-
Беcсигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010
К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.
Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).
далее http://www.anti-malware.ru/node/2179
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Вроде бы такой супер-пупер HIPS, а с такими вещами не справляется. Почему? Разве нельзя изменить правила и сделать такие по-умолчанию?
Клуб любителей Symantec - http://symantecclub.ru/
-
-
Сообщение от
senyak
Вроде бы такой супер-пупер HIPS, а с такими вещами не справляется. Почему? Разве нельзя изменить правила и сделать такие по-умолчанию?
С технической точки зрения (для разработчиков) сделать такие правила - очень просто. Даже очень.
Но вот для домохозяйки это будет не очень - вопросы от КИСа появятся какие-то...
Если уж делать такие правила по дефолту, то вирусописатели это заметят и изменят ключи, значит нужно больше ключей добавлять (все какие только можно), а это приведет к еще большему количеству вопросов от антивируса.
Поэтому антивирусы вынуждены балансировать около золотой середины - и безопасно что бы было и и чтоб у пользователя спрашивать как можно меньше.
-
Сообщение от
senyak
Вроде бы такой супер-пупер HIPS, а с такими вещами не справляется. Почему?
Очевидно, потому что он не супер-пупер.
-
-
Сообщение от
priv8v
С технической точки зрения (для разработчиков) сделать такие правила - очень просто. Даже очень.
Но вот для домохозяйки это будет не очень - вопросы от КИСа появятся какие-то...
Если уж делать такие правила по дефолту, то вирусописатели это заметят и изменят ключи, значит нужно больше ключей добавлять (все какие только можно), а это приведет к еще большему количеству вопросов от антивируса.
Поэтому антивирусы вынуждены балансировать около золотой середины - и безопасно что бы было и и чтоб у пользователя спрашивать как можно меньше.
действительно, почему бы не сделать такие правила по-умолчанию? или есть действительно уважительные причины этого не делать?
как часто нормальные программы лезут прописываться в ключи Winlogon, AppInit_DLLs? не помню таких.
на счет Image File Execution просто не в курсе ..
а вирусописатели пусть выдумывают новые способы, на каждый способ найдется своя защита
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Сообщение от
Юльча
как часто нормальные программы лезут прописываться в AppInit_DLLs? не помню таких.
Такие программы есть. Для примера назову Outpost.
-
-
А еще Касперский
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Из антивирусов могу назвать еще AVG.
-
-
ну сам-то касперский себя не заблокирует?
а ставить outpost при установленном КИСе изврат..
еще варианты?
Добавлено через 2 минуты
Сообщение от
Matias
Из антивирусов могу назвать еще AVG.
я имела в виду программы которые можно ставить совместно с КИС..
Последний раз редактировалось Юльча; 31.01.2010 в 22:07.
Причина: Добавлено
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
-
-
если я правильно поняла это фича к итегрированному интеловскому видеодрайверу..
а как часто домохозяйки устанавливают драйвер на видео, да еще и после установки КИСы?
речь шла о домохозяйках для которых проблема если КИС будет задавать слишком много вопросов при обращении к этим защищенным ключам
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Вот еще программа которая прописывается в Winlogon - Superantispyware. Поскольку она довольно часто обновляется, то и алерты KIS будет выдавать регулярно. Следует особо отметить, что анитвирусы не могут полностью заменить антишпионские программы. SAS очень популярна на западных антималварных форумах. Я, правда не очень понимаю, зачем бесплатной версии SAS, которая не обеспечивает резидентной защиты, запускаться вместе с Windows. Но по умолчанию она так и делает.
Последний раз редактировалось Matias; 01.02.2010 в 21:53.
-
-
Ну уж в "Winlogon\Userinit" думаю, точно никакое нормальное ПО не лезет.
-
bolshoy kot, украшатели винды (коим несть числа..), которые могут ставиться/удаляться по 10 раз в день
The worst foe lies within the self...
-
-
как часто нормальные программы лезут прописываться в AppInit_DLLs?
Или всё остаётся, как есть (с перенаправлением на поиски ЛайвСиДов), или спрашивают пользователя, и не только в случаях с этим экзотическим ключом, но и при попытке прописаться в банальную автозагрузку; желательно - с подробным и внятным описанием возможных последствий в устрашающих тонах (но на популярном языке), и с удобным подставлением кнопки "Нет, я не хочу этого".
П.С. Можно ещё внедрить (если нет - я просто не знаю) в таких случаях проверку на лету онлайн подозрительного файла с верификацией.
-
Сообщение от
Юльча
если я правильно поняла это фича к итегрированному интеловскому видеодрайверу..
а как часто домохозяйки устанавливают драйвер на видео, да еще и после установки КИСы?
Меня интересует другое: как часто домохозяйки лазиют по таким сайтам, чтобы узнать об этой новости? Они же думаю, что КИС от всего защищает. Поэтому я за то, чтобы такие правила сделали по умолчанию. Если только в этом нет какой нибудь опасности, какая нибудь программа не получит туда доступ и винда ляжет
Клуб любителей Symantec - http://symantecclub.ru/
-
-
С технической точки зрения (для разработчиков) сделать такие правила - очень просто. Даже очень.
Но вот для домохозяйки это будет не очень - вопросы от КИСа появятся какие-то...
Если уж делать такие правила по дефолту, то вирусописатели это заметят и изменят ключи, значит нужно больше ключей добавлять (все какие только можно), а это приведет к еще большему количеству вопросов от антивируса.
Поэтому антивирусы вынуждены балансировать около золотой середины - и безопасно что бы было и и чтоб у пользователя спрашивать как можно меньше.
Такие программы есть. Для примера назову Outpost.
Вот еще программа которая прописывается в Winlogon - Superantispyware. Поскольку она довольно часто обновляется, то и алерты KIS будет выдавать регулярно.
Name: igfxcui
This is a valid program that is required to run at startup.
Можно ввести полу- или автоматические действия для определенных ключей + в сочетании с определенными программами. Ввести список или базу этих SAS и Outpost. Проверять онлайн при прописке в автозапуск и при таких неординарных действиях; есть же какая-то база в лайве. Что-то можно придумать?
Иногда можно и спрашивать пользователя. Иногда можно блокировать - чат-мат и Скайп-майп будут запускаться не со стартом системы, а с ярлыка на раб. столе. У меня в офисе большинство так и делает, не подозревая о наличии автозапуска. Велика беда.
Что-то из малвар последнего времени блокирует антивирусы не по именам, а по функциям или около того. Можно ли блокировать действия, точнее, совокупность действий, подобным образом, но в обратном направлении?
-
Пару дней назад видел у знакомой как эта байда пыталась через winamp установиться когда она его запустила
-