Главная страница
    Top.Mail.Ru    Яндекс.Метрика
Форум: "Прочее";
Текущий архив: 2010.08.27;
Скачать: [xml.tar.bz2];

Вниз

Win32/Kryptik троян подцепил   Найти похожие ветки 

 
Piter ©   (2009-12-22 14:47) [0]

Впервые за несколько лет подцепил троян )) Хронология событий:

- NOD32 написал, что в папке "D&S\MyAccount\Главное меню\Программы\Автозагрузка\siszyd32.exe" находится троянский файл Win32/Kryptik.BMF , событие связано с svchost.exe. Я очень удивился и не втыкнул... То ли svchost зачем-то полез в автозагрузку и "смотрел" файлы, то ли он туда сам и записал этот siszyd32.exe. Может быть файлы из автозагрузки запускает при входе именно svchost?

- после этого стал сканировать диски. По пути "c:\windows\system32\winsrv32.exe" обнаружился троян Win32/Kryptik.BKZ , файл удалил

- в реестре (не помню уж в какой секции, вроде Registry -> Machine Run) был автозапуск этого "c:\windows\system32\winsrv32.exe", удалил. При этом NOD32 не ругался никогда на трояны / вирусы в памяти

- прошло несколько дней. И тут NOD32 опять выдает таблицу, что найден вирус в
"C:\System Volume Information\_restore{52996F55-CB0A-4065-8C8C-AF0B0DAD2DE4}\RP67\a0009115.exe" , причем событие опять связано с "c:\WINDOWS\system32\svchost.exe" , файл "a0009115.exe" удалил.

Сам "c:\windows\system32\svchost.exe" файл нормальный, занимает положенный ему размер в 14 336 байт (WIN XP SP3 RUS).

Я искал информацию об этом трояне в интернете. Принцип работы, к сожалению, не нашел, да и вообще информация скудная. У меня сформировалось несколько вопросов:

1) каким образом этот троян распространяется? (и насколько разные эти трояны Win32/Kryptik.BMF и Win32/Kryptik.BKZ). То есть, хочется знать, как я его подцепил. Возможные USB storage device в виде плеера и КПК я посмотрел, там нет файла autorun.inf (вроде другого способа автоматического запуска с флешки нету), другие устройства не использую

Подозрение еще насчет старого IE6 (но у него достаточно свежее обновление http://www.microsoft.com/downloads/details.aspx?FamilyID=22bed634-5227-4a22-8df5-801f3e2e232a&displaylang=en - от 7/28/2009, хотя с той поры может быть появились критические дырки). Этот IE используется обычно для тестирования совместимости сайтов, но по идее мог залезть на какой-нибудь нехороший сайт с помощью него, а так дефолтный браузер это Firefox последней версии.

Хотелось бы понять как распространяется этот троян, может у кого есть информация

2) не нравится мне, что отловленные монитором NOD32 события по троянским файлам связаны с svchost.exe. В принципе, ничего такого, если:
svchost.exe вполне может при определенных обстоятельствах "полезть" в "Главное меню\Программы\Автозагрузка\"
svchost.exe вполне может при определенных обстоятельствах "полезть" в точку восстановления

Если svchost.exe действительно мог совершать эти действия (например, зачем то открывать на чтение эти файлы или получать список файлов в этих папках), то проблем нету, но зачем он это делает? Замечу, что когда отловилось событие с файлом точки восстановления "...\RP67\a0009115.exe" то в это время ничего не восстанавливалось, я вообще к службе восстановления давно не прикасалс. Отошел покушать, возвращаюсь - висит красное окно NOD32 с предупреждением.

3) мог ли файл с трояном легальным образом попасть в точку восстановления? Ведь троян был по адресу "c:\windows\system32\winsrv32.exe", я не знаю как работает система восстановления. Один раз записав туда EXE"шник - система будет его контролировать и делает резервные копии всех EXE файлов в каталоге с windows?

Вот такие волнующие меня три вопроса.


 
cwl ©   (2009-12-22 15:26) [1]

в svchost мог быть внедрен сторонним процессом поток - при наличии соотв. прав, i guess


 
Piter ©   (2009-12-22 15:36) [2]

может такое быть, согласен. В принципе, это один из вариантов ответа на вопрос номер 2)


 
antonn ©   (2009-12-22 16:45) [3]


> Замечу, что когда отловилось событие с файлом точки восстановления
> "...\RP67\a0009115.exe" то в это время ничего не восстанавливалось,
>  я вообще к службе восстановления давно не прикасалс

может оно не восстанавливалось, а бекапилось, либо шла проверка на "срок годности".

аналогично подхватил эту гадость, лежала в темпах (local settings), ехе весом под 35кб. В св-вах указана была что то типа "Nero BurnRights Control Panel", что несколько удивило (неро был, но поставлен давно, и без этого барахла). Но нод на то время вирус не определял, во фаерволу она никуда не случалась. Удалил ее, стал несколько дней следить за темпами. Заметил, что после краша браузера (ФФ, без надстроек) появлялся новый ехе в темпах, с разными св-вами косящими под реальные продукты (неро апдейт центре, неро лицензед верифиер), но размеры 30-40кб.
Позже НОД обновился, и обнаружился Криптик.BGI и BHA. Перешерстил все службы, надстройки, порты, перелопалил все - ну неоткуда. Грешу на ноут в своей подсети, там тоже были вирусы (другие, дамы не особо заморачиваясь пихали в них флешки и запускали проги из писем "посмотри как мы оторвались на этих выходных http://dsfsdfdsf.cm/exe"), а на моем компе учетка Пользователя была без пароля, может вирусняк по шаре копирнулся как то...


