Перейти к содержанию
Михаил Кондрашин

Механизмы удаление последствий заражения

Recommended Posts

XL
>>Вы сильно ошибаетесь Ж) Технология отлично отработала на Virtual PC (win 2k sp4)

Я специально 3 дня назат проверял Ж)

Вот даже 2 записи из лога остались ж)

Добавлено спустя 2 минуты 47 секунд:

Кста - прописывается как отладчик експлорера не пинчь а Mail-Worm.Scano.a - рассыльщик пинча ж) А пинчь само удаляется после отсылки паролей ж)

Ну хорошо, если так:) Будет возможность - проверю лично!

У меня завтра и во вторник пара "боевых" выходов намечается как раз ;)

Да и вообще тут у нас в сети вновь padobot'ы c maslan'ами разгулялись...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Она отрабатывает до загрузки ядра

>Это как? Пример можно? Зараза которая отрабатывает до загрузки ядра - всего 2 варианта

1. вирус в загрузочном секторе - в нормальном режиме ловится и лечится.

2. Враждебный драйвер или зараженный фийл - ntoskrnl / driver

Теперь что выйдет у норм АВ и у тренда

1. обычно оба случая нормально обрабатываются анти-вирусами.

2. DCS неможет загрузится 1. до запуска ядра, 2. до запуска ОС Ж) ибо .exe - исполняемый фийл может запускатся на очень поздней стадии загрузки.

Что касается OfficeScana то так и произойдет, но вот DCS сервер может принудительно заливать на ПК движок и базу и отрабатывать.

Принудительно - как? Все по сети.. но поменяв 2-3 параметра в реестре мы закрываем доспут через сеть всем юзверям и отключаем WMI :) DCS сервер может убится Ж) но у него ничего невыйдет Ж)

Меня прям уже тоже впечатлила, буду тестить, уж самому интересно что за чудо такое :D

О багах - на форум Ж)) 1 баг я кста уже заметил Ж)

Ну я точно под впечатлением, бум убивать виртуальную машину с Касперским 6, точнее пытаться убивать :D

Эт мы все с радостью Ж) Мое любимое занятие ж)

Добавлено спустя 1 минуту 37 секунд:

>>Вы сильно ошибаетесь Ж) Технология отлично отработала на Virtual PC (win 2k sp4)

Я специально 3 дня назат проверял Ж)

Вот даже 2 записи из лога остались ж)

Добавлено спустя 2 минуты 47 секунд:

Кста - прописывается как отладчик експлорера не пинчь а Mail-Worm.Scano.a - рассыльщик пинча ж) А пинчь само удаляется после отсылки паролей ж)

Ну хорошо, если так:) Будет возможность - проверю лично!

У меня завтра и во вторник пара "боевых" выходов намечается как раз ;)

Да и вообще тут у нас в сети вновь padobot'ы c maslan'ами разгулялись...

Ток учтите Ж) Я абажаю логи а особенно скрины Ж)

Заодно если все найденный и недочеты запостите на форуме КЛ - вам еще и спасибо скажут (ключик могут подарить) Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
Ток учтите Ж) Я абажаю логи а особенно скрины Ж)

Заодно если все найденный и недочеты запостите на форуме КЛ - вам еще и спасибо скажут (ключик могут подарить) Ж)

в этом отношении мы схожи Ж)

а адресочек форума мне - неучу:) подскажите, плз!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну я точно под впечатлением, бум убивать виртуальную машину с Касперским 6, точнее пытаться убивать Very Happy

Результатами тестов только с нами поделитесь :-)

А вообще друзья, кроме обсуждаемой выше технологии касперского по противодействию активному заражению что-нибудь подобное у конкурентов есть? Может быть у кого-то их "третьего эшелона"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

Вот тут я описал ситуацию, когда технология касперского просто убивает ОС http://www.anti-malware.ru/phpbb/viewtopic.php?t=500.

Вирус можно выложить запускайте..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Я думаю что тебе стоит попробовать это на виртуалке... ради интереса Ж)

Ложняки вобще вещ плохая Ж) даже бех технологии файл будет удалет после рестарта и тоже самое ж)

Но тут хоть говорится о том что сейчас будет лечение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

TiX

а чего пробовать, я видел это в живую на боевом сервере. Именно процесс лечения.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Уже понял, обсуждаем в другом топике, текеще-топиковая Ж) технология к этому отношения неимеет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

Однако, шестерка не справилась. Maslan ее победил.

Итак, ситуация на момент установки на скриншоте в аттаче. Имеем: четверка каспера в качестве антивиря и maslan.c + hydrag.a в качестве вирусов. Маслан уже дал по рогам четверке и в трее ее нет. Ставим шестерку - та говорит, что сначала следует удалить четверку, так и поступаем - четверка удаляется, ребут и ставится шестерка, в процессе чего винда умирает, совершая вынужденный ребут. Перезагружаемся, после перезагрузки вирь все еще в процессах, однако каспером в процессах так и не пахнет. между тем инсталляция шестерки все же состоялась - появились упоминания о каспере новой версии в автозапуске реестра и папка в меню пуск, а также скопировались файлы на диск. При попытке ручного запуска шестерки из меню Пуск через ярлык на экзэшник шестерки ничего не происходит. Точнее начинает потрескивать жесткий диск, но шестерки в процессах так и не появляется. Итог - не прокатила технология... А жаль. Пришлось все килить вручную в сэйф моде. Если нужен штамм вируса - обращайтесь!

На аттаче номер 2 ситуация после удаления вируса вручную. Программы в трее нет, но есть ключ автозапуска в реестре. В процессах каспера также не наблюдалось в этот момент. чтобы программа таки заработала - пришлось сделать переустановку шестерки.

masl.JPG

masl2.jpg

post-88-1145532996.jpg

post-1-1145532996.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Весело Ж)

Теперь бы узнать из из чего БСОД был?!

А вобще - чую мне надо повторить ситуацию Ж) для полной радости

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
Весело Ж)

не то слово ;)

Теперь бы узнать из из чего БСОД был?!

А вобще - чую мне надо повторить ситуацию Ж) для полной радости

винда, как можно заметить, стоит крякнутая и без первого сервис пака...

я пробовал этого красавца _synmgr.exe у себя дома рекультивировать - не вышло. его либо DEP завершает, когда DEP не отключен, либо винда сразу в BSOD уходит при запуске зараженного exe'шника с выключенным DEP. при этом вирь в систему так и не попадает, даже в %temp% его следов не остается после перезагрузки. конечно, для чистоты эксперимента надо было бы шестерку совсем из системы удалить(я лишь ее полностью выключал, но драйверы то все равно работают в этом случае, верно?), наверняка на уровне перехвата API какая-нить трабла случается в момент проникновения и винда падает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А я бьюсь Ж))) комбинация гадрага и мислана на Виртуале плохо прижилась Ж)) Виртуалка переодечески стала падать (не ОС а прога)

Добавлено спустя 3 минуты 1 секунду:

Мож конфликт с чемнить? Или от 4.0 недоконца удалилось?!

А в евент логе осталась запись кто бсод вызвал?!

Может это вобще глобальная несовместимось 6.0 с чем-то что стояло на PC?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
Мож конфликт с чемнить? Или от 4.0 недоконца удалилось?!

А в евент логе осталась запись кто бсод вызвал?!

Может это вобще глобальная несовместимось 6.0 с чем-то что стояло на PC?!

четверка удалилась вроде бы до конца, хотя мне сложно судить. это вам все эти klif.sys и пр. наизусть известны ;) стороннего секьюрити софта там не было никакого(все процессы на скрине). комп не мой и к логу событий у меня уже доступа нет. я дело сделал и ушел ;) што успел по ходу сфоткать - то перед вами.

вообщем это не последняя возможность в реальных боевых условиях поработать. если будет еще чего интересного - сразу отпишусь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Я скинул ссылочку эту разрабам.. мож ченить пофиксят

Добавлено спустя 49 секунд:

ПС - чтобы программа таки заработала - пришлось сделать переустановку шестерки.

А что после этого произошло?! удача или паражение?! Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL

К тому моменту как шестерку переустановил, я уже маслана вручную вынес из папки windows. У него есть такая фича - в таскменеджере его екзешки видно, а в папке с виндой - нет. Стоит только в сэйфмоде загрузиться, все его файлы в папке system32 сразу как на ладони, мышкой выделяем и отправляем их в прекрасное далеко! ;) Ну причину этого я теперь понимаю, начитавшись про руткиты и прочие неприятности Ж)

Вообщем, после первой успешной загрузки шестерки та принялась мочить гидру везде, где только было возможно. Там по ходу еще всякие диалеры с агентами попадались, но они в неактивном виде валялись то там, то сям. Я заплаты для дыр в RPC и LSASS влил, подключил сетевой кабель в RJ45 и был таков ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Ктса...

Когды выйдут Workstation, Admin Kit, File Server версии Ж) Сетевым вирям станет туго Ж) В том что сегодня выложили (пре бета) появилась фича - если на шару файл сервера кинут вирь Ж) То эта Станция остается без сети Ж))) Если Станции и между собой будут общатся то зараза будет убиватся на корню.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
Когды выйдут Workstation, Admin Kit, File Server версии Ж) Сетевым вирям станет туго Ж) В том что сегодня выложили (пре бета) появилась фича - если на шару файл сервера кинут вирь Ж) То эта Станция остается без сети Ж))) Если Станции и между собой будут общатся то зараза будет убиватся на корню.

А в чем суть ? Контроль рабочих станций без антивируса ? (Надеясь, что на FS, последняя сигнатура.) Да и вопрос, что значит РМ, останится без сети, кто кому куда что передает ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Имхо задумка - присечение эпидемии в сети на начальной стадии.

Допустим принисли ноутбук в сеть... На нем вирус. Он начал себя копировать (или пакеты с эксплойтами рассылать - rcp / lsass), Первый кто в сети (АВ) это задетектил - посылает команду и сеть на ноуте блокируется. Причем так что доспуп к настройкам и функциям АВ доступна из админ кита по сети а, все остальное заблокированно.

Вобщем надо подождать хотябы бета1 ВС и ФС что бы понять (и увидеть глазами) их направление.

Добавлено спустя 8 минут 28 секунд:

Да и вопрос, что значит РМ, останится без сети, кто кому куда что передает ?

Имеется ввиду комплексный подход.

Несно как локальный АВ пропистит вирус а его поймает серверный и пошлет команды локальному АВ заблокировать все нафиг Ж)

Вобщем пока бета1 не появится будут неясности Ж(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nobody@nowhere
Имхо задумка - присечение эпидемии в сети на начальной стадии.

Допустим принисли ноутбук в сеть... На нем вирус. Он начал себя копировать (или пакеты с эксплойтами рассылать - rcp / lsass), Первый кто в сети (АВ) это задетектил - посылает команду и сеть на ноуте блокируется. Причем так что доспуп к настройкам и функциям АВ доступна из админ кита по сети а, все остальное заблокированно.

мда. клинический случай. что только не придумают ввиду полного неумения ловить вирусы. :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

TiX

А выглядит все опять очень красиво, только вот все больше и больше сомнений насчет того что это будет работоспособно, а то сколько разговоров было про технологию борьбы с активным заражением нового Касперского, а оказалось что она настолько совершенна что просто убивает Винду и все, так это и вирус может сделать, зачем же такой антивирус. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Имхо задумка - присечение эпидемии в сети на начальной стадии.

Допустим принисли ноутбук в сеть... На нем вирус. Он начал себя копировать (или пакеты с эксплойтами рассылать - rcp / lsass), Первый кто в сети (АВ) это задетектил - посылает команду и сеть на ноуте блокируется. Причем так что доспуп к настройкам и функциям АВ доступна из админ кита по сети а, все остальное заблокированно.

