deviss

Лечение TDSS

В этой теме 73 сообщений

Что, в основном, только отечественные вендоры пытаются лечить подобные зловреды?

Как-то не сильно на слуху решения от их зарубежных колег (тех, что реально могу лечить и тех, что сильно распространены в стране у нас). Или я все время что-то пропускаю? Поделитесь, пожалуйста.

P.S. Понимаю, что сообщение надо бы перенести вообще в другую ветку, модераторам виднее будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Может быть потому, потому что им лечение до лампочки?

Или распространение у них настолько мало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Потому что у них нет грамотных аналитиков...

  • Downvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Потому что у них нет грамотных аналитиков...

Смешно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Смешно.

Ну а почему тот же Symantec до сих пор (включая 11 версию) не лечит активное заражение TDSS? Только не надо песню заводить про то, что главное не вылечить, а не допустить. Это не прокатит тут...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ну а почему тот же Symantec до сих пор (включая 11 версию) не лечит активное заражение TDSS?

11 версия, это что? Enpoint Protection?

Или распространение у них настолько мало?

Я же написал. Или до лампочки лечение.

И может хватить везде Симантек приплетать? Конечно, понимаю, не нравится, ну так что? Постоянно теперь напоминать о этой "нелюбви" к вендору?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Что, в основном, только отечественные вендоры пытаются лечить подобные зловреды?

Только отечественные вендоры на этом пиарятся. Зарубежные предпочитают делом заниматься и реально защищать от реальных угроз.

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
11 версия, это что? Enpoint Protection?

Я же написал. Или до лампочки лечение.

И может хватить везде Симантек приплетать? Конечно, понимаю, не нравится, ну так что? Постоянно теперь напоминать о этой "нелюбви" к вендору?

1) NIS 2011 - которая выйдет 1 сентября.

2) А, ну отличная забота о юзерах.

3) Ну так они лидеры мировые - так вот их в пример и приводят. Кстати TM тоже не лечит. :) Это так, к слову.

Только отечественные вендоры на этом пиарятся. Зарубежные предпочитают делом заниматься и реально защищать от реальных угроз.

Угу. А кое кто предпочитает вообще не детектить половину семплов семейства Katec, видимо потому что удалить не может. Зачем юзеру показывать свою недееспособность...

Делом заниматься? :) Создавать легальные фейк-ав...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А кое кто предпочитает вообще не детектить половину семплов семейства Katec, видимо потому что удалить не может.

Если я сейчас раздобуду эти сэмплы и проверю на виртуалке, детект СОНАР-а, и если он хлопнет - заберёшь свои слова обратно?

Давай точное название и я поищу.

2) А, ну отличная забота о юзерах.

Ась? Так почти у всех.

3) Ну так они лидеры мировые - так вот их в пример и приводят.

Примеры?

Пожалуйста.

http://www.anti-malware.ru/forum/index.php...view=getnewpost

А вообще, не хочется холивар разводить. Продолжайте без меня как-нибудь...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
от реальных угроз.

Да, и про реальные угрозы:

TDSS is the most powerful and complex rootkit to date. This universal malware can hide its own presence and that of other malware on an infected system while offering enhanced opportunities. In order to penetrate computers, TDSS infects drivers; this ensures that it will be launched almost immediately the operating system is started. Consequently, it is extremely difficult to detect and remove this rootkit.

Kaspersky Lab has invested significant time and effort into solving the issues raised by TDSS. This article looks at the technologies implemented in TDSS, the way in which the rootkit spreads, and how cybercriminals profit from this malware.

TDSS is spread via an affiliate program which uses all methods possible to deliver malware to victim machines. The rootkit attacks computers around the world.

Kaspersky Lab estimates that 3 million computers have been infected by the rootkit. Affiliates earn money according to the number of computers they infect; the highest payment is made for machines located in the USA.

Botnets managed using TDSS, and consisting of approximately 20,000 infected machines, are sold on the black market. The botnets’ command and control centers are located in China, Luxembourg, Hong Kong, Holland and Russia. The rootkit has a broad range of capabilities, and can be used in a variety of ways depending on what the malware authors and/or the renters or owners of botnets creating using TDSS wish to achieve.

“TDSS is sophisticated in terms of technology and design. Our analysis of the rootkit leads us to believe that its creators are either Russian or Russian speaking. They follow developments in the antivirus industry and instantly react by releasing updated versions of the rootkit. It’s therefore likely that the rootkit functionality will be modified in the near future in order to further counteract protection technologies,” say Sergey Golovanov and Vyacheslav Rusakov, the authors of the article.

http://www.securelist.com/en/analysis/204792131/TDSS

Это не реальная угроза? Снимите розовые очки. И проверьте систему на заражение.... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Потому что у них нет грамотных аналитиков...

Да Вы бредите уже. Сходите к врачу

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Может быть потому, потому что им лечение до лампочки?

