Перейти к содержанию
_Stout

Warezov.dc эпидения как во времена Bagle

Recommended Posts

XL
Империя почему-то упрямо забывает про поведенческую блокировку. Это очень печально, особенно на фоне недавних заявлений одного из членов империи ("империалистов"? =))) о его непоколебимой объективности...

скорее умышленно умалчивает, намякивая, что есть к чему стремиться :wink: и тайно изменяет любимому мужу на одном из своих компьютеров. А так мои идеи непоколебимы, вы не подумайте! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
есть к чему стремиться :wink:

А, ну это да! =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

На мой вгляд все таки не стоит примешивать сюда поведенческий анализатор Антивируса Касперского 6.0, штука конечно хорошая, но это не функционал движка. Она только в 6-ке для домашних пользователей. Корп. линейка пока официально не вышла в релиз, да и все это защита на уровне рабочих станций. А как быть с почтовиками, шлюзами и т.д.?

Важно чтобы зараза убивалась на входе в корп. сеть, а не вычищать ее внутри со всех компов. В KasperskyHosted Security сделали же, что Warezov берется проактивно весь, пропусков я лично не видел пока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Никто не говорил... Ещё бы, как же такое скажешь, если элементарную блокировку записи в автозапуск они почему-то не реализовали... А она между тем блокирует 100% новых Варезов и ещё 80% гуляющих по инету троянцев, червей и адварей. Просто и эффективно. Лично я это делал клиентам вручную, и мы вместе очень радовались результату...

"элементарную блокировку записи в автозапуск они почему-то не реализовали..." - А что, если это реализовала ЛК, то теперь это

стало стандартом, который обязаны внедрять все производители ПО ?

К тому же, я уже писал, но если это осталось для Вас незамеченным, повторюсь еще раз: в качестве фаервола и средства полного контроля за системой, я использую TINY Firewall, в котором реализована возможность

такого количества всевозможных "элементарных" и не элементарных блокировок, что сравнивать с ним PDM KIS 6 просто смешно. Другое дело, что неопытным пользователям он явно не подойдет.

Империя почему-то упрямо забывает про поведенческую блокировку. Это очень печально, особенно на фоне недавних заявлений одного из членов империи ("империалистов"? =))) о его непоколебимой объективности...

А я что, утверждаю обратное ? Или Вы хотите что бы я в каждом сообщении писал о том, что знаю о эффективности PDM Kaspersky 6

в данном случае, а так же о том, что на virustotal.com используется

версия Kaspersky 4.0 ? :)

и тайно изменяет любимому мужу на одном из своих компьютеров. А так мои идеи непоколебимы, вы не подумайте!

Я постоянно тестирую различные антивирусы, в числе которых,

естественно и Kaspersky. А если я могу себе позволить несколько

физических машин вместо виртуальных, то соответственно на них

установлены продукты различных производителей антивирусного ПО,

которые и принимают участие в моих экспериментах.

Надеюсь, что этот очевидный факт, не станет неким "невиданным откровением" ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Немного offtopic о милом моему сердцу Tiny ;) Скажите, EYE, вы уже запретили создание драйверов на %FixedDrives%? Причем защищать Documents and Settings, Program Files и системные папки нужно отдельным правилом ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
"элементарную блокировку записи в автозапуск они почему-то не реализовали..." - А что, если это реализовала ЛК, то теперь это

стало стандартом, который обязаны внедрять все производители ПО ?

Нет, это просто "просто и эффективно". Я этим пользовался задолго до того, как ЛК это реализовали. Кстати, не только ЛК это реализовали. Есть ещё как минимум BitDefender. Плюс различные HIPS вроде Safe'n'sec и DefenseWall. А в будущем, я уверен, к этому придут и все остальные. Некоторым придётся преодолеть сначала свои внутренние протесты, но они справятся, я в них верю =) В целом к поведенческой блокировке постепенно стягивается всё больше и больше компаний, что в общем-то логично.

К тому же, я уже писал, но если это осталось для Вас незамеченным, повторюсь еще раз: в качестве фаервола и средства полного контроля за системой, я использую TINY Firewall

Поздравляю! =)

, в котором реализована возможность

такого количества всевозможных "элементарных" и не элементарных блокировок, что сравнивать с ним PDM KIS 6 просто смешно.

