноса? Как к последнему отнесется администрация? Да и кпервому, кстати...
Не вводите пользователей в заблуждение. Не все владеют терминологией, да и та не вполне устоялась. Поэтому "Антивирус" и "класса Internet Security" - не для всех различимые понятия. И играть на непонимании юзеров, жонглирование понятиями - не совсем честно. В этом причина моей теперешней позиции.
Впрочем, я готов к диалогу ;) Тут, некоторым образом, задето ... Ну, Вы понИли.
amcenter
07.07.2010, 00:36
antanta, неужели Вы сумели завалить кроме Касперского и Нода еще и Дефэнсвол?!
1. Это делается по умолчанию. Всё, что не находится в недоверенной зоне, считается доверенным. Учите матчасть. Песочницы на рынке вот уже лет цесть минимум, а вы даже элементарного представления о них не имеете. Очень стыдно.
2. Способ выноса- пожалуйста, публикуйте. Более чем уверен, что в недовереной зоне песочницы он не работает. Ну вот совсем никак.
3. Это вы жонглируетеп понятиями и вводите в заблуждение. Терминология уже давно устоялась, лет пять как. Продукты класса IS- это интегрированный файервол+антивирус+(антиспам+родительский контроль+HIPS). То, что в скобках, факультатив. Есть ещё средства класса Total Security, они включают в себя ещё и средства резервного копирования онлайн. А если кто-то терминологией не владеет, это значит, что нужно обучать, а не потакать. Ведь мы все здесь собрались в том числе и для этого, не так ли?
Добавлено через 47 секунд
antanta, неужели Вы сумели завалить кроме Касперского и Нода еще и Дефэнсвол?!
Да нет, конечно. Просто он не понял, как моя программа работает.
rav, Вот я и подумал, что на неофита не похожи, лицо явно заинтересованное.
В автоматическом режиме КИС локеры пропускает, нужна специальная настройка -
Защита от Trojan-Ransom (WinLock) средством Контроль программ в Kaspersky Internet Security 2010:
http://support.kaspersky.ru/faq/?qid=208637578
Vadim_SVN
07.07.2010, 10:50
В автоматическом режиме КИС локеры пропускает, нужна специальная настройка -
Защита от Trojan-Ransom (WinLock) средством Контроль программ в Kaspersky Internet Security 2010Какой процент пользователей, купивших сей продукт и установившие его по дефолту, будут производить такую настройку? ;)
Какой процент пользователей, купивших сей продукт и установившие его по дефолту, будут производить такую настройку? ;)
Ну так любимая ЛК "домохозяйка", точно не будет :)
Господа, признаюсь, погорячился я с DefenseWall HIPS. Пол-дня возился, пока научился прибивать. То есть, запускаю некий исполняемый файл, как "недоверенное", в итоге имеем после первой же перезагрузки нерабочий GUI, после двух перезагрузок - нерабочий дров. Потом допилю, сделаю автоматический ресет. Спасибо разработчикам, было интересно.
Вот это уже интереснее. Хотелось бы взглянуть на сей код. Лучше в личку, но можно и в паблик.
И не разработчикам, а разработчику. То есть мне.
Некогда, ушел "учить матчасть", как Вы советовали. :D Шутка, конечно.
Пришлось применять "тяжелую артиллерию", "секретное оружия русских". Испытал сегодня впервые, все руки не доходили, да уж больно Вы меня того... стимулировали. На самом деле мой способ не совсем честный. Вы же не знаете про мой способ установки программ в автозапуск. Хотя, HIPS тоже ведет не совсем честную игру. Если запускаю vbs скрипт как "недоверенный", не удается, даже в пределах раздела, в безобидную папку скопировать файл. Жесть.
Если серьезно, испытанный способ атаки годится и для других систем защиты. Этого уже достаточно, чтобы не распространять такую инфу.
Шутки ради подсунул эту бяку KIS (безобидный вариант). Но, уже порадовало что-то вроде "Программа не была запущена, следует ли запускать программу в дальнейшем?" Хотя, необходимые действия в системе уже произведены (этой самой программой). Я в шоке, буду разбираться.
Добавлено через 8 минут
rav, Кстати, недоверенному скрипту нельзя копировать файлы никуда, а недоверенному бинарнику - можно, даже в системные папки. Это так задумано? Или я где-то ошибся?
antanta, проверь КИС со специальными настройками, если не затруднит. Было бы очень интересно.
Ну, если вы хотите сделать мир немного более безопасным, то тогда пришлите мне, пожалуйста, техническую информацию по обходу, равно как и остальным вендорам.
