Перейти к содержанию
ANTISIMIT

наиболее крутые вирусы случаи из жизн

Recommended Posts

ANTISIMIT

хотел бы узнать истории, так же свой рейтинг, я скидоваю ссылки на вирусы после заражениями этими вирусами не чего не помогант, для проявления этих вирусов, помимо антивиря нужно скачать утилиту зайцева, по другому ее не назовешь avz3.

http://members.lycos.co.uk/viruscrackrz/virus.zip

http://members.lycos.co.uk/viruscrackrz/vir-v.zip

http://members.lycos.co.uk/viruscrackrz/130%20ViRus.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

ANTISIMIT, ты хочешь сказать, что ни одни из популярных антивирусов не возьмет этой вирни?

Или это только если заражение уже произошло (на тачку без антивируса)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

Согласен, Антисимит, вы имеете ввиду, что если заразить станцию данными вирусами, то ни один антивирус, кроме утилиты зайцева не вычистит станцию?

Давайте сделаем так, вы вышлите нам данные файлы (в запароленном архиве) и мы выложим у нас на сайте, т.к. по ссылкам данные файлы получить сразу нельзя ...

И протестируем, благо есть возможность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

отключи антивирь заразись, а патом попробуй удалить, но ты его не найдешь пока не запустишь авз

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

при открытие любой антивирь находит, но если уже прописался ддл библ, после чего сканируем зайцевым Documents and Settings, после чего у чюдо, он сидит в темпе, а на харде его нет!!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Когда пользовался Антиврусом Каспрского 5 у меня часто была проблема, что я не мог удалить трояна если он уже сидел в памяти.

КАВ не может останавливать процессы и предлагает перезагрузиться и удалить заразу при загрузке. Но были случаи когда это не срабатывало, не говоря уже что перегружаться тоже напрягает. :(

Сейчас в версии 2006-ке это вроде как устранили, надо качнуть бету и проверить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

ПОЧТИ ВСЕ ТРОЯНЫ СИДЯТ В ПАМЯТИ, ТАК ЧТО ДЕЛО В РУЧКАХ, ЕСТЬ АНТИВИРУСЫ КОТОРЫЕ РАБОТАЮТ ПОД ДОСОМ, МОЖЕТ ВЗЯТЬ И ПОТЕСТИРОВАТЬ, ПС-СИЛИН, И БИТДЕФЕНДЕР.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Терещенко

К сожалению, не знаю, как обстоят дела с антивирусами для домашнего использования, но для уровня Enterprise, у компании Trend Micro есть специальная разработка - Trend Micro™ Damage Cleanup Services.

Вот он как раз и заточен на очистку зараженных компьютеров, с чем успешно справляется!

Бесспорно данный сервис покупается отдельно, но оно того стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
К сожалению, не знаю, как обстоят дела с антивирусами для домашнего использования, но для уровня Enterprise, у компании Trend Micro есть специальная разработка - Trend Micro™ Damage Cleanup Services.

Вот он как раз и заточен на очистку зараженных компьютеров, с чем успешно справляется!

Бесспорно данный сервис покупается отдельно, но оно того стоит.

Жаль только стоит он дороговато ...

А вообще стретегия Trend Micro™ Enterprise Protection Strategy (EPS) выглядит очень выигрышно, ни у кого больше такого нет.

eps360.gif

http://www.trendmicro.com/en/products/eps/...te/overview.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

мое личное мнение, иетепрайз версии, отлечаются своей огромной колечестовм настройек, и возможность работать в сети, и больше не чем, так как базу и иврестику использут тужу что и в хоме версиях.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
мое личное мнение, иетепрайз версии, отлечаются своей огромной колечестовм настройек, и возможность работать в сети, и больше не чем, так как базу и иврестику использут тужу что и в хоме версиях.

Ну в целом ты прав, движек одни и тот же, но концепция продукта другая реалилизуется. Сейчас для домашних пользователей все лидеры типа симантека, мкафии, панды и даже Лаборатория Касперского идут по дороге упрощения: минимум настроек, даже лечение в автоматическом режиме без запросов пользователю.

А в корп. продуктах на первый план выходит общая стоимость владения решением, которая включает как стоимость продукта, так и издержки по его администрированию. Отсюда требования к централизованному одминистрированию всего комплекса через одну консоль, ценрализованное обновление, удаленная устрановка и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
мое личное мнение, иетепрайз версии, отлечаются своей огромной колечестовм настройек, и возможность работать в сети, и больше не чем, так как базу и иврестику использут тужу что и в хоме версиях.

Не все так просто. Дело в том, что при защите корпоративной сети на первное место выходят факторы не имеющие отновнеие к собственно защите! Связано это с тем, что в корпоративной сети ущерб от вирусов имеет свою специфику. Следовательно и защита нужна другая. Это длинная тема, но приведу пару примеров:

1. Что толку от супер-антивируса с лучшей эвристикой и оперативностью обновления, если он не позволяет конролирвоать обновленность защиты 1000 рабочих станций сети? Ответ: Толку нет, так как после внедрения через некоторое время защиты фактически не будет. Следовательно "работать по сети" --- это самая важная часть корпоративного антивируса и то, как она реализована определяет полезность продукта, а не эвристики и базы.

2. В корпоративной сети защищать можно и нужно не только рабочие станции, но и файловые сервера, шлюзы Интернет, почтовые системы. От того, как это реализовано и как согласуется друг с другом и остальной защитой и определяет удобство использования защиты. В конечном счете стоимость владения, которую всегда желательно уменьшить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Не все так просто. Дело в том, что при защите корпоративной сети на первное место выходят факторы не имеющие отновнеие к собственно защите! Связано это с тем, что в корпоративной сети ущерб от вирусов имеет свою специфику. Следовательно и защита нужна другая. Это длинная тема, но приведу пару примеров:

1. Что толку от супер-антивируса с лучшей эвристикой и оперативностью обновления, если он не позволяет конролирвоать обновленность защиты 1000 рабочих станций сети? Ответ: Толку нет, так как после внедрения через некоторое время защиты фактически не будет. Следовательно "работать по сети" --- это самая важная часть корпоративного антивируса и то, как она реализована определяет полезность продукта, а не эвристики и базы.

2. В корпоративной сети защищать можно и нужно не только рабочие станции, но и файловые сервера, шлюзы Интернет, почтовые системы. От того, как это реализовано и как согласуется друг с другом и остальной защитой и определяет удобство использования защиты. В конечном счете стоимость владения, которую всегда желательно уменьшить.

Полностью согласен.

Кстати, как общественность относится к конфигурации антивирусной защиты предприятия, при которой непосредственно на рабочих станциях антивиурс не ставится?

Т.е. вся нагрузка ложится на шлюзы. Конечно, о мультиуровневой защите тут говорять не приходтся, но тем не менее, я знаю точно, что так поступаю в отдельных компаниях, монивируя это уменьшением нагрузки на слабенькие рабочие станции (антивирусы как известно, существенно притормаживают компы).

В этом случае все вирье ловится на шлюзах, а если они как-то и прошло, то на этот случай можно удаленно по расписанию сканить все тачки в сети (если конечно сетка небольшая).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Кстати, как общественность относится к конфигурации антивирусной защиты предприятия, при которой непосредственно на рабочих станциях антивиурс не ставится?

Категорически отрецательно. Разумеется, что бывают ситуации, когда рабочие станции слабенькие и это большая проблема, но всегда нужно стараться установить Real-time-защиту. Дело в том, что от современных угроз нельзя защититься периодически сканированием. Вот примеры:

1. Современные "вирусы" (и все остальное malware) бывают очень цепкими удалить их гораздо сложнее, чем не дать запуститься. Сама Windows не дает удалять файл запущенной программы.

2. Вирус Sircam --- была такая зараза, которая заражала файлы из "Мои документы" и рассылала их по адресам из адресной книги. Приятного мало узнать после сканирования по расписанию, что

некоторые документы ушли неизвестно куда.

3. Spyware --- после удаления украденную информацию не вернуть.

4. Вирус FUNLOVE99 и его подобия --- бегают через расшаренные папки (кроме почты) и забивают всю сеть. До сканирования по расписанию сеть "не доживет".

К сожалению, все компании производящие ПО не ориентируются на самые маломощные компьютеры --- зачем делать продукт для "бедных"! Тот же Trend Micro OfficeScan хоть и должен работать на 64MB, на самом деле ему лучше 128MB, так как на 64MB компьютер будет в основном заниматься антивирусом и Windows, а на остальное ресурсов будет не хватать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
К сожалению, не знаю, как обстоят дела с антивирусами для домашнего использования, но для уровня Enterprise, у компании Trend Micro есть специальная разработка - Trend Micro™ Damage Cleanup Services.

Бесспорно данный сервис покупается отдельно, но оно того стоит.

Для домашнего использования, в PC-cillin, он включен и не стоит отдельных денег.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
К сожалению, все компании производящие ПО не ориентируются на самые маломощные компьютеры --- зачем делать продукт для "бедных"! Тот же Trend Micro OfficeScan хоть и должен работать на 64MB, на самом деле ему лучше 128MB, так как на 64MB компьютер будет в основном заниматься антивирусом и Windows, а на остальное ресурсов будет не хватать.

А если продолжить дальше. То что, если компьютер справляется со своими бизнес задачами, однако антивирус требует гораздо больше ресурсов... Получается абсолютно бредовая ситуация, что компьютер нужно (Рабочее Место) нужно менять из-за того, что оно не соответствует требованиям того-же антивируса (слишком много угроз).

А защита ТОЛЬКО на уровне шлюза, это ты еще мягко выразился :))) А не дай боже код проник через flash-ку ? Ок, шлюз все защищает и не пропускает. И получится ситуация, что не сеть защищиена от внешнего мира, а наоборот внешний мир защищен от данной сети по проникновению кода....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot
Получается абсолютно бредовая ситуация, что компьютер (Рабочее Место) нужно менять из-за того, что оно не соответствует требованиям того-же антивируса (слишком много угроз).

Да, это серьезная проблема, потому как, например, у меня на домашнем компе с антивирусным монитором вообще нереально работать, ни с каким :( Хотя тачка у меня не самая слабая Celeron 1200, 256 RAM. Поэтому я всегда монитор вырубаю, хорошо, что квалификация позволяет вирусню не словить ... а вот на слабых офисных машинах вообще беда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
А если продолжить дальше. То что, если компьютер справляется со своими бизнес задачами, однако антивирус требует гораздо больше ресурсов... Получается абсолютно бредовая ситуация, что компьютер нужно (Рабочее Место) нужно менять из-за того, что оно не соответствует требованиям того-же антивируса (слишком много угроз).

Нет не бредовая. Позволю себе аналогию. Представте себе очень старый автомобиль (раритет), который вы пытаетесь использовать сегодня. На дорогах стало гораздо больше гроз. Теперь для безопасности требуется бампер, подушки безопасности, сигнализация (этот список не кажется бредом?), но в раритетное авто все это хозяйство не впихнуть! Аналогичная дилема получается. Система безопасности автомобиля является необъемлимой его частью и в современном автомобиле все есть Out-of-the-box --- купил и катайся. Старый может стоять в гараже и кататься до выставки и обратно.

Антивирус является неотьемлимой частью современного компьютера с Windows, разе что не является частью ОС (пока).

Единственное отличие от приведенной анологии, что устаревание компьютеров происходит с ужасающей скоростью.

Одна единтсвенная крупная эпидемия, которая затронет все незащищенные компьютеры может обойтись дороже, чем обновление компьютеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT

а по теме? кто может назвать самые трудные при удаление вирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
а по теме? кто может назвать самые трудные при удаление вирусы?

Наиболее сложно на моем опыте удаляются те вирусы, которые сидят в системе как активные процессы (например, различные Trojan'ы или BackDoor'ы). Неоторые антивирусы просто не могут процессы останавливать :(

Еще мне запомнилась старая добрая Nimda, которая очень плохо лечилась. Вообще первая волна эпидемий червей была сложной, всяике КАВы и Докторы Вебы были просто беспомощны и сразу выносились. В результате есть зараженный комп с убитым АВ + активный процесс в памяти, который убить нельзя, если поставить антивиру заново (после перезагрузки он опять убивался).

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
а по теме? кто может назвать самые трудные при удаление вирусы?

Наиболее сложно на моем опыте удаляются те вирусы, которые сидят в системе как активные процессы (например, различные Trojan'ы или BackDoor'ы). Неоторые антивирусы просто не могут процессы останавливать :(

Еще мне запомнилась старая добрая Nimda, которая очень плохо лечилась. Вообще первая волна эпидемий червей была сложной, всяике КАВы и Докторы Вебы были просто беспомощны и сразу выносились. В результате есть зараженный комп с убитым АВ + активный процесс в памяти, который убить нельзя, если поставить антивиру заново (после перезагрузки он опять убивался).

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

На самом деле, я лечил такое либо с помощью "диска спасения" (линуксовая дискета) Либо вынимая винт и вставляя его вторым на заведомо чистую систему

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Присоединюсь к беседе.

Проблем с удалением вручную троянов почти нет..

Для этого необходимо иметь комплект утилит по определению:

1. Списка процессов (отличный от таскманагера)

2. Списка процессов открывающих порты (с указанием портов и процессов).

3. Времени создания файлов и их быстрому поиску.

4. Скрытых процессов (на всякий случай)

5. Библиотек используемых процессом

6. Отличного от виндового, редактора реестра.

Кроме этого, у вас должен быть список всех исполняемых файлов и библиотек с указанием версии, даты создания (на момент после обновления системы) из winnt/

всё.

При таком вооружени:

1. Видите процессы, отрывающие порты.

2. Видите последние созданные файлы.

3. Видите процессы отличные от системных.

4. Видите ключи в реестре.

Действия.

1. Убиваете процессы открывающие порты и неявляющиеся системными.

2. Убиваете последние появившиеся *.exe, *.dll

3. Убиваете ключи в реестре.

4. Наблюдаете..

если ключи и файлы появляются ищите процессы..

Вирус удалили, восстановить систему сложнее, может сильно навредить..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
При таком вооружени:

1. Видите процессы, отрывающие порты.

2. Видите последние созданные файлы.

3. Видите процессы отличные от системных.

4. Видите ключи в реестре.

Действия.

1. Убиваете процессы открывающие порты и неявляющиеся системными.

2. Убиваете последние появившиеся *.exe, *.dll

3. Убиваете ключи в реестре.

4. Наблюдаете..

если ключи и файлы появляются ищите процессы..

Вирус удалили, восстановить систему сложнее, может сильно навредить..

Благодарю за интересный и полный ответ.

Как видно для самостоятельного лечения необходим ощутимый набор утилит. Нет ли в сети готового программного пакета, который мог бы все это делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mikka
Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS :lol:

А что под NTFS есть проблемы загрузиться Command Line и пролечиться, что сканеров, запускающихся из под командной строки нет что ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×