Страница 2 из 2 Первая 12
Показано с 21 по 31 из 31.

Онлайн-интервью: троянские вымогатели

  1. #21
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.03.2010
    Сообщений
    5
    Вес репутации
    81
    Цитата Сообщение от PavelA Посмотреть сообщение
    Вопрос был о конкретном малваре. Не надо отсылать к другому.
    Возможно я не точно понял вопрос. Переформулируйте его пожалуйста.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    793
    Цитата Сообщение от Татаринов Иван Посмотреть сообщение
    Улучшенное детектирование работает уже в существующих продуктах (KAV/KIS2010)
    Простите, Иван, но Вы не ответили полностью на мой вопрос. KAV/KIS 2010, а как на счёт других версий? Или 2009 уже не поддерживается? Что касается корпоративных продуктов?
    И в чём выражается конкретно "улучшенное детектирование" - если это просто констатирование того, что в базах сейчас имеется большее количество зловредов, чем в начале эпидемии - то это не есть интенсивное решение проблемы.

    Я удивлён, мне показалось, что моя подробная прелюдия к вопросу вызовет не менее обстоятельный ответ.

  4. #23
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2506
    Цитата Сообщение от Татаринов Иван Посмотреть сообщение
    Возможно я не точно понял вопрос. Переформулируйте его пожалуйста.
    Вопрос был о eKav, Digital Access и других из этого семейства. Что творилось в декабре-январе здесь на форуме, да и на других форумах Вы в курсе, я так думаю.
    почему деблокеры, а не ловля "на ходу" а/вирусом с обновленными базами? Почему лечение только через LiveCD, хотя есть лицензионный защитник?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #24
    Junior Member Репутация
    Регистрация
    30.01.2010
    Адрес
    Новополоцк, Беларусь
    Сообщений
    7
    Вес репутации
    36
    Еще раз повторюсь – наиболее интересны и ценны файлы, получаемые от пользователей.
    То есть коды разблокировок или алгоритмы их генерации выуживаются из самих exe/dll/etc файлов блокеров?

  6. #25
    Junior Member Репутация
    Регистрация
    25.12.2009
    Сообщений
    3
    Вес репутации
    37
    Спасибо за ответ на мой вопрос!
    Позволю себе пару комментариев.

    Цитата Сообщение от Татаринов Иван Посмотреть сообщение
    Касательно руткитов и борьбы с ними – над данной задачей работает целый отдел.
    Желаю всяческих удач и великих свершений на этой ниве данному отделу! Без всякой иронии.

    Цитата Сообщение от Татаринов Иван Посмотреть сообщение
    И буквально в феврале нами был запатентован аппаратный антивирус - отдельное устройство, со своим процессором, памятью, программным обеспечением и т.п., никак не связанное с памятью и процессором ПК.
    Я поднимал вопрос борьбы с руткитами в контексте рядового пользователя. Безусловно, аппаратный антивирус - вне конкуренции в данном аспекте, но по моему мнению - это далеко не массовый продукт! Или я ошибаюсь?!

    Цитата Сообщение от Татаринов Иван Посмотреть сообщение
    К сожалению иногда для лечения того или иного зловреда приходится создавать специальные утилиты.
    Согласен, но я бы хотел сделать акцент на слове "иногда" из Вашего ответа. Возможно назрела необходимость более тесной интеграции KAV/KIS с другими антивирусными утилитами, просто чтобы в критической ситуации не терять время на написание утилит для борьбы с некоторыми типами зловредов? Например, можно теснее увязаться с утилитой AVZ. В сыром виде это может выглядеть так: на чистой системе, при сканировании KAV/KIS делает файл контрольных сумм, ну скажем - для папки куда установлена ОС, неважно где и как его сохраняет, главное чтобы AVZ смог его прочитать в случае необходимости - это позволит сократить число неопознанных процессов в логах! Добавить такую функцию в KAV/KIS особого труда не составит, на размере тоже не скажется, а польза будет немалая. Я привел лишь очень сырой вариант схемы, понимая, что вопросов ее практической реализации очень много. Повторюсь - это не готовое решение, а всего лишь схема, которая может реально сработать в критической ситуации.
    И последнее. Уже всем известны критичные системные файлы, которые очень любят подменять вирусописатели (тот же пресловутый svchost.exe, реже csrss.exe, lsass.exe ...) почему бы этим файлам не выставить уровень защиты выше (???), или хотя бы предупреждать пользователя о попытке подмены, с вариантами "Пропустить"/"Отказать". Тоже самое - подмена оболочки ОС по-умолчанию через реестр.

    Спасибо за внимание!

  7. #26
    Junior Member Репутация
    Регистрация
    16.03.2010
    Сообщений
    1
    Вес репутации
    36
    Почему мой Kaspersky Internet Security 2010 воспринял Download Master как вирус? Хотя качал эту программу с официального сайта разработчиков?
    Последний раз редактировалось AndreyKa; 16.03.2010 в 17:42. Причина: офтоп

  8. #27
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.03.2010
    Сообщений
    5
    Вес репутации
    81
    День второй.
    Еще раз всем привет

    Добавлено через 51 секунду

    Цитата Сообщение от gjf Посмотреть сообщение
    Простите, Иван, но Вы не ответили полностью на мой вопрос. KAV/KIS 2010, а как на счёт других версий? Или 2009 уже не поддерживается? Что касается корпоративных продуктов?
    И в чём выражается конкретно "улучшенное детектирование" - если это просто констатирование того, что в базах сейчас имеется большее количество зловредов, чем в начале эпидемии - то это не есть интенсивное решение проблемы.
    Улучшение детектирования можно разделить на 2 части:
    1. Улучшение рекорд детектирования (т.е. мы вместо 100 сейчас детектируем 10000 файлов)
    2. Улучшение техник обнаружение неизвестных зловредов (т.е. мы сейчас можем определять зловредов по действиям и техникам, которых раньше не было).
    Когда я написал про “улучшение детектирования”, то подразумевал, что реализовано оба пункта, т.е. добавлено очень много новых рекорд детектирования и добавлены новые способы обнаружения неизвестных блокеров.

    Как я уже сказал выше, была улучшена проактивная защита и эвристический анализ.
    Все (!) продукты, которые поддерживают данные технологии (KAV/KIS6, KAV/KIS7, KAV/KIV2009, KAV/KIS2010 + корпоративные продукты) стали эффективнее детектировать блокеры.
    В KAV/KIS2010 была добавлена BSS эвристика, которая позволила поднять коэффициент детектирования на еще более высокий уровень.

    Добавлено через 3 минуты

    Цитата Сообщение от PavelA Посмотреть сообщение
    Вопрос был о eKav, Digital Access и других из этого семейства. Что творилось в декабре-январе здесь на форуме, да и на других форумах Вы в курсе, я так думаю.
    Для Trojan-Ransom.Win32.Digitala, Worm.Win32.NeKav и прочих Trojan-Ransom.Win32.SMSer очень много разных, порой крайне индивидуальных техник для лечения (детектирование более-менее одинаковое): для Digitala – нахождение и запуск деинсталлятора, для PinkBlocker – вычищение реестра, для Bluescreen – всего-лишь авторана, а для GPCode – вообще перекодировка файлов. Для их лечения необходимо, чтобы антивирус обладал искусственным интеллектом.
    И с одной стороны, было бы, конечно, хорошо, если бы современные антивирусы имели возможность делать все (универсальное детектирование/лечение). Но с другой стороны, они бы тогда занимали гигабайты на диске и забирали 100% ресурсов компьютера.

    Цитата Сообщение от PavelA Посмотреть сообщение
    почему деблокеры, а не ловля "на ходу" а/вирусом с обновленными базами?
    В случаях обнаружения особенно хитрых способов заражения компьютера, которые специально «заточены» на то, чтобы их не могли вылечить стандартным антивирусом, мы выпускаем отдельные бесплатные утилиты. Если случай заражения не единичный и наблюдается некая тенденция, мы сразу добавляем этот способ лечения в пакет новой версии антивируса.

    Цитата Сообщение от PavelA Посмотреть сообщение
    Почему лечение только через LiveCD, хотя есть лицензионный защитник?
    Дело в том, что изначально антивирус – это продукт, имеющий “на борту” универсальные средства для борьбы со зловредами – обнаружение, лечение, удаление. Его задача – обезвредить максимально большое кол-во зловредов за минимальное время и с использованием незначительного кол-ва ресурсов.
    Когда зловреды используют “расширенные технологии”, то и от антивирусов требуются “расширенные” способы по лечению. На данном этапе это выполняют утилиты. Тем не менее, с каждой новой версией продукт становится все более универсальнее, получает больше средств и способов для борьбы со зловредами. В перспективы никаких LiveCD, отдельных утилит и т.п. вещей не будет.

    Добавлено через 1 минуту

    Цитата Сообщение от av1981 Посмотреть сообщение
    То есть коды разблокировок или алгоритмы их генерации выуживаются из самих exe/dll/etc файлов блокеров?
    Да, когда к нам попадает файл – мы его “разбираем”, исследуем и
    1)Создаем эффективное детектирование по содержанию и поведению
    2)Модифицируем (если требуется) проактивную защиту
    3)Блокируем (если необходимо) сайты, к которым обращается зловред
    4)Получаем (выковыриваем, генерируем, взламываем) код деактивации
    5)Вносим их в базы алгоритмов на сайте сервиса
    Причем пп1-3 уже могут быть выполнены, т.е. файл детектируется, и пользователи нашего продукта его подхватить уже не могут.