 
Piter ©   (2009-12-22 16:57) [4]

antonn ©   (22.12.09 16:45) [3]
может оно не восстанавливалось, а бекапилось, либо шла проверка на "срок годности".


да вполне вероятно. Вопрос был в том, разве этим занимается именно svchost? Если да - то никаких проблем. Я писал:

если:
svchost.exe вполне может при определенных обстоятельствах "полезть" в "Главное меню\Программы\Автозагрузка\"
svchost.exe вполне может при определенных обстоятельствах "полезть" в точку восстановления

Если действительно все так и он может так - то никаких проблем. Он просто вызвал активность по которой NOD32 стал проверять файлы и нашел вирусняк. Я спрашивал про то - может ли.

И еще интересует два вопроса - собственно, как он попал в мой комп.
И второе - как он попал в точку восстановления. Опять же, если винда автоматически бекапит все EXE"шники (как бы они туда не попали) из директории windows\system32, то тогда тоже все понятно.


 
Piter ©   (2009-12-22 16:59) [5]

antonn ©   (22.12.09 16:45) [3]
аналогично подхватил эту гадость, лежала в темпах (local settings), ехе весом под 35кб


antonn ©   (22.12.09 16:45) [3]
может вирусняк по шаре копирнулся как то...


а причем тут шара, если вирусняк обнаруживался в темпах браузера?

Хм, надо сказать что я тоже обнаруживал вирусняки в темпах браузера.. Так значит судя по всему уязвимость в Firefox есть? И ты им пользовался, и я.. И у обоих копии трояна в темповых директориях... Я грешил на IE 6 сначала.. На твоем компе пользуются IE и в частности шестой версией?


 
Piter ©   (2009-12-22 17:05) [6]

блин, в общем поэтому я и хочу найти информацию о том, как конкретно этот вирус распространяется и распространяется ли самостоятельно, используя какие-то дырки.

Если распространяется через браузеры, то тогда вопрос сводится к одному - он попал ко мне или через дырявый FF, или через дырявый IE 6. Я склоняюсь к последней версии, хотя в качестве основного браузера у меня FF.
Если же дыра в FF - это плохо...


 
antonn ©   (2009-12-22 17:09) [7]


> а причем тут шара, если вирусняк обнаруживался в темпах
> браузера?

C:\Documents and Settings\antonn\Local Settings\Temp


> Вопрос был в том, разве этим занимается именно svchost?

потому что это хост, а служба восстановления может им пользоваться? :)
служба индексации? программа очистки диска? (ведь у обычного юзера туда нет доступа (разрешен вход только для SYSTEM), значит программа очистки дисков чем то пользуется системным?)

ие у меня навечно с момента установки в фаерволе забанен :)
ФФ1.0 =)


 
Piter ©   (2009-12-22 17:31) [8]

То есть, вирус ты не через IE подцепил...

Хм, а у меня как раз исключается вариант через шару, нет ее. Также я почти исключил вариант насчет флешек. У меня их как таковых нету, давно никакими не пользовался, есть плеер и КПК, но там чисто.

Или это просто сетевая уязвимость в windows (у меня достаточно свежие обновления) или через FF получается.. Но у меня FF последний всегда (сейчас 3.5.6), у тебя вообще первая версия.

Получается, в FF есть уязвимость еще с первой версии и не вылеченная до сих пор? Странно, странно.

И точно также обнаруживается копия вируса в "Local Settings\Temp". Как она туда попадает?! Или это именно действие вируса, что он свою копию пишет туда? Но почему-то там она обнаруживается, а в памяти нет.

antonn ©   (22.12.09 17:09) [7]
ведь у обычного юзера туда нет доступа (разрешен вход только для SYSTEM


с одной стороны да. С другой стороны из под аккаунта администратора ничего не мешает дать себе доступ в эта папку, записать туда что-то, а потом для невидимости снять доступ, как бдуто ничего и не было )

Но как туда вирус попал? А точнее, специально ли он это сдела и если да - то зачем? Чтобы при откате восстановиться?


 
Piter ©   (2009-12-22 17:34) [9]

есть еще вариант. Adobe признала уязвимость в java обработке сценариев в PDF файлах, а исправление выпустят только в январе. У тебя в качетве PDF ридера используется Acrobat Reader? Может через него зараза лезет, открываешь PDF файлы?

С другой стороны я выключил обработку java в настройках ридера, но может зараза успела просочиться чуть раньше...


 
antonn ©   (2009-12-22 17:53) [10]

Про падение ФФ - может и совпадение, просто когда он падает я злюсь, и пока запускается (а запуск после краша с подвисонами - кеш чистит) я лезу в темп :)

насчет Явы - она, к сожалению, стоит (из-за упса APC). И по pdf тоже интересно - http://www.php.ru/forum/viewtopic.php?t=22185 . В тот день мне наинжектили гадостей на сайте, и при открытии страницы открывался Актобат (версии 5.0). Но после я вообще провел генеральную проверку. Так же замечу что иногда бывает  акробат открывается в других сайтах (часто при поиске попадаю на какой нить сайт, там попап, и с него что то пытается открыться) и в конце открытия выдает "документ поврежден".

