Win32/Kryptik троян подцепил

← →
Аноним © (2009-12-23 04:23) [40]

ссылка как раз в тему - касается всех производителей самопальных защит - тебя и меня, как понимаю
фалсы - удар лично по моему корману

← →
Rouse_ © (2009-12-23 04:26) [41]

Ну хорошо, вот смотри - я делаю анитивирус, который запрещает исполнение кода на TLS - все, фуррор, 99 процентов защит перестают работать. Я получу выгоду или нет с этого или меня удалят моментально как больной и не пригодный продукт?

← →
Аноним © (2009-12-23 04:37) [42]

99% - не пригодный продукт

к тому же, моя не перестанет - мутабельная ВМ - свой код меняет от компилияции к компиляции
и (в узких пределах пока) меняется код проверки ключей

← →
Rouse_ © (2009-12-23 04:45) [43]

> Аноним © (23.12.09 04:37) [42]
>
> 99% - не пригодный продукт

Вот видишь, значит если все разработчики АВ будут писать так, как я описал выше - то твой ВМ с пермутацией кода просто не запуститься нигде. :) Стало быть где-то в логике ошибка :)

← →
Аноним © (2009-12-23 04:49) [44]

> то твой ВМ с пермутацией кода просто не запуститься нигде.
> :) Стало быть где-то в логике ошибка :)

вывод - идеальной защиты нет (известно)
вывод2 - все артивири будут врать (известно)
:-)

← →
Rouse_ © (2009-12-23 04:51) [45]

> Аноним © (23.12.09 04:49) [44]

Подписываюсь под каждой букывкой, ибо проверено практикой :)

← →
Аноним © (2009-12-23 04:52) [46]

> вывод - идеальной защиты нет (известно)вывод2 - все артивири
> будут врать (известно)

не закончил мысль
сферы деятельности таки надо разграничивать - где быть ненадежным, а кому врать
бо портят таки карму разработчикам

← →
Аноним © (2009-12-23 04:54) [47]

> где быть ненадежным, а кому врать

и опять не закончил :-)
фалс может ударить по продавцу ПО очень сильно

← →
Rouse_ © (2009-12-23 04:57) [48]

> где быть ненадежным, а кому врать
> бо портят таки карму разработчикам

Палка о трех концах.
Первый - врать работодателю (чревато)
Второй - врать пользователю (чревато)
Третий - врать менеджемту и отделу внедрения - а они сами кому хошь с киллогран на ухи положат.

А вообще проще обьяснить все простыми словами - "Security is a process, not a product" © Bruce Schneier

← →
Аноним © (2009-12-23 05:01) [49]

не всегда это просто обьяснить
далеко не всегда
но это уже совсем другой разговор :-)

← →
Rouse_ © (2009-12-23 05:07) [50]

Если чесно могу признаться, я обычно строю системы защиты на достаточно низком уровне, чтоб не вникать - до нулевого кольца включительно. На моей практике было три фалса - первый слишком увлекся и вылез за предоставляемые W2К возможности, второй - слишком торопился и забыл врубить поддержку ядром защиты 64-битных ОС, третий раз - меня тупо не предупредили о изменениях в базовом коде и продукт вышет с ограничениями. За все три раза проблемы с пользователями решались за пару дней - перекомпиляция и новый блд в зубы. Никаких матюганий и т.п. небыло от них :)
Так что я не вижу никаких проблек которые ты себе рисуешь, хотя и скорее всего просто не полностью вникаю в суть твоего продукта...

← →
boa_kaa © (2009-12-23 06:24) [51]

> antonn © (23.12.09 00:16) [19]
> стоит потратить немного времени, найти дырку, и не нужно будет
> по пять раз на дню выковыривать

да не у себя же

← →
Аноним © (2009-12-23 10:46) [52]

> Rouse_ © (23.12.09 05:07) [50]

с мутацией сложнее - эвристики нервничают
это ж вирусы используют, а значит заранее - плохо

не продукт, так поделка для личного использования

← →
Игорь Шевченко © (2009-12-23 10:54) [53]

А что что скажет за Security Essentials ?

http://www.microsoft.com/security_essentials?mkt=ru-ru

← →
Игорь Шевченко © (2009-12-23 11:05) [54]

> Ну вот тебе на вскидку - инжект кода в доверенное приложение
> не отслеживается. Увы и ах.

