-
[quote=Зайцев Олег]Драйвер с сигнатурным искателем - это несколько лучше, но он будет крайне опасен - ведь можно забить маску *.* и этот драйвер снесет систему. [/quote]
предложение - сделать цифровые подписи под скриптами, которые могут содержать опасные команды. т.е. опасные команды из неподписанных скриптов не стартуют. перед выполнением такого скрипта пользователю выдается запрос "хотите ли продолжить выполнение скрипта, подписанного XYZ ?". чтобы пользователи (и зловреды) не генерили троянские скрипты для AVZ.
а еще лучше - сделать (предусмотреть) возможность создания daily-баз для числа лиц, превосходящих единицу. в одиночку делать оперативные обновления - нереально. например daily для новых Bagle до сих пор нет. эти базы можно также подписывать (как я предлагал для скриптов).
-
[QUOTE]а еще лучше - сделать (предусмотреть) возможность создания daily-баз для числа лиц, превосходящих единицу. в одиночку делать оперативные обновления - нереально. например daily для новых Bagle до сих пор нет. эти базы можно также подписывать (как я предлагал для скриптов).[/QUOTE]
Значительно хуже что нет лечания для новых экземпляров L2M
-
[quote=Geser]Значительно хуже что нет лечания для новых экземпляров L2M[/quote]
в этом случае ядро менять надо, а не базы. сдетектировать тут полдела, главное - снести. а я про детектирование достаточно простых, но эпидемных зараз.
вот мне принесли bagle.ef. прошерстив имеющиеся в нем адреса я стал обладателем 4 других разновидностей. и ни одной в базах нет...
-
[QUOTE=MOCT]в этом случае ядро менять надо, а не базы. сдетектировать тут полдела, главное - снести. [/QUOTE]
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)
-
[quote=Geser]Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)[/quote]
ранние версии L2M точно работали по другому алгоритму, более примитивному
-
[QUOTE=Geser]Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения :)[/QUOTE]
Надо провести "ходовые испытания". Для этого мне нужен инсталлер свежего look2me - нужно провести опыты и пожалуй я напишу статью "Look2me и как с ним бороться" для раздела про SpyWare
-
[QUOTE=Зайцев Олег]Надо провести "ходовые испытания". Для этого мне нужен инсталлер свежего look2me - нужно провести опыты и пожалуй я напишу статью "Look2me и как с ним бороться" для раздела про SpyWare[/QUOTE]
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
-
[quote=Geser]hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe[/quote]
Проверил - смерть этого look2me была быстрой и мучительной :) Но что-то тут не так, нужно провести дополнительные опыты ... Хотя тут как раз сигнатуры были в базе и сработали микропрограммы лечения
-
[QUOTE=Зайцев Олег]Проверил - смерть этого look2me была быстрой и мучительной :)[/QUOTE]
Что-то слишком уж быстрой. А ты ему дал отстояться или сразу после инстала лечил. Потому как он, похоже, скачивает свой, более продвинутый апдейт. А вот после этого выходит повеселее.
-
[quote=Geser]Что-то слишком уж быстрой. А ты ему дал отстояться или сразу после инстала лечил. Потому как он, похоже, скачивает свой, более продвинутый апдейт. А вот после этого выходит повеселее.[/quote]
Нет, укорениться я ему дал ... но не перезагрузился. Это оказывается важно, т.к. тогда он ставит и грузит доп. DLL и становится гораздо интереснее. Дело наверное обернется написанием движка для его убиения :)
-
[QUOTE=Зайцев Олег]Нет, укорениться я ему дал ... но не перезагрузился. Это оказывается важно, т.к. тогда он ставит и грузит доп. DLL и становится гораздо интереснее. Дело наверное обернется написанием движка для его убиения :)[/QUOTE]
2 Geser : 1:0 в мою пользу ;)
-
[QUOTE=Geser]hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe[/QUOTE]
Гораздо новее c dollarrevenue.com ...
Ставим, перезагружаемся, тестим, для теста нужен "живой" комп, желательно с HT и никаких виртуалок, потому как на виртуалке он умирает от тривиального килбокса, в отличии от реального компа.
-
Есть предложения.
1. Предупреждать о символах не латинского алфавита в именах файлов автозагрузки.
2. Выдавать предупреждение если цифровая подпись неправильная.
-
[QUOTE=Geser]Есть предложения.
1. Предупреждать о символах не латинского алфавита в именах файлов автозагрузки.
2. Выдавать предупреждение если цифровая подпись неправильная.[/QUOTE]
В принципе оба момента реализуемы, только ЦП проверяется долго ... вреся анализа увеличится.
-
[QUOTE=Зайцев Олег] ЦП проверяется долго ... вреся анализа увеличится.[/QUOTE]
Смотря на сколько. Если меньше 5 минут, я думаю, допустимо. За то можно находить файлы изменённые вирусами.
Катати, если есть файлы которые не в автозагрузке, но всёравно загружаются, их тоже нужно добавить в отчёт. Ядро, напремер. Оно же не в автозагрузке? Может еще есть такие файлы.
-
Сорри за офтопик, но какие тут проблемы с лук2ме ? регается как винлогон расширение и сносится на раз. Или дайте ссылочку на последний дистрибутив плиз, который с наворотами =)
-
[QUOTE=Xen]Сорри за офтопик, но какие тут проблемы с лук2ме ? регается как винлогон расширение и сносится на раз. Или дайте ссылочку на последний дистрибутив плиз, который с наворотами =)[/QUOTE]
Вот ссылка на базовый вариант - hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe - после установки этого зверя нужно перезагрузиться и после этого сносить
-
[url]http://virusinfo.info/showthread.php?t=4100[/url]
Файл C:\WINDOWS\system32\smss.exe в карантин не добавляется + ошибка чтения в логе. Можно это как-то поправить?
-
[quote=Зайцев Олег]Вот ссылка на базовый вариант - hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe - после установки этого зверя нужно перезагрузиться и после этого сносить[/quote]
что-то активность Xen в этом топике после этой ссылки поутихла... аж на две недели ;)
-
:) Я случайно запустил когда переименовывал, - было весело.
Page generated in 0.01142 seconds with 10 queries