Все таки думаю что мне скинули его с ноута по сети, там прям в C:\Documents and Settings\antonn\Local Settings\ валялись файлы ехе (и до вчерашнего дня валялись, пока я их просто не удалил, новый НОД в них не видел гадостей). Думаю мож по сети в шару кинулись. Либо сидит какая нить гадость "downloader" и качает, но фаервол то настроен так что не переключив режим в нем даже окно на новое правило не появляется.

Вообще я нашел Криптик 1 декабря. После массовых проверок больше ничего в темпах не появляется. До 1декабря у меня стоял НОД2.53 (последние цифры не помню), и вот с ним возникла такая неприятность - я привык когда все антивирусы срабатывают на файлы даже если откроешь папку (перебор файлов "браузером" и сразу их проверка на лету), а тут заметив ехе я выделяю его - слева в сайдбаре показывается его размер. Открцываю св-ва файла, читаю инфо и прочее. Щелкаю правой кнопкой, в меню "проверка на вирус" - нод находит вирус.
Скачал НОД4, получил лицензию на 3 месяца, он проверяет файлы все и на лету, как и надо. Что случилось со старым нодом я не пойму :(

Из вне ко мне на шару довольно трудно добраться, стоит маршрутизатор с НАТ, да и сомневаюсь что динамический адрес стрима так же пробивается насквозь. Грешу на домашних, втыкают флешки туда-сюда, дипломы пишут, а значит это вся помойка интернета с кучами рефератов.

Если кто сообращает - могу выслать архив с вирусом Kryptic.BGI, сам я его теперь даже распаковать не могу, а с виртуальными машинами связываться не хочется :)


 
antonn ©   (2009-12-22 17:56) [11]

да, и еще - впервые за много лет мне был подправлен файлик hosts, в котором редиректы стояли с однокласников и моего_мира.


 
boa_kaa ©   (2009-12-22 21:26) [12]

Читал и рыдал
Мужики, если антивирус находит "что-то" в RP, убивайте их все, если в темпе, убить весь темп
Всех дырок в системе/броузерах/(и кстати, особенно)в адобовских продуктах не пересчитать, да и бессмысленно это
Занятие типа: я заболел гриппом и сижу думаю, где я его мог подцепить, в трамвае или в гостях, а может и вовсе в налоговой
Тут только лечиться и витамины пить
Ну и под админом не сидеть - меньше шансов поймать эксплойт, который сам по получает админские или системные права

PS. Мне такие штуки по пять раз на дню приходится выковыривать


 
Anatoly Podgoretsky ©   (2009-12-22 21:30) [13]

> boa_kaa  (22.12.2009 21:26:12)  [12]

Лучше сидеть в бане.


 
boa_kaa ©   (2009-12-22 21:41) [14]


> Anatoly Podgoretsky ©   (22.12.09 21:30) [13]

эх, кто бы спорил, но не я...


 
Smile   (2009-12-22 21:55) [15]

> Читал и рыдал
> Тут только лечиться и витамины пить

Действительно. А кто мешает погуглить по winsrv32.exe
Ну и, конечно, своевременно обновлять антивирусы.
А сейчас, скорее всего, необходимо прогнать на компе CureIt и AVZ

Успехов


 
Smile   (2009-12-22 21:57) [16]

> Читал и рыдал
> Тут только лечиться и витамины пить

Действительно. А кто мешает погуглить по winsrv32.exe
Ну и, конечно, своевременно обновлять антивирусы.
А сейчас, скорее всего, необходимо прогнать на компе CureIt и AVZ

Успехов


 
boa_kaa ©   (2009-12-22 22:17) [17]


> Smile   (22.12.09 21:55) [15]

спасибо, еще насмешил


 
antonn ©   (2009-12-23 00:15) [18]


> Мужики, если антивирус находит "что-то" в RP

Когда что-то находит - убиваем, когда он что то не находит - это подозрительно.


> Занятие типа: я заболел гриппом и сижу думаю, где я его
> мог подцепить, в трамвае или в гостях, а может и вовсе в
> налоговой
> Тут только лечиться и витамины пить

Это вполне нормально - искать причину появления, дабы закрыть дырку и предотвратить повторное заражение. То, что это нужно лечить и так понятно


 
antonn ©   (2009-12-23 00:16) [19]


> PS. Мне такие штуки по пять раз на дню приходится выковыривать

стоит потратить немного времени, найти дырку, и не нужно будет по пять раз на дню выковыривать


 
Наиль ©   (2009-12-23 00:31) [20]

Нужно прогнать c:\windows\system32\winsrv32.exe через http://www.virustotal.com/ru/
Так вы узнаете другие названия вируса.
А по названиям найдёте описания вируса и дыр.
Сделайте поиск в поисковике адреса, куда ссылался hosts


 
Наиль ©   (2009-12-23 00:53) [21]

Не знаю откроется ли у вас эта ссылка, но всё-таки попробуйте
http://virusinfo.info/search.php?searchid=1099231
О лечении криптика.
Криптики, судя по инфе из интернета, программы подделки.
Вспоминайте, что скачивали и устанавливали на компьютер в последнее время.


 
Rouse_ ©   (2009-12-23 02:59) [22]

Мне интересно, а почему NOD32 называют антивирусом? Что он такое делает - то?


 
Аноним ©   (2009-12-23 03:04) [23]


> Мне интересно, а почему NOD32 называют антивирусом? Что
> он такое делает - то?

а что он делает не так?
вроде перехват таблицы системных и shadow таблицы уже все умеют, нет?


 
Rouse_ ©   (2009-12-23 03:06) [24]


> а что он делает не так?
> вроде перехват таблицы системных и shadow таблицы уже все
> умеют, нет?

Ах, ну да - на этом видимо и нужно остановиться, или таки антивирь должен идти немного дальше, чтоб его не имели во все щели?


 
Аноним ©   (2009-12-23 03:09) [25]


> Ах, ну да - на этом видимо и нужно остановиться, или таки
> антивирь должен идти немного дальше, чтоб его не имели во
> все щели?

что имеется в виду?
посадка первым туда? защита от модификаций своего кода? еще что-то?
я к есету отношения не имею, мне просто интересно


 
Игорь Шевченко ©   (2009-12-23 03:12) [26]

Rouse_ ©   (23.12.09 02:59) [22]


> Мне интересно, а почему NOD32 называют антивирусом? Что
> он такое делает - то?


Изучай:
http://www.eset.com/products/nod32.php


 
Rouse_ ©   (2009-12-23 03:14) [27]

Ну вот тебе на вскидку - инжект кода в доверенное приложение не отслеживается. Увы и ах. Контроль целостности самого себя не хотят правильно делать. Я уж не говорю о казалось бы банальной вещи как контроль доступа к Physical Memory.


 
Rouse_ ©   (2009-12-23 03:15) [28]


> Игорь Шевченко ©   (23.12.09 03:12) [26]

Игорь, сию муру процитируй плз на то-же касперском, симантике и дрвебе. Тебе много линков для изучения пришлют.


 
Игорь Шевченко ©   (2009-12-23 03:20) [29]

Rouse_ ©   (23.12.09 03:15) [28]


> Тебе много линков для изучения пришлют.


Про Касперского и Дрвеба и без того много линков. По большей части матерных.


 
Аноним ©   (2009-12-23 03:22) [30]


> Ну вот тебе на вскидку - инжект кода в доверенное приложение
> не отслеживается. Увы и ах. Контроль целостности самого
> себя не хотят правильно делать. Я уж не говорю о казалось
> бы банальной вещи как контроль доступа к Physical Memory.
>

tnx
изучу
не знал, что так плохо


 
Rouse_ ©   (2009-12-23 03:23) [31]

Ну это все от безграмотности.
Пользователи - что с них взять, сам знаешь ;)
Ошибки - это философия...
Рассказывают, что где-то за окияном есть компьютер на котором что-то не работает ;)


 
Rouse_ ©   (2009-12-23 03:24) [32]


> Rouse_ ©   (23.12.09 03:23) [31]
>
> Ну это все от безграмотности.

Пардон - это ответ Игорю про пользователей :)


 
Игорь Шевченко ©   (2009-12-23 03:25) [33]


> Ну это все от безграмотности.


Или от дилетантства.


 
Rouse_ ©   (2009-12-23 03:27) [34]


> Игорь Шевченко ©   (23.12.09 03:25) [33]
>
>
> > Ну это все от безграмотности.
>
>
> Или от дилетантства.

Согласен


 
Аноним ©   (2009-12-23 03:37) [35]

продолжим обсуждение (интересно)
на рсдн недавно ругали макафи за излишнию паронаидальность
это нормально?


 
Rouse_ ©   (2009-12-23 03:48) [36]

Про макафи не скажу - но Simantec страдает параноей при вызове sysenter. Обходится правкой MSR.
NOD32 тормозит на всех составных файлах (IStorage) причем ему походу параллельно на исключения по расширению файла. (MSI-туда же)
Каспер (самый последний) и комодо просто параноинально относятся к изменениям в памяти процесса и исполнению кода на стэке (DEP отключен но они берут на себя его функуции по всей видимости).
Керио и Аутпост - помягче, но так же не допускают исполнения кода на стеке или из кучи, но более того, если при этом происходит вызов железяки через DeviceIO программа может мягко умереть.
Самый гуманный - это какой-то зверь от майкрософт, не помню как он называется, ну типа защитник всего. Он без вообще всяких предупреждений и диалогов тупо убивает программу с диска и все :)


 
Аноним ©   (2009-12-23 03:53) [37]


> Про макафи не скажу

я сейчас поищу ссылку


> Каспер (самый последний) и комодо

доставляли хлопот, да


> Самый гуманный - это какой-то зверь от майкрософт, не помню
> как он называется, ну типа защитник всего. Он без вообще
> всяких предупреждений и диалогов тупо убивает программу
> с диска и все :)

гуманно :-)


 
Аноним ©   (2009-12-23 04:01) [38]

нашел
http://www.rsdn.ru/forum/message/3622824.1.aspx
унутре ветки отписывался Крис Касперски (мне все равно кто и как к нему относится) он сейчас в макафи и работает


 
Rouse_ ©   (2009-12-23 04:14) [39]

А что Крис - ну раньше был немножко плагиатщиком - подумаешь, но в последние полтора года вроде на гора выдает собственный реверс. Умница.
Но вот ссылка немного не в тему, это фалсаларм, с которым должны работать не производители ПО, а производители АВ. Мы, например, контактируем в тремя крупными АВ разработчиками и периодически приходится перенапрявлять запросы в нашу тех поддержук на них. Обычно решается все часа за два.

ЗЫ: кстати у Криса и конторы, на которую он сейчас работает, есть оригинальный эмулирующий отладчик с графами. Вот где сама соль... Я тоже такое хочу :)


 
Аноним ©   (2009-12-23 04:23) [40]

ссылка как раз в тему - касается всех производителей самопальных защит - тебя и меня, как понимаю
фалсы - удар лично по моему корману


 
Rouse_ ©   (2009-12-23 04:26) [41]

Ну хорошо, вот смотри - я делаю анитивирус, который запрещает исполнение кода на TLS - все, фуррор, 99 процентов защит перестают работать. Я получу выгоду или нет с этого или меня удалят моментально как больной и не пригодный продукт?


 
Аноним ©   (2009-12-23 04:37) [42]

99% - не пригодный продукт

к тому же, моя не перестанет - мутабельная ВМ - свой код меняет от компилияции к компиляции
и (в узких пределах пока) меняется код проверки ключей


 
Rouse_ ©   (2009-12-23 04:45) [43]


> Аноним ©   (23.12.09 04:37) [42]
>
> 99% - не пригодный продукт

Вот видишь, значит если все разработчики АВ будут писать так, как я описал выше - то твой ВМ с пермутацией кода просто не запуститься нигде. :) Стало быть где-то в логике ошибка :)


 
Аноним ©   (2009-12-23 04:49) [44]


> то твой ВМ с пермутацией кода просто не запуститься нигде.
>  :) Стало быть где-то в логике ошибка :)

вывод - идеальной защиты нет (известно)
вывод2 - все артивири будут врать (известно)
:-)


 
Rouse_ ©   (2009-12-23 04:51) [45]


> Аноним ©   (23.12.09 04:49) [44]

Подписываюсь под каждой букывкой, ибо проверено практикой :)


 
Аноним ©   (2009-12-23 04:52) [46]


> вывод - идеальной защиты нет (известно)вывод2 - все артивири
> будут врать (известно)

не закончил мысль
сферы деятельности таки надо разграничивать - где быть ненадежным, а кому врать
бо портят таки карму разработчикам


 
Аноним ©   (2009-12-23 04:54) [47]


> где быть ненадежным, а кому врать

и опять не закончил :-)
фалс может ударить по продавцу ПО очень сильно


 
Rouse_ ©   (2009-12-23 04:57) [48]


> где быть ненадежным, а кому врать
> бо портят таки карму разработчикам

Палка о трех концах.
Первый - врать работодателю (чревато)
Второй - врать пользователю (чревато)
Третий - врать менеджемту и отделу внедрения - а они сами кому хошь с киллогран на ухи положат.

А вообще проще обьяснить все простыми словами - "Security is a process, not a product" © Bruce Schneier


 
Аноним ©   (2009-12-23 05:01) [49]

не всегда это просто обьяснить
далеко не всегда
но это уже совсем другой разговор :-)


 
Rouse_ ©   (2009-12-23 05:07) [50]

Если чесно могу признаться, я обычно строю системы защиты на достаточно низком уровне, чтоб не вникать - до нулевого кольца включительно. На моей практике было три фалса - первый слишком увлекся и вылез за предоставляемые W2К возможности, второй - слишком торопился и забыл врубить поддержку ядром защиты 64-битных ОС, третий раз - меня тупо не предупредили о изменениях в базовом коде и продукт вышет с ограничениями. За все три раза проблемы с пользователями решались за пару дней - перекомпиляция и новый блд в зубы. Никаких матюганий и т.п. небыло от них :)
Так что я не вижу никаких проблек которые ты себе рисуешь, хотя и скорее всего просто не полностью вникаю в суть твоего продукта...


 
boa_kaa ©   (2009-12-23 06:24) [51]


> antonn ©   (23.12.09 00:16) [19]
> стоит потратить немного времени, найти дырку, и не нужно будет
> по пять раз на дню выковыривать

да не у себя же


 
Аноним ©   (2009-12-23 10:46) [52]


> Rouse_ ©   (23.12.09 05:07) [50]

с мутацией сложнее - эвристики нервничают
это ж вирусы используют, а значит заранее - плохо

не продукт, так поделка для личного использования


 
Игорь Шевченко ©   (2009-12-23 10:54) [53]

А что что скажет за Security Essentials ?

http://www.microsoft.com/security_essentials?mkt=ru-ru


 
Игорь Шевченко ©   (2009-12-23 11:05) [54]


> Ну вот тебе на вскидку - инжект кода в доверенное приложение
> не отслеживается. Увы и ах.


Запрети SetWindowsHook и создание общих оконных классов законодательно.


 
brother ©   (2009-12-23 11:09) [55]

> Запрети SetWindowsHook и создание общих оконных классов
> законодательно.

некоторое время помучаешься обучая прогу (тотже OutPost), но потом - как в танке)


 
Anatoly Podgoretsky ©   (2009-12-23 12:53) [56]

> Аноним  (23.12.2009 03:37:35)  [35]

Не наблюдаю.


 
Аноним ©   (2009-12-23 13:01) [57]


> Не наблюдаю.