Запрети SetWindowsHook и создание общих оконных классов законодательно.

← →
brother © (2009-12-23 11:09) [55]

> Запрети SetWindowsHook и создание общих оконных классов
> законодательно.

некоторое время помучаешься обучая прогу (тотже OutPost), но потом - как в танке)

← →
Anatoly Podgoretsky © (2009-12-23 12:53) [56]

> Аноним (23.12.2009 03:37:35) [35]

Не наблюдаю.

← →
Аноним © (2009-12-23 13:01) [57]

> Не наблюдаю.

ссылка приведена
у меня с ним проблем тоже не было

← →
Piter © (2009-12-23 14:22) [58]

Что-то удивил меня Розыч в этой ветке.

Саш, так напиши свой антивирус, если ты такой крутой.

← →
Rouse_ © (2009-12-23 14:31) [59]

> Игорь Шевченко © (23.12.09 10:54) [53]
>
> А что что скажет за Security Essentials ?

Не, там другая какая-то ерунда была, windows defender чтоли или как-то так.
Про этот первый раз слышу.

> Piter © (23.12.09 14:22) [58]
> Саш, так напиши свой антивирус, если ты такой крутой.

Нафига мне этот головняк? Мне достаточно существующих ныне кучки антивирусов и псевдоантивирусов стоящих на машинах у пользователей.
То один запрежает VirtualProtect делать на свою-же память, другой держит файл при открытии - с этим тож надо учиться бороться :)

← →
Anatoly Podgoretsky © (2009-12-23 15:31) [60]

Игорь Шевченко © (23.12.09 10:54) [53]
Про MSE сложно что сказать, кроме того, что бесплатно и для дома, даже про Fore Front трудно что сказать, информации мало.

Думаю, что они на общей базе вирусов и на общем движке работают, только MSE для домашнего применения. А FF очень сложная и мощная штука для крупных корпораций самое то.

Но это все что можно сказать.

← →
Anatoly Podgoretsky © (2009-12-23 15:33) [61]

Кстати МС сейчас много экспериментирует в маркетинговом плане по данной отрасли. Запутывает ситуацию.

← →
Игорь Шевченко © (2009-12-23 15:40) [62]

Anatoly Podgoretsky © (23.12.09 15:31) [60]

> Кстати МС сейчас много экспериментирует в маркетинговом
> плане по данной отрасли

Им же Еврокомиссия счет за Media Player выставила, дескать, альтернативы не предоставляет. Теперь повод будет счет выставить в защиту независимых производителей антивирусного ПО. А так же производителей файрволлов и дефендеров (типа COMODO)

← →
Anatoly Podgoretsky © (2009-12-23 15:50) [63]

> Игорь Шевченко (23.12.2009 15:40:02) [62]

Наверно поэтому путают, спискок антивирусных продуктом у них уже внушительный.

← →
antonn © (2010-02-10 02:14) [64]

АП! но не тот :)
нашел "утечку", в фаерфоксе, где сыпались эти Криптики (особенно CHA). Трудность была в том, что вирусы появлялись в temp неперемещаемого профиля спонтанно (как мне казалось), то раз в неделю, то в две, то два раза в час. И антивирь их гасил и немного мешал.
Методом тыка выяснилось что появляются они там при работе в Фаерфоксе. Сидел два вечера, пытался вызвать закачку вирусни (дело в том, что никакой антивирь в системе не находил вообще ничего, откуда следовало что качается как то стандартными средствами, и через то, что открыто в фаерволе), часто после их появления они пытались запуститься и крашились, доктор_ватсон пытался отправить отчет и только благодаря ему удалось глянуть откуда запускались вирусы (current dir была папка ФФ).
Удалил Акробат_ридер (5й стоял), все равно копировалось. По логам процесс_монитора и процесс_експлорером выяснилось что перед появлением файлов идет активная работа с java_install_reg.log там же в темпах. Короче это была "Java RunTime", либо дыра в ФФ позволяющая запускать что угодно. Снес ее, файлы прекратили появляться.
Однако сайт, на котором я все таки поймал моменты появления этой гадости был неожиданостью: http://forum.vingrad.ru/forum/delphi-kylix-pascal.html
Сохраненую страницу могу выложить (там переход по нескольким ссылкам в яваскриптах), без установленного java_runtime ФФ просит ее установить, при установленной пытается скачать pdf или что то еще.

