Перейти к содержанию
ANTISIMIT

наиболее крутые вирусы случаи из жизн

Recommended Posts

mikka
Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS :lol:

А что под NTFS есть проблемы загрузиться Command Line и пролечиться, что сканеров, запускающихся из под командной строки нет что ли?

Подскажите пожалуйста утилиту или драйвер, который позволяет из-под DOS монтировать NTFS-разделы и осуществлять чтение и запись на них. Последние варианты подобного софта, которые мне попадались, были либо readonly, либо очень глючные, может я чего пропустил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Наиболее сложно на моем опыте удаляются те вирусы, которые сидят в системе как активные процессы (например, различные Trojan'ы или BackDoor'ы). Неоторые антивирусы просто не могут процессы останавливать :(

[skip]

Лечились такие зловреджные вещи только сканирвоанием из под DOS.

На самом деле, я лечил такое либо с помощью "диска спасения" (линуксовая дискета) Либо вынимая винт и вставляя его вторым на заведомо чистую систему

Это все применимо только для отдельного компьютера. Для зараженной корпоративной сети такой подход весьма накладен. Кроме упомянутой ниже проблемы с NTFS-разделами.

Для Trend Micro всю заразу автоматически вычищает специальный сервис (за отдельные деньги) Damage Cleanup Service, который и процесс убъет и реестр почистит и т.п. Лично для нас --- кто пользуется для защиты OfficeScan'ом с активированным DCS --- самый страшный вирус, это который не умеет вычищать DCS. Если мы такой вирус подхватим, то придется отправлять его образец в TrendLabs и подождать, когда они выпустят обновление. Поле этого вирус во всей сети будет уничтожен. Без необходимости создавать дискетки или CD и ходить по компьютерам.

У McAfee, насколько мне известно, все несколько менее автоматизировано, но результат такой же. Вручную загружается с сайта последняя версия stinger.exe и скармливается в ePolicy для запуска на всех системах. После чего можно расслабиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Для Trend Micro всю заразу автоматически вычищает специальный сервис (за отдельные деньги) Damage Cleanup Service, который и процесс убъет и реестр почистит и т.п. Лично для нас --- кто пользуется для защиты OfficeScan'ом с активированным DCS --- самый страшный вирус, это который не умеет вычищать DCS. Если мы такой вирус подхватим, то придется отправлять его образец в TrendLabs и подождать, когда они выпустят обновление. Поле этого вирус во всей сети будет уничтожен. Без необходимости создавать дискетки или CD и ходить по компьютерам.

У McAfee, насколько мне известно, все несколько менее автоматизировано, но результат такой же. Вручную загружается с сайта последняя версия stinger.exe и скармливается в ePolicy для запуска на всех системах. После чего можно расслабиться.

Конечно, если в сетка компов на уже чтобы пролечить каждый уйдет куча времени. Что говорить если их 1000 :(

Damage Cleanup Service - интересный сервис, идея очень здравая, жаль только стоит он очень приличных денег.

Кстати, Михаил, можно ли его как-то попробовать до приобретения, есть ли какой-то тестовый период?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Damage Cleanup Service - интересный сервис, идея очень здравая, жаль только стоит он очень приличных денег.

Эксклюзифф, понимашь...

Любопытно, но многие клиенты считают, что подобная функциональность самоочевидна для любого антивируса и не считают спарведливым, что Trend за нее берет дополнительные деньги. Есть и справедливая сторона: DCS существует в трех вариантах

1. Отдельный серверный продукт Damage Cleanup Server. Его можно использовать, если раб. станции и сервера защищены не Trend Micro OfficeScan

2. Сервис в составе Control Manager (централизованное управление). Как и предыдущий продукт здесь очистка работает для Windows NT/2000/XP/2003, если дать продукту реквизиты с администраторскими привелегиями

3. В составе Trend Micro OfficeScan

справедливость в том, что DCS во всех продуктах един в том смысле, что активируется единым кодом, что позволяет произвольно выбирать способ использования.

Кстати, Михаил, можно ли его как-то попробовать до приобретения, есть ли какой-то тестовый период?

Вы будете смеятся, но сама утилита очистки бесплатна и открыто доступна на сайте Trend Micro:

http://www.trendmicro.com/download/dcs.asp

Damage Cleanup Engine / Template - очистка

Sysclean - еще и традиционное сканирование всей системы

Деньги фактически берутся за средства автоматизированной доставки средств очиски до зараженных компьютеров и сбора результатов очиски, что очень важно в корпоративной сети.

Упомянутые выше продукты можно протестировать в течении 30 дней. Для этого есть сайт http://ru.trendmicro-europe.com/enterprise...oducts_down.php

P.S.

У McAfee стингер тоже бесплатен и открыто доступен http://vil.nai.com/vil/stinger/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Благодарю за интересный и полный ответ.

Как видно для самостоятельного лечения необходим ощутимый набор утилит. Нет ли в сети готового программного пакета, который мог бы все это делать?

Тут важно понимать, что в случае новой заразы Вам надо или на антивирус надеяться или на себя. Если Вы не знаете как бороться с вирусом, и нет связи с антивирусом.. ВОТ ВОПРОС!!!

Я обязательно протестирую предлагаемую утилиту. Но перед автоматизацией любого процесса, обязательно надо знать его алгоритм работы, для мозгов. Калькуляторы в первом классе не дают :)

Одна утилита это очень удобно, наличие сервиса от известного производителя великолепно.. НО в этом случае Ваша работа заключается в том, чтобы запустить сервис :( если он бессилен. что делать если сервис бессилен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

Смотря в каком виде его использовать

1. Скачать с сайта DCE/DCT (Damage Cleanup Engine и Damage Cleanup Template --- фактически два файла tsc.exe и tsc.ptn). Скопировать в какой-нибудь каталог на зараженной машине и запустить tsc.exe

2. Из Damage Cleanup Server или Control Manager. Указать в продукте имя и пароь администратора для зараженной машины (Windows NT/2000/XP/2003) и создать задачу (task) очистки для данной машины (или группы машин). Кликнуть "Run task now".

3. Поставить OfficeScan и активировать в нем DCS. В этом случае ничего дополнительно делать не нужно --- DCS запустится автоматически.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Принцип работы открыт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Принцип работы открыт?

DCS ищет известные процессы в памяти и "убивает" их. Удаляет известные ключи в реестре и записи в win.ini и system.ini. Удаляет известные файлы. Может быть еще кое-что.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

Конечно, нет. Насколько я понял Михаила, DCS не всю заразу может вычищать, возможна такая ситуация, что вирус детектиться, но DCS его не сможет вычистить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

тогда мои рекомендации в силе и я могу их дополнить, и указать конкретные утилиты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
т.е только известные разработчикам, а если троян не известен.. то не обнаружит?

Не в обнаружении дело, а в том, что он не просто обнаруживает, но и удаляет. Автоматически. Без всяких перезагрузок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
тогда мои рекомендации в силе и я могу их дополнить, и указать конкретные утилиты.

Было бы замечательно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

ситуация.

Новый троян-качалка, попадая в сеть, начинает заражать комп, туда подает хлам, с хламом приходят пара новых червей (работающих).

Черви начинают заражать сеть.

Ваша утилита молчит.

Действия защиты:

1. Определить метод заражения и метод размножения

2. Изолировать не заражённые компы.

3. Изобрести лекарство.

4. Начать лечение и вакцинацию.

5. Оценить уровень разрушений, начать восстановление.

Если it sec выделил вредоносный код, послал в тренд микро, через сколько времени утилита будет готова к использованию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
ситуация.

Новый троян-качалка, попадая в сеть, начинает заражать комп, туда подает хлам, с хламом приходят пара новых червей (работающих).

Черви начинают заражать сеть.

Ваша утилита молчит.

Замечу, что отлов в Real-time, это не задача DCS. Для Real-time есть антивирусный монитор, что разуеется не исключает ситуации, описанной вами.

Действия защиты:

1. Определить метод заражения и метод размножения

2. Изолировать не заражённые компы.

3. Изобрести лекарство.

4. Начать лечение и вакцинацию.

5. Оценить уровень разрушений, начать восстановление.

Я не понял, что за список вы привели.

Если it sec выделил вредоносный код, послал в тренд микро, через сколько времени утилита будет готова к использованию.

Разработка обновления к DCS занимает различное время, в зависимости от типа заразы. Кроме определения ее функциональности (определить, что она меняет в системе, качает из Интернета, ...) нужно протестирвоать корректность работы (на всех версиях Windows!), а это требует огромного количества ресурсов. Для экстренных случаев, это занимает 2-4 часа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Я привёл список действий направленных на локализацию вирусной эпидемии внутри локальной сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Я привёл список действий направленных на локализацию вирусной эпидемии внутри локальной сети.

Действий кого? Людей? Автоматики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS :lol:

Простите, на разделах NTFS можно не только читать но и писать :) Просто запускать при этом нужно сканер (без монитора, памяти не хватит). А дрйвер для писания (чтения) - NTFSDOS Pro (нужен конечно ключ, но это не большая проблема).

А вообще-то большинство дисков спасения - из под Linux или Win Lite (соответствующий образ ХР, работающий с CD делал еще года два назад. Ставил на него DrWeb или UNA), а базы для UNA - писал прямо на зараженный комп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

совместных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Лечились такие зловреджные вещи только сканирвоанием из под DOS.

Особенно на разделах NTFS :lol:

Простите, на разделах NTFS можно не только читать но и писать :) Просто запускать при этом нужно сканер (без монитора, памяти не хватит). А дрйвер для писания (чтения) - NTFSDOS Pro (нужен конечно ключ, но это не большая проблема).

А вообще-то большинство дисков спасения - из под Linux или Win Lite (соответствующий образ ХР, работающий с CD делал еще года два назад. Ставил на него DrWeb или UNA), а базы для UNA - писал прямо на зараженный комп.

В чём проблема диск снять и подключить к "здоровому" компьютеру такой же ОС, с обновлённым антивирусом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB

Иногда вообще-то компьютеры гарантийные опечатывают для соблюдения гарантии

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Дк тогда везите в сервисный центр, если он запломбирован или пусть специалист оттуда приезжает.. или гарантия только на железо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Дк тогда везите в сервисный центр, если он запломбирован или пусть специалист оттуда приезжает.. или гарантия только на железо?

На железо естественно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANTISIMIT
В случае уже имеющего заражения, по какому принципу будет работать этот сервис?

Смотря в каком виде его использовать

1. Скачать с сайта DCE/DCT (Damage Cleanup Engine и Damage Cleanup Template --- фактически два файла tsc.exe и tsc.ptn). Скопировать в какой-нибудь каталог на зараженной машине и запустить tsc.exe

2. Из Damage Cleanup Server или Control Manager. Указать в продукте имя и пароь администратора для зараженной машины (Windows NT/2000/XP/2003) и создать задачу (task) очистки для данной машины (или группы машин). Кликнуть "Run task now".

3. Поставить OfficeScan и активировать в нем DCS. В этом случае ничего дополнительно делать не нужно --- DCS запустится автоматически.

где скачать се утиль?, и еще почему не кто не говорит про россиские утилиты и антивирусы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×