ссылка приведена
у меня с ним проблем тоже не было


 
Piter ©   (2009-12-23 14:22) [58]

Что-то удивил меня Розыч в этой ветке.

Саш, так напиши свой антивирус, если ты такой крутой.


 
Rouse_ ©   (2009-12-23 14:31) [59]


> Игорь Шевченко ©   (23.12.09 10:54) [53]
>
> А что что скажет за Security Essentials ?

Не, там другая какая-то ерунда была, windows defender чтоли или как-то так.
Про этот первый раз слышу.


> Piter ©   (23.12.09 14:22) [58]
> Саш, так напиши свой антивирус, если ты такой крутой.

Нафига мне этот головняк? Мне достаточно существующих ныне кучки антивирусов и псевдоантивирусов стоящих на машинах у пользователей.
То один запрежает VirtualProtect делать на свою-же память, другой держит файл при открытии - с этим тож надо учиться бороться :)


 
Anatoly Podgoretsky ©   (2009-12-23 15:31) [60]

Игорь Шевченко ©   (23.12.09 10:54) [53]
Про MSE сложно что сказать, кроме того, что бесплатно и для дома, даже про Fore Front трудно что сказать, информации мало.

Думаю, что они на общей базе вирусов и на общем движке работают, только MSE для домашнего применения. А FF очень сложная и мощная штука для крупных корпораций самое то.

Но это все что можно сказать.


 
Anatoly Podgoretsky ©   (2009-12-23 15:33) [61]

Кстати МС сейчас много экспериментирует в маркетинговом плане по данной отрасли. Запутывает ситуацию.


 
Игорь Шевченко ©   (2009-12-23 15:40) [62]

Anatoly Podgoretsky ©   (23.12.09 15:31) [60]


> Кстати МС сейчас много экспериментирует в маркетинговом
> плане по данной отрасли


Им же Еврокомиссия счет за Media Player выставила, дескать, альтернативы не предоставляет. Теперь повод будет счет выставить в защиту независимых производителей антивирусного ПО. А так же производителей файрволлов и дефендеров (типа COMODO)


 
Anatoly Podgoretsky ©   (2009-12-23 15:50) [63]

> Игорь Шевченко  (23.12.2009 15:40:02)  [62]

Наверно поэтому путают, спискок антивирусных продуктом у них уже внушительный.


 
antonn ©   (2010-02-10 02:14) [64]

АП! но не тот :)
нашел "утечку", в фаерфоксе, где сыпались эти Криптики (особенно CHA). Трудность была в том, что вирусы появлялись в temp неперемещаемого профиля спонтанно (как мне казалось), то раз в неделю, то в две, то два раза в час. И антивирь их гасил и немного мешал.
Методом тыка выяснилось что появляются они там при работе в Фаерфоксе. Сидел два вечера, пытался вызвать закачку вирусни (дело в том, что никакой антивирь в системе не находил вообще ничего, откуда следовало что качается как то стандартными средствами, и через то, что открыто в фаерволе), часто после их появления они пытались запуститься и крашились, доктор_ватсон пытался отправить отчет и только благодаря ему удалось глянуть откуда запускались вирусы (current dir была папка ФФ).
Удалил Акробат_ридер (5й стоял), все равно копировалось. По логам процесс_монитора и процесс_експлорером выяснилось что перед появлением файлов идет активная работа с java_install_reg.log там же в темпах. Короче это была "Java RunTime", либо дыра в ФФ позволяющая запускать что угодно. Снес ее, файлы прекратили появляться.
Однако сайт, на котором я все таки поймал моменты появления этой гадости был неожиданостью: http://forum.vingrad.ru/forum/delphi-kylix-pascal.html
Сохраненую страницу могу выложить (там переход по нескольким ссылкам в яваскриптах), без установленного java_runtime ФФ просит ее установить, при установленной пытается скачать pdf или что то еще.

Вот такая хренотень...


 
Германн ©   (2010-02-10 02:19) [65]


> Однако сайт, на котором я все таки поймал моменты появления
> этой гадости был неожиданостью: http://forum.vingrad.ru/forum/

:)
Сам научил, сам и расхлёбывай. :)


 
antonn ©   (2010-02-10 02:25) [66]

кого научил?

если кто захочет посмотреть страничку сохраненную - http://antonn.com/xlam/html_vira.zip (там в конце несколько редиректов на гадость, 166кб)

после перехода ФФ создавал два процесса http://antonn.com/xlam/Screenshot_%201_32_36.JPG , но такого ехе небыло в папке с ним, сам файл был в темпе и с дрпугим званием. После их отработки повлялись еще пара процессов http://antonn.com/xlam/Screenshot_32_41.JPG , после чего новоявленный svchost что то пытался проделать в темпе.
Обыдно... теперь сижу как "на иголках" и думаю чего они могли сделать деструктивного :(


 
Германн ©   (2010-02-10 02:42) [67]


> antonn ©   (10.02.10 02:25) [66]
>
> кого научил?
>

А х.з. кого, ты там научил.


 
Игорь Шевченко ©   (2010-02-10 02:44) [68]


>  http://forum.vingrad.ru/forum/delphi-kylix-pascal.html


Программа Microsoft Security Essentials обнаружила потенциальные угрозы, которые могу нарушить конфиденциальность данных или повредить компьютер.