Или распространение у них настолько мало?

С большим отрывом в статистике заражений лидирует США.

Потому что у них нет грамотных аналитиков...

Ну так - кое-кто предпочитает покупать технологии, а купить-то против TDSS и нечего :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если я сейчас раздобуду эти сэмплы и проверю на виртуалке, детект СОНАР-а, и если он хлопнет - заберёшь свои слова обратно?

Давай точное название и я поищу.

Удачи. Название написал. Ищи.

Ась? Так почти у всех.

Конечно у всех, только продукты 2х вендоров умеют достойно лечить системы - ЛК и Dr.Web...

Это что вообще? Причем тут DLP?

58d2f2da380db9a4c8e02edb045305f6.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Конечно у всех, только продукты 2х вендоров умеют достойно лечить системы - ЛК и Dr.Web...

Дополню - DrWeb не лечит заражение TDL3 уже как два месяца (точнее сказать, не видит зараженный драйвер при активном рутките).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Дополню - DrWeb не лечит заражение TDL3 уже как два месяца (точнее сказать, не видит зараженный драйвер при активном рутките).

Ну всеже они не кладут большой на лечение остальных зловредов. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
С большим отрывом в статистике заражений лидирует США.

Как давно это было?

b5d48fc8023ct.jpg

Значит лечение им до лампочки.

Это что вообще? Причем тут DLP?

Ты же сомневаешься в "лидерстве". Кстати в лидерстве того, чего у ЛК (вроде бы) нет.

Нет, семплы нагуглить не выйдет. Т.к. там где я смотрю обычно, там их нет. Если поделишься - проверю. Поставлю виртуалку и там проверю.

А так - завязываю с участием в холиваре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ты же сомневаешься в "лидерстве". Кстати в лидерстве того, чего у ЛК (вроде бы) нет.

Тяжелый случай.... Про сомнение в лидерстве тут вообще речи не идет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Тяжелый случай.... Про сомнение в лидерстве тут вообще речи не идет...

:D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только отечественные вендоры на этом пиарятся. Зарубежные предпочитают делом заниматься и реально защищать от реальных угроз.

Другие вендоры пиарят другие вещи, что с того?

Вон недавно был случай - представитель какой-то нероссийской конторы распиарил новую версию Родителського Контроля, которую растяпы нетехнических отделов в их версию IS не позволили интегрировать.

Только то что он распиарил - вовсе не значит что оно плохо. Теперь всем понятно, что нужные растяпы из главного офиса получат по ушам, а в 2011 версию новый Род.Контроль весьма вероятно интегрируют.

А вот промолчал бы - глядишь 2018 версии ждать бы пришлось.

Так что я не вижу в пиаре как таковом ничего особенного - это самый обычный вид рекламы, и не более того.

Ну всеже они не кладут большой на лечение остальных зловредов. :)

Уверен, что и на этого тоже не положили.

Просто "именно тут и сейчас именно этот тип" не успели/появились какие-то проблемы/другие приоритеты.

Через месяцок таки задавят, никуда не денутся. Даже если не захотят - придется. Терка двух антивирусных контор, расположенных в одной стране не дает расслабиться ни одной из сторон. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Удачи. Название написал. Ищи.

только не Katec а Kates

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
только не Katec а Kates

Само собой. Писал половину на русском половину на ингл. Спасибо за поправку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Trojan-PSW.Win32.Kates ?

Есть только 2 файла.

Кстати, не помешало бы исправить зависание файлового антивируса на KillMBR. Это к КИС.

В конце статьи свежая статистика - http://www.nobunkum.ru/issue003/tdss-botnet/

Ссылка очень интересная, кстати.

Ну а про лечение...

http://community.norton.com/t5/Tech-Outpos...-3/td-p/264499#

Ждите ответа.

Английский ужасный, знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, не помешало бы исправить зависание файлового антивируса на KillMBR. Это к КИС.

А можно подробности?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А можно подробности?

Лежит в папке по классификации ЛК - Trojan.KillMBR, захожу в папку, и виснет папка. КИС наполовину тоже. "По требованию" сканируется и детектится нормально.

Про лечение ТДСС ответили.

Norton can detect TDL3 (+), by various ways as TDL keeps changing, although looks at the moment it has slowed for now.

Intrusion Prevention, HTTP(S).Tidserv

Installers, Backdoor.Tidserv

Driver infected / patched, Backdoor.Tidserv!inf

Norton's engine at the moment not able to handle the infected / patched driver, so is not allowed to delete the driver, as that is disastrous for Windows.

Symantec are working on it I believe,

TDL3 (+) changed so much that even the likes of Dr Web and Kaspersky etc have to keep up with the changes and detection. Detected, now not detected, detected, now not detected again, detected........................................

Symantec are working on it I believe,

Улыбнуло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS