Эпидемия Trojan.Winlock и ее реальный масштаб - Страница 6 - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
Сергей Ильин

Эпидемия Trojan.Winlock и ее реальный масштаб

Recommended Posts

Гриша

Винлоки, винлоки, не надоело еще петь ? :)

Взяли мы его в тест, дальше что?

1. Заразили стенд, вылез баннер, за которым хрен чего сделаешь, я как тестер каким образом должен установить антивирус?

2. Используются специфик техники против аверов, а это исключено методологией теста.

3. Руткит, которого юзали некоторые блокеры исчез из них после обкатки, сейчас это тупорылый быдлокод без изюминки.

Что тут тестировать?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww

Еще раз повторю для тех, кто на бронепоезде со своими винлоками.

3. Руткит, которого юзали некоторые блокеры исчез из них после обкатки, сейчас это тупорылый быдлокод без изюминки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Еще раз повторю для тех, кто на бронепоезде со своими винлоками.

хоть винлоки и не мои :)

3. Руткит, которого юзали некоторые блокеры исчез из них после обкатки, сейчас это тупорылый быдлокод без изюминки.

ооо как... "без изюминки"... хорошее определение, но только тут обсуждение ведется последнее время на тему, а есть ли суслик? а не на сколько свежое у него мясо и мягкая шерстка...

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
ооо как... "без изюминки"... хорошее определение, но только тут обсуждение ведется последнее время на тему, а есть ли суслик? а не на сколько свежое у него мясо и мягкая шерстка...

Я отвечаю за тему почему не взяли в тест и все такое, до того, что была эпидемия или нет, мне дело 10 :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Я отвечаю за тему почему не взяли в тест и все такое, до того, что была эпидемия или нет, мне дело 10 :)

Гриша, я к вам претензий не имею :) Более того согласен с Вашей точкой зрения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Ребята, не переживайте. Будут ещё случаи и тесты, и поинтересней будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Ребята, не переживайте. Будут ещё случаи и тесты, и поинтересней будут.

Оптимист... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
teo
Руткит, которого юзали некоторые блокеры исчез из них после обкатки, сейчас это тупорылый быдлокод без изюминки.

Как я понял, определяющее слово - "некоторые". А другие? Или ежели я под КИС запущу свежий кодек, а он установится и вылезет баннер, что тогда - шапку съедите? Ответьте пожалуйста на вопрос.

вот тест и проводился по ВТОРОМУ параметру, то есть обладает ли необходимым функционалом антивирус, особенно учитывая то что все 16 образцов были знакомы всем антивирусам.

Понимаете, мне, как живущему в России, абсолютно!!! не интересно по какой методе проводился тест. Мне интересно узнать, какой антивирусный продукт справляется с винлоком..или не справляется.

Заразили стенд, вылез баннер, за которым хрен чего сделаешь, я как тестер каким образом должен установить антивирус?

Значит развели руками и написали, что никто из АВ продуктов не справился. Это ведь честно по отношению к пользователям рунета.

Я отвечаю за тему почему не взяли в тест и все такое, до того, что была эпидемия или нет, мне дело 10

То есть Вы подверждаете, что винлоки для рунета - мелочь, не стоящая включения их в тест?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Как я понял, определяющее слово - "некоторые". А другие? Или ежели я под КИС запущу свежий кодек, а он установится и вылезет баннер, что тогда - шапку съедите? Ответьте пожалуйста на вопрос.

Отвечаю, Вы различаете такие понятия как: методика внедрения в систему и методы защиты от обнаружения? В тесте мы проверяли второе, а то как бинарник обходит эмули, хипсы, пдм нам не интересно, это другое направление.

Значит развели руками и написали, что никто из АВ продуктов не справился. Это ведь честно по отношению к пользователям рунета.

Это не честно, это глупо :) Антивирус может и установится и удалит заразу, только вот я чисто сам по себе не могу установку произвести, мне банер мешает.

То есть Вы подверждаете, что винлоки для рунета - мелочь, не стоящая включения их в тест?

См. выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
Понимаете, мне, как живущему в России, абсолютно!!! не интересно по какой методе проводился тест. Мне интересно узнать, какой антивирусный продукт справляется с винлоком..или не справляется.

Вам, как живущему в России, отвечаю - от некоторых винлоков защищают некоторые антивирусы, но от других некоторых винлоков эти некторорые антивирусы не помогают.

Ответьте мне честно - Вы, в панацею верите?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Я ее видел своими глазами, а почитав ваш форум и другие уяснил себе, что видел эпидемию не только я.:)

Вот Авторанов на протяжении всей этой шумихи про эпидемию я видел много раз, а вот с отправкой смс всего 1.

Так что ... относительно авторана, это не эпидемия.

p.s.

че то я в некропостеры записываюсь :)

Это не честно, это глупо :) Антивирус может и установится и удалит заразу, только вот я чисто сам по себе не могу установку произвести, мне банер мешает.

кстати, не пробовали использовать http://technet.microsoft.com/en-us/sysinte...s/cc817881.aspx ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
кстати, не пробовали использовать http://technet.microsoft.com/en-us/sysinte...s/cc817881.aspx ?

Я знаю, но говорю относительно нашего теста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Я знаю, но говорю относительно нашего теста.

Я вообще-то просто спрашиваю, можно обойти банер этим способом или нет? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit
teo
Вы различаете такие понятия как: методика внедрения в систему и методы защиты от обнаружения? В тесте мы проверяли второе, а то как бинарник обходит эмули, хипсы, пдм нам не интересно, это другое направление.
Антивирус может и установится и удалит заразу, только вот я чисто сам по себе не могу установку произвести, мне банер мешает.

Так это...винлок это активное заражение или как? Тест как назван то?..А то методу специально подогнать то не проблемно. Ну там под DOS ещё можно тесты придумать :)

Ну и ещё вопрос, если 16 зловредов, представленных в тесте покрыли 100% существующих, то винлок где находится?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Ну и ещё вопрос, если 16 зловредов, представленных в тесте покрыли 100% существующих, то винлок где находится?

Вы, мои сообщения читаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
teo
Вы, мои сообщения читаете?

Вы имеете ввиду это: "winlock по своей организационной структуре не выходит за границы 16 зловредов..."

Я слабо разбираюсь в этих тонкостях, если можно, на конкретных примерах объясните :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

kvit

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

http://www.kaspersky.ru/viruswatchlite?sea...amp;x=0&y=0

При этом второй запрос значительно менее общий.

  • Downvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Я слабо разбираюсь в этих тонкостях, если можно, на конкретных примерах объясните :)

Я слабо разбираюсь в объяснениях людям, которые слабо разбираются в тонкостях....

При этом второй запрос значительно менее общий.

можно тут ответить без ссылок во-вне...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Так это...винлок это активное заражение или как? Тест как назван то?..А то методу специально подогнать то не проблемно. Ну там под DOS ещё можно тесты придумать

Это к чему и на что сказано?

Я ответил вот на этот кусок:

Или ежели я под КИС запущу свежий кодек, а он установится и вылезет баннер, что тогда - шапку съедите? Ответьте пожалуйста на вопрос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Это к чему и на что сказано?

Гриша, дальнейшем общение с данным господином, как специалистом, предоставляю Вам...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
Я вообще-то просто спрашиваю, можно обойти банер этим способом или нет?

Можно, создание нового десктопа используется в CureIT и полиморфном AVZ, в который включен режим "антивымогатель".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kvit.v
Можно, создание нового десктопа используется в CureIT и полиморфном AVZ, в который включен режим "антивымогатель".

а можно тут подробнее о режиме "антивымогатель".

ЗЫ странно что тут (форум AM) очень мало о AVZ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша
а можно тут подробнее о режиме "антивымогатель".

ЗЫ странно что тут (форум AM) очень мало о AVZ...

Это выходит за рамки данной темы :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Это выходит за рамки данной темы

Гриша, kvit.v

Зато нужная тема - вот она:

Антивирусная утилита AVZ

Так что ждёмс Ваш Ликбез по режиму "антивымогатель". ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      ESET Cyber Security 9.0.4300  (macOS 11/12/13/14/15/26)
                                                                                  ●
              Руководство пользователя ESET Cyber Security 9  (PDF-файл)
                                                                           
      Полезные ссылки:
      Технологии ESET
      Удаление антивирусов других компаний
      Как удалить ESET Cyber Security?
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.18.
    • demkd
      Появился очередной случай неадекватного поведения антивируса, в это раз отличился касперский, при попытке восстановить реестр процесс был прерван антивирусом, что привело к проблемам с загрузкой системы.
      ВСЕГДА выключайте антивирус перед запуском uVS и восстановлением реестра из бэкапа.
      Пожалуй это надо вынести в заголовок стартового окна большими буквами.
    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
×