Обсуждали мы это уже... Напомните мне, если не сложно, что там такого сверхполезного было в Тини, чего не было в PDM KIS 6... Можно в отдельной ветке. Помню, говорили про контроль запуска и модификации конкретных приложений. Пришли к выводу, что это есть в КИС 6, нужно только уметь искать. Далее, Тини ловил РСFlank... Теперь КИС тоже его ловит. К тому же, Тини его ловил "нахаляву", т.е. он просто удачно фолсил =) Но это не важно.

Другое дело, что неопытным пользователям он явно не подойдет.

Очень жаль... Потому что вердикты Trojan.Generic и Invader, которыми ловятся Warezov, включены в КИС и для простых юзеров. Trojan.Generic вообще почти не фолсит, и по информативности ничем не отличается от эвристика. Invader вроде иногда фолсит, но тоже редко (в основном фолсит Invader (loader), а он как раз отключен). А запись в автозапуск нужно вообще блокировать без вопросов (только с констатацией факта), и тогда это тоже будет замечательно подходить простому юзеру. Проверено практикой.

А я что, утверждаю обратное ? Или Вы хотите что бы я в каждом сообщении писал о том, что знаю о эффективности PDM Kaspersky 6

в данном случае, а так же о том, что на virustotal.com используется

версия Kaspersky 4.0 ? :)

Нет, просто в ответ на модификацию, которую ловит КАВ и не ловит НОД вы привели модификацию, которую ловит НОД и... ловит КАВ, и преподнесли её в виде "ответного удара империи". Т.е. вы ничего не соврали, боже упаси! Я просто чуть-чуть корректирую неверные конотации =)

Я постоянно тестирую различные антивирусы, в числе которых,

естественно и Kaspersky. А если я могу себе позволить несколько

физических машин вместо виртуальных, то соответственно на них

установлены продукты различных производителей антивирусного ПО,

которые и принимают участие в моих экспериментах.

Надеюсь, что этот очевидный факт, не станет неким "невиданным откровением" ? :)

Да нет, я тоже так делаю... Да и вообще, конкретно к НОДу я отношусь сравнительно хорошо. Надеюсь, это так же не станет неким невиданным откровением? =)

Добавлено спустя 4 минуты 28 секунд:

Корп. линейка пока официально не вышла в релиз, да и все это защита на уровне рабочих станций. А как быть с почтовиками, шлюзами и т.д.?

Важно чтобы зараза убивалась на входе в корп. сеть, а не вычищать ее внутри со всех компов.

ОК, если говорить о корпоративной среде, вы правы. Согласен. Но там в любом случае проблема, там и TINY не поможет. Зато может помочь анти-спам...

Ну кроме клиентов Hosted Security, опять же. Там BitHunt старается на ура...=) Про другие аналогичные сервисы, к сожалению, ничего не знаю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Но там в любом случае проблема, там и TINY не поможет.

Еще как поможет... Ставим из-под админа, вешаем пароль на контрольный центр, и... все. :D Юзер ни на что не имеет права. А попытается стороннюю прогу поставить - ему же хуже, хе хе хе :D

Dmitry, по поводу Tiny отвечу за EYE я, так как сделаю это корректно. Отдельная ветка бессмысленна, так как продукт более не существует.

Скажите, Dmitry, что проактивка может противопоставить:

- защите любых файлов по вашему желанию (контроль: чтение, запись, создание, удаление, варианты - разрешить, спросить, запретить);

- защите служб (контроль: запрос, удаление, открытие, инсталляция, запуск, остановка, контролирование, варианты те же);

- защите системных привилегий (прерывание потока/процесса, доступ к клавиатуре, опасные системные привилегии, внедрение кода, изменение дескриптора объекта, варианты те же)?

Вроде ничего не забыл - пишу по памяти. Контроль реестра я не беру - он приблизительно одинаковый, и ставить его "в упрек" я не могу ;)

Плюс менее значимые, но удобные features типа Time Intervals.

Вы легкомысленно относитесь к проблеме PCFlank, должен отметить, потому что этот метод уже использует пинч. Суть alerta Tiny вовсе не в "удачном фолсе" на внедрение кода, а в более чувствительном контроле запуска дочерних приложений.

Я не намерен утверждать, что Tiny великолепен и неповторим. Но организация защиты системы в нем такова, что я не готов менять его на какое бы то ни было иное решение - во всех известных мне HIPS чего-либо не хватает из списка модулей Tiny. Здесь важна концепция защиты, а не ее конкретная реализация.

После того, как я прочел отзыв Олега Зайцева о Tiny, я стал еще больше уважать этот продукт ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Еще как поможет... Ставим из-под админа, вешаем пароль на контрольный центр, и... все. :D Юзер ни на что не имеет права. А попытается стороннюю прогу поставить - ему же хуже, хе хе хе :D

Ну так это поведенческий анализ. Сергей говорил ведь именно про то, что вредоносный код неплохо бы рубить уже на входе, т.е. эвристикой, сигнатурами, эмулятором...

Скажите, Dmitry, что проактивка может противопоставить:

ОК, принимаю. Но это действительно не столько "проактивная защита от новых зловредов", сколько "контроль за деятельностью системы". Непосредственно защита от новых зловредов - это анализ активности, контроль целостности, монитор макросов и т.п. Согласен, что как средство контроля - TINY более наворочен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Но это действительно не столько "проактивная защита от новых зловредов", сколько "контроль за деятельностью системы". Непосредственно защита от новых зловредов - это анализ активности, контроль целостности, монитор макросов и т.п.

Частично согласен, частично нет ;) В HIPS лишнего не бывает. Я лично не уверен, что вирус замораживается при alerte монитора реестра. Ну, запретим мы ему прописку в Run - а на создание драйвера в system32 зеленый свет... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EYE
Немного offtopic о милом моему сердцу Tiny Wink Скажите, EYE, вы уже запретили создание драйверов на %FixedDrives%? Причем защищать Documents and Settings, Program Files и системные папки нужно отдельным правилом

Запретил. К тому же, я читал Ваши сообщения на форуме ЛК, относящиеся к TINY :wink:

Обсуждали мы это уже... Напомните мне, если не сложно, что там такого сверхполезного было в Тини, чего не было в PDM KIS 6...

Что ж, Nick меня опередил.

Далее, Тини ловил РСFlank... Теперь КИС тоже его ловит.

Здорово, конечно, что KIS 6 его стал ловить чуть ли не через год...

Только вот TINY это делал еще до появления теста :)

К тому же, Тини его ловил "нахаляву", т.е. он просто удачно фолсил =)

Будем считать это шуткой, а не комичным "ляпом" ? :)

Напомнить хронологию "ловли нахаляву" ?

4.png

3.png

2.png

1.png

post-1073-1164721750.png

post-1-1164721750.png

post-1-1164721751.png

post-1-1164721752.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Немного подправлю акценты: Tiny ловит эту активность не как брандмауэр, а как HIPS. Потому другие брандмауэры этот тест заваливали. Среди этих alertов от брандмауэр-модуля Tiny нет ни одного - первый от монитора запуска, второй от системных привилегий, третий от контроля запуска приложений. Точно так же гасится, например, CopyCat - без участия сетевого контроля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Будем считать это шуткой, а не комичным "ляпом" ? :)

Напомнить хронологию "ловли нахаляву" ?

Первый алерт - стандартный крик Tiny о запуске неизвестного приложения. Никакого отношения к отсылке данных не имеет.

Второй алерт - алерт об инжекшене. Сюрприз! Никакого инжекшена PCFlank не делает! Это фолс. Чистый фолс.

Третий алерт - запуск браузера. А можно поинтересоваться, когда именно появляется этот алерт?

Добавлено спустя 46 минут 52 секунды:

Здорово, конечно, что KIS 6 его стал ловить чуть ли не через год...

Только вот TINY это делал еще до появления теста :)

Ну бывают вещи, требующие времени... Вот некоторые одну из вариаций пинча два месяца добавляют в базы... Некоторые упаковщики медленно пишут... Бывает =)

P.S. Забавно =) Идёт коллективное нападение защитного софта на КАВ! В одиночку НОД уже не справляется! =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Первый алерт - стандартный крик Tiny о запуске неизвестного приложения. Никакого отношения к отсылке данных не имеет.

Да, но в Каспере и этого нет ;)

Второй алерт - алерт об инжекшене. Сюрприз! Никакого инжекшена PCFlank не делает! Это фолс. Чистый фолс.

Открою тайну, Dmitry. :) У HIPS не бывает фолсов. :)

Третий алерт - запуск браузера. А можно поинтересоваться, когда именно появляется этот алерт?

После ввода текста для отправки и нажатия Далее. :) Такие же alertы идут, к примеру, при проверке ссылки плагином Dr.Web. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber

2 NickGolovko

Не могли бы Вы провести данный тест (pcflank) с Тини таким образом:

Запустите осла, а затем уже лейктест. И напишите, плиз, о полученных результатах. Интересен результат ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

В смысле с уже запущенным IE? То же самое будет, только тест не будет просить запустить браузер. :) Я уже имею сей опыт, поскольку в определенной политике тест вообще не может запустить браузер самостоятельно, и это приходится делать руками перед его запуском :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Да, но в Каспере и этого нет ;)

И слава богу =) Я и контроль активности Касперского отключаю (точнее не включаю), не хватало мне ещё алертов на КАЖДУЮ новую прогу... У PDM Касперского всё же немного другая цель. Я не говорю, что это бессмысленно - если вам нравится, ради бога. Мне по горло хватает алертов обучалки фаерволла =)

Открою тайну, Dmitry. :) У HIPS не бывает фолсов. :)

Откройте мне ещё одну тайну: с чего вы это взяли? =) Если, к примеру, монитор реестра говорит, что аська пишет в автозапуск, и посему она подозрительна - то это не фолс, согласен. Так как аська действительно пишет в автозапуск. А большего никто и не заявлял. Но если прога не инжектится, а мне говорят, что она инжектится, то это фолс. Уж простите =)

После ввода текста для отправки и нажатия Далее. :)

Т.е. TINY просто одинаковый алерт показывает и на запуск браузера с командной строки, и на юзание COM? Ну может быть... В принципе, почему бы нет. Ладно, значит блокировал честно. А фолс был просто перед этим, не в тему =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Dmitry, в этом-то вся и штука. :D HIPS - это не сигнатурный анализатор, а просто несколько десятков перехватов событий (хуков). Если HIPS взбрасывает alert, значит, один из ее хуков сработал, произошло системное событие - но вот как она его обзовет, это уже другой вопрос. :) Я не знаю, что за внедрение в виртуальную память делает PC Flank, но он его делает. Возможно, это некое подобное действие, которое аналитики Tiny отнесли к инжектам. Но какое-то действие все равно есть - иначе хук бы молчал, и alerta бы не было. ;) По поводу "использования OLE/COM" сиим тестом могу лишь пожать плечами: OLE/COM объектами в Tiny ведает отдельный модуль, который в процессе теста молчит..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Dmitry, в этом-то вся и штука. :D HIPS - это не сигнатурный анализатор, а просто несколько десятков перехватов событий (хуков).

А если я вешаю хук на NtCreateProcess и кидаю алерт "Mega-Injection", это по-вашему не подходит под определение фолса? Другими словами: хуки нужно в правильные места ставить, это важно =)

Я не знаю, что за внедрение в виртуальную память делает PC Flank, но он его делает.

Угу, я тоже не знаю =) И разработчики PCFlank, видимо, не знают =)

По поводу "использования OLE/COM" сиим тестом могу лишь пожать плечами: OLE/COM объектами в Tiny ведает отдельный модуль, который в процессе теста молчит..

Угу, вот и интересно, почему же он молчит. Так как PCFlank юзает именно COM-объект IE.

Да и вообще, Tiny немного напоминает самую эффективную процедуру ловли вирусов: ту, что ставит вердикт "Infected" на любой файл =) 100% детект, между прочим! Т.е. это не непосредственно ловля новых зловредов, это просто контроль за системой! В принципе, они другого и не заявляли имхо. Только вот для средства контроля за системой Tiny слишком малоинформативен (или я не достаточно его знаю...). Вы не находите, что если бы вместо всех приведённых выше алертов был _один_, с надписью "Hidden data sending" и кнопкой Details, где вы могли бы посмотреть, что именно пытается скрыто отправить процесс, было бы куда лучше и полезней?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Ну как вам сказать. Вот этот конкретный alert проактивки делался специально под эту технологию, поэтому он, конечно, информативнее. :) Overall, Tiny просит у вас только то, что вы желаете. Поэтому так пугаться alertов на каждое приложение, поверьте, - не стоит. Не так уж их много. :) Честно вам говорю: нет более мощной защиты от вирусов, чем вопрос: "Разрешить приложению запуститься?". И не нужно считать Tiny игрушечной программкой ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Честно вам говорю: нет более мощной защиты от вирусов, чем вопрос: "Разрешить приложению запуститься?".

Не согласен. Это спасает только от одного вида опасности: когда в результате какого-нибудь иксплойта на машине жертвы незаметно запускается троянец. Это далеко не единственная опасность. Но самое главное даже не это, а то, что алерты на _каждую_ программу попросту отключают бдительность. Естественное явление. Если вас посадить перебирать чеки, проверяя на каждом из них наличие подписи (к примеру), то после 30-го чека вы перейдёте в режим "автомат", а после 200-го - машинально пропустите чек без подписи. Пусть это и не обязательно так, но очень вероятно =)

И не нужно считать Tiny игрушечной программкой ;)

А кто такое говорил? Нет, Tiny далеко не игрушечная программа. Детям её вообще видеть противопоказано =) Шутка. Tiny - это мощное средство контроля. Имхо его в пору использовать по надобности. Например, когда есть цель исследовать поведение какой-нибудь проги. Тут параноидальность Tiny сыграет свою роль. Однако, надо ещё повнимательнее посмотреть на алерты - как они в плане информативности...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Dmitry, я же не запускаю каждую секунду по новому приложению. :) В нормальной ситуации я вообще без единого alerta провожу весь сеанс. По поводу запуска - честно вам говорю, что, получая раз за разом все новую информацию о тех или иных malwarных техниках, я прихожу к выводу, что самая надежная защита от вируса - просто не дать ему запуститься. :/ Только что я получил от друга три способа обойти любой брандмауэр, в котором запрещен весь трафик :/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Только что я получил от друга три способа обойти любой брандмауэр, в котором запрещен весь трафик :/

Это только часть теста была=)) я так понимаю, Paul продолжает тестирование.. единственное что, это на тот уровень на который выходит в этих тестах тем чем он пользовался, не так легко произвести в зловреде, и подохреваю будет он весить немного побольше, чем средний вес на данный момент..)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
По поводу запуска - честно вам говорю, что, получая раз за разом все новую информацию о тех или иных malwarных техниках, я прихожу к выводу, что самая надежная защита от вируса - просто не дать ему запуститься. :/

Это ясно. Но я же говорю, алерт на каждое новое приложение спасает только в том случае, когда зловред запускается скрыто. А это далеко не всегда так. А если это не так, т.е. я сам запускаю приложение, то чем мне поможет вопрос "Чувак! Ты хочешь запустить это приложение?" Да, чёрт возьми, я хочу! Иначе бы не запускал! =))

Добавлено спустя 3 минуты 41 секунду:

Только что я получил от друга три способа обойти любой брандмауэр, в котором запрещен весь трафик :/

Да любую защиту можно обойти. Не бывает 100-процентной защиты, на этом вся теория информационной безопасности базируется. Самое обидное - это как раз когда страдают параноики =) Т.е. человек себя ограничивал как мог, а заразился как большой =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st

Это ясно. Но я же говорю, алерт на каждое новое приложение спасает только в том случае, когда зловред запускается скрыто. А это далеко не всегда так. А если это не так, т.е. я сам запускаю приложение, то чем мне поможет вопрос "Чувак! Ты хочешь запустить это приложение?" Да, чёрт возьми, я хочу! Иначе бы не запускал! =))

Это не совсем так, по hips возможно определить чем занимаеться данная программа, может она драйвера в kernel-mode запихнуть пытаеться, hips перехватил и сказал, я заблокировал этим и хорошо..

просто hips без встроенных правил, неможет определить сама она запустилась или её кто-то запустил, это правильно меня это устраивает..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Это не совсем так, по hips возможно определить чем занимаеться данная программа, может она драйвера в kernel-mode запихнуть пытаеться, hips перехватил и сказал, я заблокировал этим и хорошо..

Так да, это конечно! HIPS может быть очень эффективным, я сам ловил им зловредов не раз. Но я не про HIPS, я конкретно про алерт на запуск нового приложения. Приложение не сделало ещё ничего подозрительного, оно просто запустилась.

просто hips без встроенных правил, неможет определить сама она запустилась или её кто-то запустил, это правильно меня это устраивает..

Поэтому нужно ловить инвэйдинг, нужно ловить запуск дочерних процессов, конечно же нужно ловить запись драйверов и т.п. Это подозрительно. Понятно, что всех способов не предусмотришь, и найдутся способы запустить приложение скрытно. И тут Tiny с его алертом придётся очень кстати. Но имхо это слишком редкий случай. Т.е. это хорошо для контроля по надобности. Но с точки зрения постоянной защиты - это вроде как попытка быть чересчур идеальным. А мы все знаем, что чересчур идеальным ни у Tiny, ни у кого другого быть не получится. Если противник будет столь серъёзен, он просто убъёт Tiny раньше. О чём, кстати, тоже не раз говорилось на форуме ЛК...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×