Обнаруженные элементы: TrojanDownloader:Win32/Swif.gen!A
Рекомендация: Удалить


 
Anatoly Podgoretsky ©   (2010-02-10 07:46) [69]

> antonn  (10.02.2010 02:14:04)  [64]

Пользователи ФФ утверждают, что он не подвержен троянам мол, можно спокойно бегать по Инету и все будет чисто.


 
antonn ©   (2010-02-10 09:22) [70]


> Германн ©   (10.02.10 02:42) [67]
>
>
> > antonn ©   (10.02.10 02:25) [66]
> >
> > кого научил?
> >
>
> А х.з. кого, ты там научил.

Ты же сказал "научил", чему научил? Там в ротации банеров встречается зараза


> Anatoly Podgoretsky ©   (10.02.10 07:46) [69]
>
> > antonn  (10.02.2010 02:14:04)  [64]
>
> Пользователи ФФ утверждают

есть пользователи ИЕ, Хрома и Оперы которые утверждают то же самое.


 
Anatoly Podgoretsky ©   (2010-02-10 17:04) [71]

> antonn  (10.02.2010 09:22:10)  [70]

Ты что, ИЕ маст дай, дырища во вселенную.


 
KilkennyCat ©   (2010-02-10 23:55) [72]

А у мня клиент тож ентот вирус подцепил. Вирус как вирус, фигня. Убивается и лечится елементарно.


 
Лукошко   (2010-02-11 15:36) [73]

KAV 6.0 for workstation
По ссылке обнаружен Trojan-Downloader.JS.Major.e, загрузку запретил


 
han_malign   (2010-02-11 16:24) [74]

> а причем тут шара, если вирусняк обнаруживался в темпах браузера?

- закройте 445 порт и у вас не будет некоторых приблуд ActiveDirectory(если вы в домене..., на вроде тонкой настройки прав доступа к шаре), но будет щастье...
(Брандмауэр Windows->Общий доступ к файлам и принтерам)

З.Ы. Если у вас нет шары, то это не значит , что вы не забыли удалить IPC$, ADMIN$, C$, etc. и добавили HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\"Au toShareWks"=dword:00000000


 
Kerk ©   (2010-02-11 16:35) [75]

Оффтоп почти. Бесплатный антивирь посоветуйте


 
Игорь Шевченко ©   (2010-02-11 17:24) [76]


>  Бесплатный антивирь посоветуйте


Microsoft Security Essentials


 
Kerk ©   (2010-02-11 17:44) [77]

Сейчас попробую


 
Kerk ©   (2010-02-11 19:13) [78]

Поставил. Прикольно.
А чем оно отличается от "Защитника Windows" ?


 
antonn ©   (2010-02-11 19:24) [79]

наверное это его levelUp :)


 
Игорь Шевченко ©   (2010-02-11 19:34) [80]


> А чем оно отличается от "Защитника Windows" ?


Тем что антивирус. Это на случай, если ты описание читать не умеешь.

"Windows Defender detects and removes known spyware only. It is not designed to protect against the full breadth of malicious software, and specifically does not prevent viruses, worms, Trojans, and other malicious software from infecting your machine. The new no-cost solution will be a comprehensive anti-malware solution."


 
Демо ©   (2010-02-11 19:51) [81]


> Игорь Шевченко ©   (11.02.10 17:24) [76]
>
> >  Бесплатный антивирь посоветуйте
>
>
> Microsoft Security Essentials


Около 2-3 недель пользуюсь этим антивирусом. Пока нравится.
Неприхотливый к памяти, слабо процессор загружает, обновляетсчя практически ежедневно.
Подождём пока какая-нибудь зараза прицепится-)


 
Игорь Шевченко ©   (2010-02-11 20:01) [82]

Демо ©   (11.02.10 19:51) [81]

Производители антивирусов уже строчат жалобы в Европарламент или кто там активно MS штрафует.


 
Anatoly Podgoretsky ©   (2010-02-11 20:08) [83]

> Игорь Шевченко  (11.02.2010 20:01:22)  [82]

Там большая очередь на штрафы.


 
Демо ©   (2010-02-11 20:18) [84]


> горь Шевченко ©   (11.02.10 20:01) [82]
> Демо ©   (11.02.10 19:51) [81]
>
> Производители антивирусов уже строчат жалобы в Европарламент
> или кто там активно MS штрафует.


Ну конечно. MS ведь опять у них кусок хлеба отбирает.


 
wl ©   (2010-02-24 01:46) [85]

прикольно, пытаются укусить руку, которая их кормит (под windows же они пишут антивирусы?)


 
Anatoly Podgoretsky ©   (2010-02-24 13:07) [86]

Я за последние дни поставил с десяток MSE на слабые машины, душу радует. Работа почти не заметна.


 
antonn ©   (2010-02-24 13:53) [87]

Я за последние три месяца наблюдаю этот антивирь на сотне машин PIV4 1.8/2.66 c 256Мб оперы. Душу греет чай, который можно вскипятить, заварить, выпить и побеседовать по душам, пока компьютер отомрет.


 
Anatoly Podgoretsky ©   (2010-02-24 14:45) [88]

У меня машины немного сллабее, Целерон 2.4, работает необычайно быстро. В настройка отменил сканирование по рассписанию и это вся настройка. Компьютеры в основном загружаются за 1.5 минуты. Правда компьютеры не в домене и отключено автовостановление. Я не знаю почему у тебя так медленно. Такое у меня было со старым антивирусом. Загрузка шла десятки минут.


 
tesseract ©   (2010-02-24 14:49) [89]


> Около 2-3 недель пользуюсь этим антивирусом. Пока нравится.
>
> Неприхотливый к памяти, слабо процессор загружает, обновляетсчя
> практически ежедневно.


Спроси про него у Rouse  - он сильно его любит :-) Вирусняк он почти не ловит. Такое ощущение, что его создали дабы активаторы убивать. Их он мочит с удовольствием. А вот вирусы пропускает активно.


 
Rouse_ ©   (2010-02-24 14:54) [90]

Ыц, я про defender гворил, так ша не нада меня спрашивать :)))


 
Anatoly Podgoretsky ©   (2010-02-24 15:00) [91]

Вообще то хотелось услышать тех кто его давно использует, по части ловли/пропуска вирусов. Defender теперь встроен в него.
Вообще то это часть очень большой системы под общим названием ForeFront, куда много чего входит и система маштабируется от добашнего пользователя до очень курпных корпораций.


 
Anatoly Podgoretsky ©   (2010-02-24 15:01) [92]

Я понял почему так мало информации, наверно МС побаивается Еврорекетеров.


 
tesseract ©   (2010-02-24 15:19) [93]


> по части ловли/пропуска вирусов


Больше пропускает, чем ловит. Странный очень.


 
Игорь Шевченко ©   (2010-02-24 15:27) [94]

tesseract ©   (24.02.10 15:19) [93]


> Больше пропускает, чем ловит


Ты про Security Essentials ?
Не наблюдал подобного поведения.


 
Anatoly Podgoretsky ©   (2010-02-24 15:28) [95]

А вроде для создания закупили три антивируса, вместе с фирмами.
Нк ладно, я пока ставлю на домашнии компьютеры, а мне их не жалко.


 
tesseract ©   (2010-02-24 15:31) [96]


> Не наблюдал подобного поведения.


Пропустил много из того, что drweb поймал. Особенно всяких троянов не нюхает.


 
antonn ©   (2010-02-24 16:42) [97]


> Anatoly Podgoretsky ©   (24.02.10 14:45) [88]

дело не в загрузке (компы обычно не перегружаются сутками), а в том, что отожрав 150Мб оперативки (не виртуальной, нее) под остальное остается как-то уж мало ресурсов, и все это дело постоянно свопит. Компы в домене. А уж если антивирь вздумает пообновляться...


 
Игорь Шевченко ©   (2010-02-24 16:45) [98]

tesseract ©   (24.02.10 15:31) [96]

drWeb замечен в ловле лишнего.

статистика между Nod32 и MS Security Essential по старым вирусам совпадает.

Ты дай эта...то, что drWeb ловит ?


 
Anatoly Podgoretsky ©   (2010-02-24 16:58) [99]


> antonn ©   (24.02.10 16:42) [97]

Загрузка хороший индикатор влияния антивируса.


 
tesseract ©   (2010-02-24 17:13) [100]


> Ты дай эта...то, что drWeb ловит ?


Ну эта... Я зверей не держу ужо. Поймал - в утиль. AutoRun чего-то там точно ему не по зубам был - пропустил в систему  и даже на флэшку не поругался. Потом пришлось долго выковыривать.


> по старым вирусам совпадает.


Старые и так быстро проходят. Новые веселее.


 
Anatoly Podgoretsky ©   (2010-02-24 17:17) [101]

Я бы озаботился старыми, поскольку некоторые антивирусы хитро поступают, с целью повышения быстродействия, просто выкидывают их из детектирования.



Страницы: 1 2 3 вся ветка

Форум: "Прочее";
Текущий архив: 2010.08.27;
Скачать: [xml.tar.bz2];

Наверх




Память: 0.76 MB
Время: 0.065 c
15-1269450049
Zver
2010-03-24 20:00
2010.08.27
Дискреционная политика безопасности.


2-1274347680
slay64
2010-05-20 13:28
2010.08.27
Обнаружена ошибка. Приложение будет закрыто....


15-1270029089
test
2010-03-31 13:51
2010.08.27
Microsoft Visual Studio 2010 beta 2


2-1272781981
ixen
2010-05-02 10:33
2010.08.27
Как отобразить дату по маске в Dblookupcombobox?


2-1271829332
vegarulez
2010-04-21 09:55
2010.08.27
Как в KaZip`е корректно работать с русскими названиями файлов?





Afrikaans Albanian Arabic Armenian Azerbaijani Basque Belarusian Bulgarian Catalan Chinese (Simplified) Chinese (Traditional) Croatian Czech Danish Dutch English Estonian Filipino Finnish French
Galician Georgian German Greek Haitian Creole Hebrew Hindi Hungarian Icelandic Indonesian Irish Italian Japanese Korean Latvian Lithuanian Macedonian Malay Maltese Norwegian
Persian Polish Portuguese Romanian Russian Serbian Slovak Slovenian Spanish Swahili Swedish Thai Turkish Ukrainian Urdu Vietnamese Welsh Yiddish Bengali Bosnian
Cebuano Esperanto Gujarati Hausa Hmong Igbo Javanese Kannada Khmer Lao Latin Maori Marathi Mongolian Nepali Punjabi Somali Tamil Telugu Yoruba
Zulu
Английский Французский Немецкий Итальянский Португальский Русский Испанский