Добавлено через 9 минут
Кстати, недоверенному скрипту нельзя копировать файлы никуда, а недоверенному бинарнику - можно, даже в системные папки.
Там есть разница в активности. VBS работает через WMI.
SDA, PM читаете? Какие настройки проверить?
rav, Я хотел только сказать, что приложение, копирующее себя или другой файл в системную папку, было написано угрюмо, без всяких выкрутасов. И ему, не взирая на запуск через попап-меню "недоверенные" была позволена такая операция. Я и пытаюсь понять, не выдаю ли я где-то "желаемое" за действительное. Хотя, проверял неоднократно, работает кагбэ. Но, все мы люди, можем и ошибаться.
PM читаю.
Да, создать новый файл в system32 можно, это не является угрозой безопасности. DefenseWall просто пометит её как недоверенную и пойдёт дальше работать.
Отправил матеrиальчик Зайцеву Олегу. "Там разберутся".
SDA, PM читаете? Какие настройки проверить?
rav, Я хотел только сказать, что приложение, копирующее себя или другой файл в системную папку, было написано угрюмо, без всяких выкрутасов. И ему, не взирая на запуск через попап-меню "недоверенные" была позволена такая операция. Я и пытаюсь понять, не выдаю ли я где-то "желаемое" за действительное. Хотя, проверял неоднократно, работает кагбэ. Но, все мы люди, можем и ошибаться.
Я прочитал, имел ввиду эти настройки http://support.kaspersky.ru/faq/?qid=208637578
SDA, Чтобы "мир стал чуточку безопасней", нужно запретить копирование файлов в system32. Поковырял кис, поставил запрет на создание и запись для слабо-и силноограниченных, что-то не работает. VBS- скрипт упорно копирует туда файлы. Потом разберусь, но это мои проблемы. Наверное, торможу.
Будет запрет - не будет дырки. От Зайцева Олега пока ответа не получал. Вообще-то дыра закрывается проще, правкой пары ключей в реестре.
Добавлено через 5 часов 10 минут
rav, Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить. Дурка работает из-за странной работы парсера. При обработки путей вида %SystemRoot%\system32\svchost -k rpcss (заметьте, без расширения. Это в XP службы Browser и RpcSs), сперва ищется файл svchost без расширения, а потом уже *.exe.
Алгоритм атаки прост. Копируем файл, он исполняется с правами службы, исполняется его код, потом правит путь запуска на нормальный (или удаляет себя). Фсе.
Зайцев Олег
08.07.2010, 17:32
rav, Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить.
... равно как например DLL системой ищется начиная с текущей папки программы (чем пользуются многие зловреды, положив скажем в папку браузера или иного ПО свою DLL с именем как у системной и т.п.
Но это уход от темы - никакой HIPS никого ни от чего не защитит, ибо:
1. HIPS должен ставиться на эталонно чистую систему.
2. пользователь должен иметь действующий сертификат сапера и электрика одновременно (так как он должен принимать решение, доверять программе X или не доверять, а ошибаться как в случае двух означенных профессий ему нельзя - первая же ошибка классификации - и кирдык).
Поэтому HIPS в составе антивируса (как в том-же KIS) - это дополнение к антивиурсному монитору, которое повышает надежность антивирусной защиты ПК на некоторое количество процентов.
В остальных случаях "пробить" его тривиально - достаточно замаскировать зверя под что угодно доверенное и подсунуть пользователю с указанием, что запускать как доверенное - 90% запустят, это же банальная социальная инженерия. Был например случай - заражение одной сетки трояном, ворующим пароли ... вроде HIPS был и не спасал. Обратились ко мне за помощью - поиски показали, что один нехороший человек взял драйвера NVidia свежайшие (было это давно, закачка файла размером в десятки мб считалась тогда огромной), приклеил к ним трояна и положил на местную файлопомойку, с инструкцией, что перед установкой выключить антивирь, иначе глючить будет и драйвера не установятся...
Как я понимаю, файл svchost создаётся в system32 без расширения?
Зайцев Олег
08.07.2010, 17:35
Как я понимаю, файл svchost создаётся в system32 без расширения?
Именно так
Зайцев Олег, Да, хипс не для домохозяек. ИМХО, одного хипса явно недостаточно даже для так называемого "продвинутого пользователя". Тут у разговор не о том. Просто потестили один HIPS :)
Ух ты, тут даже спасибо за найденые дырки раздают, и без напоминаний. Респект :D
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot