Похожий autorun.inf присутствует на машинах НР/Компак для автоматизации восст. системы. Его что тоже удалять?Сообщение от AlphaM100
Похожий autorun.inf присутствует на машинах НР/Компак для автоматизации восст. системы. Его что тоже удалять?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
нет, его там (НР/Компак) не удалять,
а в моем случае - лучше что бы удалялась.
Вопрос был просто в другом: надо проанализировать содержимое inf и дать вердикт за каким файлом охотиться. Это делает не а/вирус, а AVZ.
а/вирус вряд ли когда это сможет делать, его задача анализ конкр. файла, а не его связей.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не знаю, насколько Нод актуален для тех, кто регулярно (или даже изредка) заходит на порносайты... Но для очень редких пользователей (которые на такие сайты ни разу не заходили) - Нод очень даже подходит.
Лично мне странно читать о нём плохие вещи: за три года систему пришлось переустанавливать два раза - один раз схватил что-то из локальной сетки (похоже, какого-то червя, ибо он сам зашёл). Так как я тогда вообще не знал, как удалять зловредов вручную, то переустановка была единственным доступным решением (её осуществлял мой знакомый, так как я даже этого не умел).
А второй раз я подхватил загрузчик троянов на просторах liveinternet, когда искал музыку. Этого загрузчика Нод знал, но полностью вычистить его из системы не мог: когда я подключался к инету, Нод каждый раз отлавливал двух троянов и одного червя, но другие (которые загрузчик загрузил ещё), Ноду были незнакомы. Я тогда видел файлы зловреда в системных папках, но на этом мои познания заканчивались (о реестре и автозагрузке я тогда понятия не имел!..).
Сейчас с файерволом Ноду ловить нечего, и он иногда от злости помещает в карантин трейнеры :-) Отчасти потому, что я уже задолбал вендоров (ведь так они называются?..), методично отсылая им на анализ одни и те же файлы.
п.с.
я люблю гулять по инету (не по всяким социальным сетям вроде Одноклассников и Вконтакте), поэтому всё же не считаю, что Нод у меня выкладывается не полностью. Значит, из игры он не вышел :-)
Золотые слова Юрий Бенедиктович. Золотой ты человек.
Не знал Нод этого загрузчика, т.к. допустил заражение. Сорри, но с логикой у Вас неадекват.
1. НОД вообще неплох, но есть у него большой недостаток, который я пронаблюдал недавно во время эпидемии Kido в одной сетке.
Писал обмен сниффером на атакуемом компьютере. По анализу лога зафиксировал такой факт - от вливания файла по протоколу SMB (445 порт) на компьютер с работающим НОД 2.7 (точнее, от момента отключения атакующего) до обнаружения и удаления файла файловым монитором AMON прошло более 30 минут. До этого я не мог понять, каким образом Kido всё-таки умудряется заразить компьютер с НОД-ом. Когда увидел это в логе - наконец понял.
Справедливости ради - в подавляющем большинстве атак НОД таки успевал удалить залитый файл. Но два раза мне приходилось убивать работающий rundll32.exe, запустивший троянскую dll в количестве 4х - 5ти экземляров.
2. При установке на компьютер с работающим Kido НОД не видел его. Приходилось убивать троян Kidokiller-ом или CureIt, в процессе убиения НОД ловил временный файл unupx.tmp от Kidokiller-а и дальше уже оборону держал, с вышеописанными малочисленными пропусками.
Ну, НОД 2.7, мягко говоря, староват
Left home for a few days and look what happens...
Интересно. А что именно происходило по логам?
2.7 вообще плохо ловит в режиме реального времени. Точней, он их пропускал. Не помню уже как это было у меня, давно было. Помню, часто во временных папках при сканировании находил. И в архивах он влохо види вирусы. Вообщем - старье все таки
Последний раз редактировалось senyak; 08.03.2009 в 21:45.
Клуб любителей Symantec - http://symantecclub.ru/
Узнаю стиль общения. Это не у Вас был ник "VPN"?
Клуб любителей Symantec - http://symantecclub.ru/
Мы на каждом километре (c)
На 2003 сервер с Citrix Metaframe XP ставил на всякий случай нод, плюс там был 1с 7.7 на 500 юзеров, Jabber сервер, WSUS, всё работало 4 года не выключаясь, потом после меня туда пришли какие то нубы администраторы, хамили мне там и всё поломали.
Уважаю его эвристик.
Видел в. 2.7 с базами полуторагодовой давности. После того, как включил показ скрытых файлов и курсор был поднесён к скрытому/открытому файлу, лежавшему на раб. столе с наглым названием "Пинч", НОД сразу заявил, что "это, возможно, модификация Пинча".
Но появилась досада, что он, следовательно, не видел скрытые/скрытые файлы.
Логи приложить не смогу, там приватная инфа, да и большие они.
Суть я уже описал - файл заливается по протоколу SMB через 445 порт в \system32\plnao.dll (расширение может меняться, имя файла для одной машины уникально, но всегда одинаково) и так же точно через \atsvc в \Tasks ложится задание для планировщика atl0.job, активирующее эту dll раз в час (этих заданий может быть много, при большом их числе сервак будет падать от большого количества работающих копий червя). Дальше виндовый планировщик успевает запустить этот файл, потом НОД файл убивает, но червяк уже прекрасно работает в памяти.
При беглом осмотре всё хорошо, НОД червя ловит, вот только и rundll32.exe в процессах надо обязательно смотреть
ЗЫ: Главная причина успеха Kido - разгильдяйство админов. Простые пароли у системных админов в первую очередь, в частности, тех, что уже ушли, а их эккаунты не были удалены, и т.п. Вот ими зверюга и пользуется - подбирает пароль и потом ходит с ними по домену как с отмычкой, даже при наличии патчей.
А мене стал нравится эвристик в НОДе 4. Чувствуется, его заметно подтянули.
Добавлено через 5 минут
Не надо рассказывать, что у файлового монитора НОД 2.7 была надежность 100%. Лично видал обратное. У меня он часто пропускал во временные папки вирусы. Настройки всегда были на максимуме
Vektra - а Erekle не говорил, что отключал монитор, или я не так понял
Последний раз редактировалось senyak; 09.03.2009 в 03:01. Причина: Добавлено
Клуб любителей Symantec - http://symantecclub.ru/
Не отключал и не включал.
Сам НОД проработал нормально минимум и потом базы не обновлялись.
Неудивительно, что в его присутствии вовсю орудовали всякие разные. Технологий, используемых некоторыми из них, полтора года назад вообще не было.
Кстати, попросили посмотреть из-за надоедливой аналогичной картины, описанной здесь. Но так и не смог выяснить, что творило такое, надо было уложиться в 20-30 минут. Что-то снёс, что-то перехватил проснувшийся НОД, консолы исчезли, интернет появился, а большего хозяйн и не хотел. Потом они самы переустановили систему.
К сожалению, ув. Vektra нас покинул (забанен).
Это т.н. Виталег, его на этом форуме не будет.
Расскажите, пожалуйста, поподробнее...А мене стал нравится эвристик в НОДе 4. Чувствуется, его заметно подтянули.
// ...
Сравнивать с Kido и другими ситуациями не совсем честно .
Здесь еще зависит от того , как отработала компания . И от самой программы тоже .
У большинства нелегальных пользователей продуктов ESET , например , навсегда отключена передача статистической информации .
Сейчас уже есть официальный технический форум в России .
Может ситуация пойдет в лучшую сторону . Должна пойти .
NOD 2.7 . Сканирование - чисто .Ну, НОД 2.7, мягко говоря, староват
Запускаю CureIt - rootkit /keylogger .
NOD теперь тоже увидел ) . " Семен Семеныч " .
Похоже пора переходить .
Ваши права в разделе
