Михаил Кондрашин

Механизмы удаление последствий заражения

В этой теме 65 сообщений

Мне это напониминает NAC/NAP + Trend Micro Network Viruswall только там тоже вроде как машина блокируется в сети, если она идентифицируется как источник инфекции.

Именно, в данном случае машина не сама себя блокирует, а ее блокирует железка (Cisco или TM Network VirusWall)

Не соглашусь, когда мы говорим об IDS/IPS системам, мы подразумеваем защиту хоста, а не сети в целом. Тут же TiX говорит об алгоритме блокировки источника в рамках всей корп. сети.

А мне кажется что это это самое и есть, ведь наверняка блокировка будет осуществляться встроенным в 6-ку файрволлом и только им, а это уже как года два есть например у Trend Micro в OfficeScan, когда можно настроить так называемые Virus Outbreak и по ним блокировать на этом компьютере что угодно: порты, файлы, директории и прочее

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ведь наверняка блокировка будет осуществляться встроенным в 6-ку файрволлом и только им

блокировка должна осуществляться на уровне центральных комутаторов, все пакеты от плохих компьютеров должны гаситься. :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
блокировка должна осуществляться на уровне центральных комутаторов, все пакеты от плохих компьютеров должны гаситься.

Да не вопрос, и если 6 Касперского научили так работать честь им и хвала :D

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум

я всё таки не понимаю при чём тут антивирус, это немного другая отрасль, смежная но другая.. И если касается вирусов, то только нескольких классов: червей, троянов и массмайлеров..

или я ошибаюсь... :)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

broker

Дело в следующем :D Как известно сейчас многие смежные области объединяются, особенно это свойственно IT, а еще более свойственно Security IT, разве сейчас кого-нибудь устроит обычный антивирус, сейчас нужны именно многофункциональные решения типа "all-in-one", которые могут все, в том числе блокировать пакеты на коммутаторах.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кирилл Керценбаум

Ну дк, зачем это называть антивирус :) или средство борьбы с вирусами.. это только частности.

Хотя, сами по себе такие решения, очень важные элементы борьбы с вирусами, собственно как антивирус :))))

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Имхо задумка - присечение эпидемии в сети на начальной стадии.

Допустим принисли ноутбук в сеть... На нем вирус. Он начал себя копировать (или пакеты с эксплойтами рассылать - rcp / lsass), Первый кто в сети (АВ) это задетектил - посылает команду и сеть на ноуте блокируется. Причем так что доспуп к настройкам и функциям АВ доступна из админ кита по сети а, все остальное заблокированно.

мда. клинический случай. что только не придумают ввиду полного неумения ловить вирусы. :(

Абсолютно не корректное заявление.

несомненно :) особенно в свете простейшего детекта достаточно простого полиморфника типа Win32.Polipos и удрученного лица господина вравшего напрополую по ТВ. о апокалипсисе у него получалось гораздо убедительнее. ну о лечении, как о больной теме, учше промолчу. дадим еще месяцок форы, надеюсь к тому времени они научатся хотябы детектировать оставшиеся 50% процентов. даже блокада и та оказалась куда квалифицированнее ;)

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Имхо задумка - присечение эпидемии в сети на начальной стадии.

Допустим принисли ноутбук в сеть... На нем вирус. Он начал себя копировать (или пакеты с эксплойтами рассылать - rcp / lsass), Первый кто в сети (АВ) это задетектил - посылает команду и сеть на ноуте блокируется. Причем так что доспуп к настройкам и функциям АВ доступна из админ кита по сети а, все остальное заблокированно.

мда. клинический случай. что только не придумают ввиду полного неумения ловить вирусы. :(

Абсолютно не корректное заявление.

несомненно :) особенно в свете простейшего детекта достаточно простого полиморфника типа Win32.Polipos и удрученного лица господина вравшего напрополую по ТВ. о апокалипсисе у него получалось гораздо убедительнее. ну о лечении, как о больной теме, учше промолчу. дадим еще месяцок форы, надеюсь к тому времени они научатся хотябы детектировать оставшиеся 50% процентов. даже блокада и та оказалась куда квалифицированнее ;)

1. Проблемы с детектированием бывают у всех. См. например здесь http://forum.drweb.com/viewtopic.php?t=2973 (В данной связи, интересно узнать способен ли Dr. Web обнаруживать Trojan-Downloader.VBS.Psyme.br на данный момент, то есть спустя более 3 мес. с момента внесения соответсвующей сигнатуры в базы KAV?)

В своем посте Вы пишите о полном неумении ловить вирусы, имея ввиду, насколько я понял ЛК. Тем самым Вы совершаете логическую ошибку. Индуктивные умозаключения не всегда дают правильный результат. На основании единичных случаев нельзя делать вывод путем обощения имеющейся информации. С таким же успехом можно утверждать, о полном неумении Dr. Web (любого другого вендора) ловить вирусы.

2. Достаточно простой полиморфик? В свете изложенного здесь http://info.drweb.com/show/2812/ru, я бы не стал утверждать так категорично.

3. Насколько я знаю, KAV/KIS 2006 раньше других (в том числе и Dr.Webа) умел обнаруживать Polipos. Это стало возможным благодаря использованию технологии поведенческого анализа. См. здесь http://forum.drweb.com/index.php?method=ra...&offset=256

Более того, на данный момент KAV/KIS детектирует его используя реактивный (сигнатурный) метод. См. здесь http://virusinfo.info/showthread.php?p=71570#post71570

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Имхо задумка - присечение эпидемии в сети на начальной стадии.

Допустим принисли ноутбук в сеть... На нем вирус. Он начал себя копировать (или пакеты с эксплойтами рассылать - rcp / lsass), Первый кто в сети (АВ) это задетектил - посылает команду и сеть на ноуте блокируется. Причем так что доспуп к настройкам и функциям АВ доступна из админ кита по сети а, все остальное заблокированно.

мда. клинический случай. что только не придумают ввиду полного неумения ловить вирусы. :(

Абсолютно не корректное заявление.

несомненно :) особенно в свете простейшего детекта достаточно простого полиморфника типа Win32.Polipos и удрученного лица господина вравшего напрополую по ТВ. о апокалипсисе у него получалось гораздо убедительнее. ну о лечении, как о больной теме, учше промолчу. дадим еще месяцок форы, надеюсь к тому времени они научатся хотябы детектировать оставшиеся 50% процентов. даже блокада и та оказалась куда квалифицированнее ;)

1. Проблемы с детектированием бывают у всех. См. например здесь http://forum.drweb.com/viewtopic.php?t=2973 (В данной связи, интересно узнать способен ли Dr. Web обнаруживать Trojan-Downloader.VBS.Psyme.br на данный момент, то есть спустя более 3 мес. с момента внесения соответсвующей сигнатуры в базы KAV?)

В своем посте Вы пишите о полном неумении ловить вирусы, имея ввиду, насколько я понял ЛК. Тем самым Вы совершаете логическую ошибку. Индуктивные умозаключения не всегда дают правильный результат. На основании единичных случаев нельзя делать вывод путем обощения имеющейся информации. С таким же успехом можно утверждать, о полном неумении Dr. Web (любого другого вендора) ловить вирусы.

2. Достаточно простой полиморфик? В свете изложенного здесь http://info.drweb.com/show/2812/ru, я бы не стал утверждать так категорично.

3. Насколько я знаю, KAV/KIS 2006 раньше других (в том числе и Dr.Webа) умел обнаруживать Polipos. Это стало возможным благодаря использованию технологии поведенческого анализа. См. здесь http://forum.drweb.com/index.php?method=ra...&offset=256

Более того, на данный момент KAV/KIS детектирует его используя реактивный (сигнатурный) метод. См. здесь http://virusinfo.info/showthread.php?p=71570#post71570

да, да, я знаю что интернет придумал Билл Гейтс. вы меня не удивили.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

А выглядит все опять очень красиво, только вот все больше и больше сомнений насчет того что это будет работоспособно, а то сколько разговоров было про технологию борьбы с активным заражением нового Касперского, а оказалось что она настолько совершенна что просто убивает Винду и все, так это и вирус может сделать, зачем же такой антивирус. :D

Так а я то тут причем? Ж) Все что пишут разрабы я пишу здесь Ж) Все вопросы к ним.

Нещет технологии - вот ненадо а?! До нее недошло. Файл зараженный может грохнуть любой АВ Ж Здесь эта технология ненужна.

Джону - Без коментариев.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Берем Полипос, находим его секцию с пустым именем, меняем ей имя - и привет. Детекта нет, вирус работает...

Но ведь с другой стороны это работает на этой модицикации вируса :-)

А как на счет ложных срабатываний при таком детекте?

Добавлено спустя 3 минуты 26 секунд:

Сообщения по поводу лечения червя Scano.e были выделены в отдельную ветку http://www.anti-malware.ru/phpbb/viewtopic.php?t=685

Сергей, а может имеет смысл и сообщения о Polipos в отдельную ветку выделить? Тема имеет самостоятельное значение и стала, насколько я понял, достаточно популярной в рунете.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Mr. Justice, сделано.

Сообщения по поводу лечения червя Scano.e были выделены в отдельную ветку http://www.anti-malware.ru/phpbb/viewtopic.php?t=685

Сообщения по поводу вируса Win32.Polipos были также выделены в отдельную ветку http://www.anti-malware.ru/phpbb/viewtopic.php?t=687

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Однако, шестерка не справилась. Maslan ее победил.

Если на момент установки антивируса комп уже заражён, то тут особо не сделаешь ничего. При условии, что зверь достаточно умный, он сможет без проблем не дать антивирусу установиться. Это, кстати, на форуме ЛК обсуждали ещё давно, в процессе бета-тестирования "шестёрки". Пришли к выводу, что брыкаться тут нечего, всё равно попедят. Так что если уж кем-то хитрым заразился, юзай Аварийный Диск той же "шестёрки".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я специально не пользовался ни удалением в безопасном режиме, ни выгрузкой процессов червя, поскольку было интересно, как выстоит шестерка в данной ситуации, ибо пятая версия того же антивируса умирала в процессе загрузки весьма скоропостижно. Ну и, конечно же, хотелось проверить анонсируемое нововведение о успешной работе антивируса на заведомо зараженной машине. Т.Е. была своего рода "проверка на вшивость".

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Я специально не пользовался ни удалением в безопасном режиме, ни выгрузкой процессов червя, поскольку было интересно, как выстоит шестерка в данной ситуации, ибо пятая версия того же антивируса умирала в процессе загрузки весьма скоропостижно. Ну и, конечно же, хотелось проверить анонсируемое нововведение о успешной работе антивируса на заведомо зараженной машине. Т.Е. была своего рода "проверка на вшивость".

Ерунда это все. Для вирусов, которые противились установке антивируса до появления последней версии, какие-то новые подходы могут помочь. Для будущих вирусов, которые будут противится установке и последней версии тоже, разработчики ничем помочь не смогут. Разе что загрузка с отдельного носителя.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти

Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • В данной статье рассматривается платформа JaCarta, поддерживающая технологии электронной подписи и строгой аутентификации, приводится краткий обзор продуктов и описание принципов их работы. Читать далее
    • santy Как по мне, так разница тотальная.
      Одно дело мониторинг по умолчанию - ( как функция ) другое дело, мониторинг по требованию.
      Не нужен - не делай настройку и не используй. Не раз уже такие случаи в истории были: появляется новый вирус\червь и начинает прыгать по сети.
      А в базе антивируса он может появиться на следующий день, или ещё позже.
      А может система безопасности не предполагает наличие антивируса.
      А так: выявили > прикончили и для профилактики включили проверку машины через задачу.    
    • И хорошо, что этого нет, поскольку uVS не предназначен для мониторинга.
    • Vitokhv На данный момент это возможно только в альтернативно реальности Варкрафт.
      И там это работает так: Оператор добавляет сигнатуру вируса в базу > Проверяет список, при необходимости корректирует длину сигнатуру
      Настраивает австоскрипт: settings.ini  ( как реагировать на угрозу и метод удаления )
      Далее...
      Оператор добавляет uVS \ start.exe в автозапуск системы.
      При старте uVS автоматически определяет  тип своего запуска ( например start.exe через задачу )
      Далее работает настройка по settings.ini  ( при запуске через task проверять список по базе вирусов и критериев )
      После чего работает ранее настроенный австоскрипт: settings.ini  ( реакция  на угрозу и метод удаления )
      Вирус/Adware удаляется - копия угрозы помещается в карантин.
      Информация об угрозе пишется в лог. ( + копия лога пересылается на указанный в настройке адрес ) ------ А в нашем мире этого ничего нет.