Перейти к содержанию
_Stout

Warezof.ff подарок к празднику

Автор _Stout, в Выбор домашних средств защиты

Recommended Posts

_Stout    131

_Stout
Опубликовано

По данным мониторинга Kaspersky Hosted Security за ночь с 6 на 7 ноября было разослано более 20 различных вариантов червя Warezov. Все они детектятся Антивирусом Касперского как Warezov.ff.

Вирусный трафик около 4-5%.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей Ильин    1538

Сергей Ильин
Опубликовано

20 различных вариантов - это мощно, фактически мы наблюдаем сейчас атаки нового, выпуск большего количества вариантов вируса в очень короткий срок. По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

Может быть стоит прекратить предсказывать? :-)

А сейчас увеличивается поток инфицированных писем от заразившихся пользователей. Очень много из Питера и Москвы

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

A.    875

A.
Опубликовано

Скажем честно - новые самплы палятся только нодом

точка

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано

Позвольте, я усомнюсь :) Несмотря на то, что адептом NOD не являюсь. ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dexter    20

Dexter
Опубликовано
Скажем честно - новые самплы палятся только нодом

точка

Афигеть.:) :shock:

Вы серьёзно?:shock:

Тяжёлый день?

А как же маркетинг? :shock: :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

EYE    59

EYE
Опубликовано
Скажем честно - новые самплы палятся только нодом

точка

Скажем честно - новые самплы палятся только нодом

точка

Афигеть.:) :shock:

Вы серьёзно?:shock:

Тяжёлый день?

А как же маркетинг? :shock: :)

И в впрямь, удивительная откровенность :)

А как реагировал PDM Каспера на эти новые, неизвестные экземпляры Warezov ? Ловил ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
А как реагировал PDM Каспера на эти новые, неизвестные экземпляры Warezov ? Ловил ?

Само собой ловил. А есть сомнения?

PS Ждем продолжения истории с Варезов. Уверен, что это не последняя массовая рассылка. Кстати, последние версии несколько изменили текст писем. Да и в поле дата ошибки ;-)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

EYE    59

EYE
Опубликовано
Само собой ловил. А есть сомнения?

Если бы у меня были сомнения, я бы не задавал этот вопрос :)

Просто интересны комментарии очевидцев...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано

Очевидцем быть не обязательно. :) Warezov не будет ловиться поведенческим блокиратором только тогда, когда перестанет писать себя в автозапуск и внедрять свои библиотеки в процессы :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Dexter    20

Dexter
Опубликовано
Сергей Ильин писал(а):

По сути получается "DoS атака" на вирлабы вендоров. Я помню такое предсказывали около года назад.

Может быть стоит прекратить предсказывать? Smile

и далее

PS Ждем продолжения истории с Варезов. Уверен, что это не последняя массовая рассылка.

Определённо был тяжёлый день.:(

Или может пинч завёлся и угнали пароли от форума? Ж) :(

Извините.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

EYE    59

EYE
Опубликовано
Или может пинч завёлся и угнали пароли от форума? Ж)

:)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

EYE    59

EYE
Опубликовано
Очевидцем быть не обязательно. Smile Warezov не будет ловиться поведенческим блокиратором только тогда, когда перестанет писать себя в автозапуск и внедрять свои библиотеки в процессы

Nick, Вы констатируете то, что и так очевидно.

Я же, хотел узнать, не претерпел ли Warezov "полезных" модификаций,

позволяющих ему помочь PDM Каспера, сохранить "гробовое молчание".

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Николай Головко    70

Николай Головко
Опубликовано

Это и был ответ на ваш вопрос. ;) В основе проактивки Каспера, как вы помните, лежит поведенческий анализатор. Я пока что не осведомлен о том, как в процессе инсталляции скрыть от защиты реестра факт создания ключа. ;) Подозреваю, что такой способ практически не реализуем. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Alex_Goodwin    81

Alex_Goodwin
Опубликовано
Скажем честно - новые самплы палятся только нодом

точка

Смотрите первое сообщение : !!! По данным КХС! детектятся как **.FF. Вы все еще сомневаетесь? А ПДМ по прежнему ловит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

_Stout    131

_Stout
Опубликовано
Скажем честно - новые самплы палятся только нодом

точка

Смотрите первое сообщение : !!! По данным КХС! детектятся как **.FF. Вы все еще сомневаетесь? А ПДМ по прежнему ловит.

Задача KHS не допустить вредоносный код до клиентов. Имена мы не даем. К тому моменту, как я написал пост, KAV уже детектил первые экземпляры. В течение дня также было несколько (десятков) новых вариантов, которые в последствии назвали Warezov.ff. Т.е. имена даются постфактум, когда файл детектируется антивирусом, до тех пор это просто NewVirus.XXX.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Выбор домашних средств защиты

  • Сообщения

    • YuriiGabform
      uVS - Тестирование

      От YuriiGabform · Опубликовано

      Приветствуем вас! Давайте вместе достигнем новых высот. Готовы обсудить детали?


      Это сообщение попало к вам, а что, если такие же предложения о вашем бизнесе увидят тысячи? Воспользуйтесь нашими рассылками и дайте вашему бизнесу шанс на успех!


      Благодарим за интерес к нашему предложению. Мы уверены, что наше сотрудничество станет успешным для обеих сторон. Приглашаем вас посетить наш сайт и передать нашу информацию вашему руководителю. Удачи в бизнесе и успехов!

      Контактируйте: Сайт: http://formsait.tilda.ws Почта: marketing.trafik@mail.ru

      Расширьте базу клиентов без лишних затрат! Попробуйте нашу рассылку уже сегодня.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
    • Ego Dekker
      Актуальные версии антивируса 17-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 17.1.13.
×