мда. клинический случай. что только не придумают ввиду полного неумения ловить вирусы. :(

Абсолютно не корректное заявление.

Добавлено спустя 6 минут 7 секунд:

TiX

А выглядит все опять очень красиво, только вот все больше и больше сомнений насчет того что это будет работоспособно, а то сколько разговоров было про технологию борьбы с активным заражением нового Касперского, а оказалось что она настолько совершенна что просто убивает Винду и все, так это и вирус может сделать, зачем же такой антивирус. :D

Ошибки бывают у всех, в том числе и у Trend Micro.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Имхо задумка - присечение эпидемии в сети на начальной стадии.

Допустим принисли ноутбук в сеть... На нем вирус. Он начал себя копировать (или пакеты с эксплойтами рассылать - rcp / lsass), Первый кто в сети (АВ) это задетектил - посылает команду и сеть на ноуте блокируется. Причем так что доспуп к настройкам и функциям АВ доступна из админ кита по сети а, все остальное заблокированно.

Ничего новго, такие системы есть.. Обратите внимание эксплойты rps/lsass это DoS атаки их и подобные им сигнатуры известны..Инструменты, которые работают так, как ВЫ описали называются IDS/IPS системы.. Кстати в данном случае не важно чем вызвана активность с ноута (вирус или кто-то специально для себя дыры ищет)

Добавлено спустя 5 минут 6 секунд:

мда. клинический случай. что только не придумают ввиду полного неумения ловить вирусы

вирусы тут не причём!!!! и кстати антивирусы ТОЖЕ.. Если такой ноут попадёт в сеть 255.255.0.0 и начнёт так действовать, то 100 мегабитная сеть с 1 гигабитными роутерами УПАДЁТ..

Добавлено спустя 1 минуту 55 секунд:

john писал(а):

TiX писал(а):

Имхо задумка - присечение эпидемии в сети на начальной стадии.

Допустим принисли ноутбук в сеть... На нем вирус. Он начал себя копировать (или пакеты с эксплойтами рассылать - rcp / lsass), Первый кто в сети (АВ) это задетектил - посылает команду и сеть на ноуте блокируется. Причем так что доспуп к настройкам и функциям АВ доступна из админ кита по сети а, все остальное заблокированно.

мда. клинический случай. что только не придумают ввиду полного неумения ловить вирусы.

Абсолютно не корректное заявление.

Согласен, но что же предложит john?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ничего новго, такие системы есть.. Обратите внимание эксплойты rps/lsass это DoS атаки их и подобные им сигнатуры известны..Инструменты, которые работают так, как ВЫ описали называются IDS/IPS системы.. Кстати в данном случае не важно чем вызвана активность с ноута (вирус или кто-то специально для себя дыры ищет)

Не соглашусь, когда мы говорим об IDS/IPS системам, мы подразумеваем защиту хоста, а не сети в целом. Тут же TiX говорит об алгоритме блокировки источника в рамках всей корп. сети.

Мне это напониминает NAC/NAP + Trend Micro Network Viruswall только там тоже вроде как машина блокируется в сети, если она идентифицируется как источник инфекции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Не соглашусь, когда мы говорим об IDS/IPS системам, мы подразумеваем защиту хоста, а не сети в целом.

Неточными определениями пользуютесь или устаревшими сведениями.. :) В ОБЩЕМ ЧИТАЙТЕ..

http://www.iss.net/products_services/intrusion_detection.php

Protection Options

RealSecure Network 10/100

Intrusion detection and response software for 10/100Mbps network segments

RealSecure Network 10/100 for Nokia

Intrusion detection and response software for the Nokia IP Security platform

RealSecure Network for Crossbeam

Intrusion detection and response software for the Crossbeam X40S appliance platform

RealSecure Network Gigabit

RealSecure Network Sensor and Gigabit Network Sensor software for 10/100/1000Mbps network segments

А этот продукт вообще известный:

http://www.checkpoint.com/defense/advisori...c/overview.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×