    Добавлено через 4 минуты

    Цитата Сообщение от Consull Посмотреть сообщение
    Я поднимал вопрос борьбы с руткитами в контексте рядового пользователя. Безусловно, аппаратный антивирус - вне конкуренции в данном аспекте, но по моему мнению - это далеко не массовый продукт! Или я ошибаюсь?!
    Приведенный мной пример с аппаратным антивирусом показывает тот факт, что специалисты отдела, занимающегося борьбой со сложными угрозами, рассматривают проблему борьбы с современными малварями всесторонне, продумывая всевозможные пути и методики защиты. В частности, в различной стадии проработки находится ряд новых программных и аппаратных технологий, направленных на борьбу с вымогателями - они будут в ближайшее время запатентованы и реализованы в продуктах ЛК. Если говорить о текущем состоянии дел, то в продукте имется мощный антируткит, эмулятор и система расчета рейтинга потенциальной опасности неопознанных исполняемых файлов, PDM и HIPS. Эти технологии постоянно совершенствуются и модернизируются.

    Добавлено через 46 секунд

    Цитата Сообщение от Consull Посмотреть сообщение
    Согласен, но я бы хотел сделать акцент на слове "иногда" из Вашего ответа. Возможно назрела необходимость более тесной интеграции KAV/KIS с другими антивирусными утилитами, просто чтобы в критической ситуации не терять время на написание утилит для борьбы с некоторыми типами зловредов? Например, можно теснее увязаться с утилитой AVZ. В сыром виде это может выглядеть так: на чистой системе, при сканировании KAV/KIS делает файл контрольных сумм, ну скажем - для папки куда установлена ОС, неважно где и как его сохраняет, главное чтобы AVZ смог его прочитать в случае необходимости - это позволит сократить число неопознанных процессов в логах! Добавить такую функцию в KAV/KIS особого труда не составит, на размере тоже не скажется, а польза будет немалая. Я привел лишь очень сырой вариант схемы, понимая, что вопросов ее практической реализации очень много. Повторюсь - это не готовое решение, а всего лишь схема, которая может реально сработать в критической ситуации.
    И последнее. Уже всем известны критичные системные файлы, которые очень любят подменять вирусописатели (тот же пресловутый svchost.exe, реже csrss.exe, lsass.exe ...) почему бы этим файлам не выставить уровень защиты выше (???), или хотя бы предупреждать пользователя о попытке подмены, с вариантами "Пропустить"/"Отказать". Тоже самое - подмена оболочки ОС по-умолчанию через реестр.
    Подобный функционал давно реализован. Возьмем, к примеру, патент 7530106 "System and method for security rating of processes" - любой запускаемый неопознанный исполняемый файл изучается эмулятором KIS. Если будут выявлены опасные действия, подобные описанным, то процесс получит высокий рейтинг опасности и продукт предложит блокировать такой исполняемый файл. При проявлении явно зловредного поведения будет проведен эвристический детект и карантин. При этом файлы, опознанные по базе безопасных или имеющие цифровые подписи, будут автоматически признаваться безопасными и доверенными.

    Добавлено через 15 минут

    Цитата Сообщение от oleg_karnauch Посмотреть сообщение
    Почему мой Kaspersky Internet Security 2010 воспринял Download Master как вирус? Хотя качал эту программу с официального сайта разработчиков?
    Если Вы считаете, что это ложное срабатывание - отправьте упакованный с паролем "infected" файл на адрес newvirus@kaspersky.com. В теме письма напишите "ложное срабатывание" или "false alarm"

    Не видя файл и не зная, как именно продукт на него среагировал, я вряд ли что смогу сказать.
    Последний раз редактировалось Татаринов Иван; 16.03.2010 в 20:00. Причина: Добавлено

  9. #28
    Junior Member Репутация
    Регистрация
    16.03.2010
    Сообщений
    6
    Вес репутации
    36

    вопросец ;-)

    Иван, доброго дня.
    У меня вопрос, скорее, лирический - а есть ли приблизительные данные о кол-ве пользователей, отправляющих смс? О суммах, заработанных вымогателями?
    Вопрос продиктован вот чем - мне казалось, что публика в наше время достаточно образованная, велико число "продвинутых" пользователей, ну и достаточно инфы на тв, интернете о "очень_платных" смс-номерах. Знакомый админ на сие ответил, что, мол, у них в университете из (большого кол-ва народу) (средний возраст ок. 25) - процентов 80(!!!!) отправляли смс, и не по одной!!!

