-
Сообщение от
Зайцев Олег
Драйвер с сигнатурным искателем - это несколько лучше, но он будет крайне опасен - ведь можно забить маску *.* и этот драйвер снесет систему.
предложение - сделать цифровые подписи под скриптами, которые могут содержать опасные команды. т.е. опасные команды из неподписанных скриптов не стартуют. перед выполнением такого скрипта пользователю выдается запрос "хотите ли продолжить выполнение скрипта, подписанного XYZ ?". чтобы пользователи (и зловреды) не генерили троянские скрипты для AVZ.
а еще лучше - сделать (предусмотреть) возможность создания daily-баз для числа лиц, превосходящих единицу. в одиночку делать оперативные обновления - нереально. например daily для новых Bagle до сих пор нет. эти базы можно также подписывать (как я предлагал для скриптов).
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
а еще лучше - сделать (предусмотреть) возможность создания daily-баз для числа лиц, превосходящих единицу. в одиночку делать оперативные обновления - нереально. например daily для новых Bagle до сих пор нет. эти базы можно также подписывать (как я предлагал для скриптов).
Значительно хуже что нет лечания для новых экземпляров L2M
-
-
Сообщение от
Geser
Значительно хуже что нет лечания для новых экземпляров L2M
в этом случае ядро менять надо, а не базы. сдетектировать тут полдела, главное - снести. а я про детектирование достаточно простых, но эпидемных зараз.
вот мне принесли bagle.ef. прошерстив имеющиеся в нем адреса я стал обладателем 4 других разновидностей. и ни одной в базах нет...
-
-
Сообщение от
MOCT
в этом случае ядро менять надо, а не базы. сдетектировать тут полдела, главное - снести.
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения 
-
-
Сообщение от
Geser
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения
ранние версии L2M точно работали по другому алгоритму, более примитивному
-
-
Сообщение от
Geser
Ну не знаю. Олег писал что если в базах есть то АВЗ сносит. ХОтя меня тоже берут сомнения
Надо провести "ходовые испытания". Для этого мне нужен инсталлер свежего look2me - нужно провести опыты и пожалуй я напишу статью "Look2me и как с ним бороться" для раздела про SpyWare
-
-
Сообщение от
Зайцев Олег
Надо провести "ходовые испытания". Для этого мне нужен инсталлер свежего look2me - нужно провести опыты и пожалуй я напишу статью "Look2me и как с ним бороться" для раздела про SpyWare
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
-
-
Сообщение от
Geser
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
Проверил - смерть этого look2me была быстрой и мучительной Но что-то тут не так, нужно провести дополнительные опыты ... Хотя тут как раз сигнатуры были в базе и сработали микропрограммы лечения
Последний раз редактировалось Зайцев Олег; 05.01.2007 в 12:27.
-
-
Сообщение от
Зайцев Олег
Проверил - смерть этого look2me была быстрой и мучительной
Что-то слишком уж быстрой. А ты ему дал отстояться или сразу после инстала лечил. Потому как он, похоже, скачивает свой, более продвинутый апдейт. А вот после этого выходит повеселее.
-
-
Сообщение от
Geser
Что-то слишком уж быстрой. А ты ему дал отстояться или сразу после инстала лечил. Потому как он, похоже, скачивает свой, более продвинутый апдейт. А вот после этого выходит повеселее.
Нет, укорениться я ему дал ... но не перезагрузился. Это оказывается важно, т.к. тогда он ставит и грузит доп. DLL и становится гораздо интереснее. Дело наверное обернется написанием движка для его убиения
-
-
Сообщение от
Зайцев Олег
Нет, укорениться я ему дал ... но не перезагрузился. Это оказывается важно, т.к. тогда он ставит и грузит доп. DLL и становится гораздо интереснее. Дело наверное обернется написанием движка для его убиения
2 Geser : 1:0 в мою пользу 
-
-
Сообщение от
Geser
hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe
Гораздо новее c dollarrevenue.com ...
Ставим, перезагружаемся, тестим, для теста нужен "живой" комп, желательно с HT и никаких виртуалок, потому как на виртуалке он умирает от тривиального килбокса, в отличии от реального компа.
Последний раз редактировалось RiC; 10.11.2005 в 22:08.
-
-
Есть предложения.
1. Предупреждать о символах не латинского алфавита в именах файлов автозагрузки.
2. Выдавать предупреждение если цифровая подпись неправильная.
-
-
Сообщение от
Geser
Есть предложения.
1. Предупреждать о символах не латинского алфавита в именах файлов автозагрузки.
2. Выдавать предупреждение если цифровая подпись неправильная.
В принципе оба момента реализуемы, только ЦП проверяется долго ... вреся анализа увеличится.
-
-
Сообщение от
Зайцев Олег
ЦП проверяется долго ... вреся анализа увеличится.
Смотря на сколько. Если меньше 5 минут, я думаю, допустимо. За то можно находить файлы изменённые вирусами.
Катати, если есть файлы которые не в автозагрузке, но всёравно загружаются, их тоже нужно добавить в отчёт. Ядро, напремер. Оно же не в автозагрузке? Может еще есть такие файлы.
-
-
Сорри за офтопик, но какие тут проблемы с лук2ме ? регается как винлогон расширение и сносится на раз. Или дайте ссылочку на последний дистрибутив плиз, который с наворотами =)
-
Сообщение от
Xen
Сорри за офтопик, но какие тут проблемы с лук2ме ? регается как винлогон расширение и сносится на раз. Или дайте ссылочку на последний дистрибутив плиз, который с наворотами =)
Вот ссылка на базовый вариант - hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe - после установки этого зверя нужно перезагрузиться и после этого сносить
-
-
http://virusinfo.info/showthread.php?t=4100
Файл C:\WINDOWS\system32\smss.exe в карантин не добавляется + ошибка чтения в логе. Можно это как-то поправить?
-
-
Сообщение от
Зайцев Олег
Вот ссылка на базовый вариант - hxxp://ad-w-a-r-e.com/app/VT00/Installer.exe - после установки этого зверя нужно перезагрузиться и после этого сносить
что-то активность Xen в этом топике после этой ссылки поутихла... аж на две недели
-
-
Я случайно запустил когда переименовывал, - было весело.
-
Ответить с цитированием