Вот такая хренотень...

← →
Германн © (2010-02-10 02:19) [65]

> Однако сайт, на котором я все таки поймал моменты появления
> этой гадости был неожиданостью: http://forum.vingrad.ru/forum/

:)
Сам научил, сам и расхлёбывай. :)

← →
antonn © (2010-02-10 02:25) [66]

кого научил?

если кто захочет посмотреть страничку сохраненную - http://antonn.com/xlam/html_vira.zip (там в конце несколько редиректов на гадость, 166кб)

после перехода ФФ создавал два процесса http://antonn.com/xlam/Screenshot_%201_32_36.JPG , но такого ехе небыло в папке с ним, сам файл был в темпе и с дрпугим званием. После их отработки повлялись еще пара процессов http://antonn.com/xlam/Screenshot_32_41.JPG , после чего новоявленный svchost что то пытался проделать в темпе.
Обыдно... теперь сижу как "на иголках" и думаю чего они могли сделать деструктивного :(

← →
Германн © (2010-02-10 02:42) [67]

> antonn © (10.02.10 02:25) [66]
>
> кого научил?
>

А х.з. кого, ты там научил.

← →
Игорь Шевченко © (2010-02-10 02:44) [68]

> http://forum.vingrad.ru/forum/delphi-kylix-pascal.html

Программа Microsoft Security Essentials обнаружила потенциальные угрозы, которые могу нарушить конфиденциальность данных или повредить компьютер.

Обнаруженные элементы: TrojanDownloader:Win32/Swif.gen!A
Рекомендация: Удалить

> antonn (10.02.2010 02:14:04) [64]

Пользователи ФФ утверждают, что он не подвержен троянам мол, можно спокойно бегать по Инету и все будет чисто.

> Германн © (10.02.10 02:42) [67]
>
>
> > antonn © (10.02.10 02:25) [66]
> >
> > кого научил?
> >
>
> А х.з. кого, ты там научил.

Ты же сказал "научил", чему научил? Там в ротации банеров встречается зараза

> Anatoly Podgoretsky © (10.02.10 07:46) [69]
>
> > antonn (10.02.2010 02:14:04) [64]
>
> Пользователи ФФ утверждают

есть пользователи ИЕ, Хрома и Оперы которые утверждают то же самое.

> antonn (10.02.2010 09:22:10) [70]

Ты что, ИЕ маст дай, дырища во вселенную.

А у мня клиент тож ентот вирус подцепил. Вирус как вирус, фигня. Убивается и лечится елементарно.

← →
Лукошко (2010-02-11 15:36) [73]

KAV 6.0 for workstation
По ссылке обнаружен Trojan-Downloader.JS.Major.e, загрузку запретил

← →
han_malign (2010-02-11 16:24) [74]

> а причем тут шара, если вирусняк обнаруживался в темпах браузера?

- закройте 445 порт и у вас не будет некоторых приблуд ActiveDirectory(если вы в домене..., на вроде тонкой настройки прав доступа к шаре), но будет щастье...
(Брандмауэр Windows->Общий доступ к файлам и принтерам)

З.Ы. Если у вас нет шары, то это не значит , что вы не забыли удалить IPC$, ADMIN$, C$, etc. и добавили HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"Au toShareWks"=dword:00000000

Оффтоп почти. Бесплатный антивирь посоветуйте

> Бесплатный антивирь посоветуйте

Microsoft Security Essentials

Сейчас попробую

Поставил. Прикольно.
А чем оно отличается от "Защитника Windows" ?

наверное это его levelUp :)

> А чем оно отличается от "Защитника Windows" ?

Тем что антивирус. Это на случай, если ты описание читать не умеешь.

"Windows Defender detects and removes known spyware only. It is not designed to protect against the full breadth of malicious software, and specifically does not prevent viruses, worms, Trojans, and other malicious software from infecting your machine. The new no-cost solution will be a comprehensive anti-malware solution."

Win32/Kryptik троян подцепил Найти похожие ветки