    Ну и второй вопрос - в первый раз (окт 2009) мне удалось побороть эту заразу, во второй же раз (дек 2009) - увы, все закончилось сносом системы, поскольку ни LiveCD веба, ни %progname% вашей лаборатории не определяли ровным счетом ничего (дек 2009, напомню!!!). Подборщики кодов тоже оказались бессильны. Это мне такой "хитрый" попался? ;-)

    =Благодарю=

  10. #29
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.03.2010
    Сообщений
    5
    Вес репутации
    81
    Цитата Сообщение от deep_dream Посмотреть сообщение
    Иван, доброго дня.
    У меня вопрос, скорее, лирический - а есть ли приблизительные данные о кол-ве пользователей, отправляющих смс? О суммах, заработанных вымогателями?
    Вопрос продиктован вот чем - мне казалось, что публика в наше время достаточно образованная, велико число "продвинутых" пользователей, ну и достаточно инфы на тв, интернете о "очень_платных" смс-номерах. Знакомый админ на сие ответил, что, мол, у них в университете из (большого кол-ва народу) (средний возраст ок. 25) - процентов 80(!!!!) отправляли смс, и не по одной!!!
    Процент людей, отправивших СМСку, зависит от многих параметров (например, компьютерная грамотность или возраст человека). Этот показатель действительно иногда достигает 50-80% для ряда категорий людей. Тогда как для некоторых групп, наоборот, составляет меньше 5%.
    Немного отойду от данного вопроса и добавлю несколько слов от себя:
    1) Если бы пользователи не шли на сделку с вымогателями – никаких бы эпидемий вообще не было.
    2) Если бы пользователи, получив блокер на свою машину, шли писать заявление в милицию, то с блокерами было бы покончено за недели. Ведь чем действия кибермошенника отличаются от вымогательств в реальной жизни?
    Я думаю, всем стоит задуматься над этими двумя пунктами.

    Добавлено через 42 секунды

    Цитата Сообщение от deep_dream Посмотреть сообщение
    Ну и второй вопрос - в первый раз (окт 2009) мне удалось побороть эту заразу, во второй же раз (дек 2009) - увы, все закончилось сносом системы, поскольку ни LiveCD веба, ни %progname% вашей лаборатории не определяли ровным счетом ничего (дек 2009, напомню!!!). Подборщики кодов тоже оказались бессильны. Это мне такой "хитрый" попался? ;-)
    В декабре 2009 началась третья волна блокеров – появился Worm.Win32.NeKav. Это был первый массовый червь-вымогатель, который использовал довольно интересные технологии для активации на машине пользователя. Основной пик распространения пришелся на предновогодние и новогодние дни – период, когда пользователи, получив новые “игрушки”, начинают активно качать файлы и зачастую пренебрегают элементарными правилами безопасности и средствами защиты.
    Последний раз редактировалось Татаринов Иван; 18.03.2010 в 16:52. Причина: Добавлено

  11. #30
    Junior Member Репутация
    Регистрация
    18.03.2010
    Сообщений
    2
    Вес репутации
    36
    Cлов нет, вирусы, черви , трояны уже достали пользователей. Какие мероприятия проводятся на международном уровне по созданию ИНТЕРНЕТПОЛИЦИИ? Какие вообще делаются действия по кооперации межведомственной и международной по борьбе с этим злом?
    Спасибо!

  12. #31
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.03.2010
    Сообщений
    5
    Вес репутации
    81
    Цитата Сообщение от arabzangi Посмотреть сообщение
    Cлов нет, вирусы, черви , трояны уже достали пользователей. Какие мероприятия проводятся на международном уровне по созданию ИНТЕРНЕТПОЛИЦИИ? Какие вообще делаются действия по кооперации межведомственной и международной по борьбе с этим злом?
    Антивирусные компании активно сотрудничают с правоохранительными органами. Также антивирусные компании обмениваются между собой сэмплами зловредов, таким образом уменьшая шансы на заражение.
    О масштабных международных проектах по борьбе с блокерами говорить пока рано – ведь в основном данный класс вымогателей действует на территории России и стран СНГ. Тем не менее, ведутся подготовительные мероприятия по противодействию продвижению блокеров: информирование пользователей о новой угрозе, реализация сервисов разблокировки на международном уровне и т.д.
    Насчет создания интерполиции – я тут не могу сказать что-то определенное (не совсем в теме). Считаю, что для реализации такой “организации” необходима в первую очередь “персонализация” пользователей Интернета – ввод электронных паспортов и прочих методов. В настоящий момент многие пользователи не готовы к такому развитию событий.

Страница 2 из 2 Первая 12

Похожие темы

  1. трояны!!!! руткиты!!!! троянские dll
    От Dron23 в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 06.09.2011, 08:37
  2. Dr.Web обнаружил троянские программы
    От vd7 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 18.02.2011, 22:29
  3. Keylogger-ы и троянские DLL задолбали!
    От Combat в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 12.11.2008, 12:37
  4. Онлайн-интервью И. Данилова.
    От borka в разделе Другие новости
    Ответов: 50
    Последнее сообщение: 04.08.2008, 01:35

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01149 seconds with 18 queries