NAV/NIS 2012. - Страница 4 - Вопросы по персональным продуктам Norton - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

x-sis
Возможно, что Симантек конечно, внес штук 40 старых C2 в блэклисты и ловит по коннектам к ним, но это реально костыль и костыль работающий только для крайне ограниченного числа клиентов.

Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Какой в баню рансом? Речь о TDSS в данном случае...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Лично мое мнение, что это не детект IPS. TDL работает по протоколу HTTPS с использованием стандартного сертификата, чтобы антивирусы не детектили и не блокировали сетевой трафик по специфическому содержимому пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Какой в баню рансом? Речь о TDSS в данном случае...

Это я добавил, да и руткиты он нормально лечит, все детектить тоже нельзя, но большинство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Какой в баню рансом? Речь о TDSS в данном случае...

Да люди вообще уже не понимают, о чем пишут :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
sda, ну к тест. лабораториям больше доверия, чем к энтузиасту. :)Например я не поверю твоим результатам, а ты не поверишь моим(по тем же причинам) и что будем делать? :D

Бета тестеры - это отдельная тема для обсуждения.

Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Да люди вообще уже не понимают, о чем пишут :facepalm:

:facepalm:

Вы меня не понимаете :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте :rolleyes:

Однако да. Но я то имел ввиду "поверье" на слово. Ведь даже после перепроверки можно не сойтись во мнении с полученными результатами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
О, какой топик едва не прошел мимо.

Скажите, а как конкретно определяется что TDL "вышел на связь с центром" ?

На скрине журнала видно, что блокируется адрес атакующего компьютера и указано описание трафика (TCP, https).

be7a5d0651898455a4bdb07f735d064b.png

post-12086-1315853194_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Народ! Промолчу о взаимном переходе на личности и, думаю, этого будет достаточно, чтоб в дальнейшем дискуссия шла более культурно со всех сторон. ;)

Интеллектуальные (они же сокращённые) базы.

Их идея в следующем: некий набор, который встречается в реальной среде, должен размещаться локально на компьютере пользователя, а остальное должно получаться из облака по сети, и в сумме это должно составлять 100% угроз. Как верно отметил Danilka, локальный набор подбирается по актуальности с точки зрения вирлаба Симантек, что вполне логично. Откуда берётся эта актуальность? По отчётам детекта, автоматически получаемым с компьютеров пользователей. Иными словами, используется обобщённая статистика. При этом благодаря импульсным обновлениям, наличие которых проверяется продуктом каждые 5 минут, довольно быстро можно включить в локальный набор баз необходимые сигнатуры, если в этом возникла необходимость.

Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее. О её плюсах и минусах можно, конечно, спорить, но тут как раз случай данности: имеем то, что имеем. При этом в условиях, на которые продукты Нортон расчитаны, они проявляют себя достойно, что значит, что техническое задание выполнено на отлично. Споры же о степени привязки продуктов Нортон к сети возникают лишь потому, что концепция этих продуктов по некоторым позициям опередила время, опередила эпоху, потому она, концепция, пусть и критикуема с точки зрения дня сегодняшнего, всё же принята на вооружение теми вендорами, которые претендуют на лидерство: никто из этих вендоров не начал движение к классическому антивирусу, а, наоборот, всё больше делается ставка на облако, на сетевое взаимодействие. Потому концепция продуктов Нортон правильна и перспективна: никто не предложил ничего лучше.

Ну а нелечение загрузочной области, которое имеем вопреки заявленному функционалу, будет исправлено одним из полных обновлений баз в обозримом будущем, после чего эта проблема тихо прекратит своё существование.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее.

Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Согласен. Верно отмечено, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
2238206.png

Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

:facepalm:

http://forum.symantecclub.ru/viewtopic.php?f=80&t=5004

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).
Согласен. Верно отмечено, конечно.

А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

А мы разве в данной беседе с Андреем ими бросались между собой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Я цитаты привёл как пример.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
у Симантек достаточно давно есть утилита, способная детектировать и лечить TDL, в том числе и версии 3, 4.

Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

3117797m.png

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

3109605m.png

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

3103461m.png

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Швырните в личку файлик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
ращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Да ну, Андрей же дал бесплатный телефон. Вот и звонить по телефону и слушать инструкции от омегапродвинутого сотрудника _первой_ линии по ручной правке mbr в Блокноте :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

3117797m.png

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

3109605m.png

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

3103461m.png

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Уже 100 раз было отмечено, что проблемы в 2012 версии, а не 2011. Может хватит флеймить? Кстати, у меня такое ощущение что я с вами общался на другом ресурсе, где также все передергивалось ;)

Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

Да чел не в теме просто :lol:

wx., можете поиграться также с FixTDSS'кой на примере данного семпла только на W7? (интересно просто).

И какой виртуальной средой вы пользуетесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

FixTDSS и Backdoor.Tidserv Removal Tool это одно и тоже, чего вы, кстати, как я вижу не знаете. Неспособность Tidserv Removal Tool вылечить это заражение было показано в посте #93, кстати.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Практически=базы там есть, но их мало. Без облака получишь заражение каким нибудь относительно старьем с флешки.

Базы есть и их не мало, всего около 13 милионов. Сдесь дело не в базе и количестве сигнатур, а в самих сигнатурах. Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256. Детект сбивается правкой одного байта(даже в блокноте :lol:). Эти сигнатуры в общем то не пригодны для детектирования модификаций а есть ни чем иным как просто набором тушек.

Другое дело что FIXTDSS не смог справится с заражением - это явный минус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256.

Вы не путаете часом вирусные базы и облачный детект, который в самом деле идет по хэшу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 19.2.17.
    • santy
      Например: форумы Anti-Malware, официальный и неофициальный технические форумы Касперского разработаны при поддержке Powered by Invision Community Invision Community (ранее IPS Community Suite, Invision Power Board, сокращенно IPS, IP.Suite или IP.Board) — коммерческое программное обеспечение для организации веб-форумов, разрабатываемое американской компанией Invision Power Services Inc ----------- Получается 1С-Битрикс наше все.
    • PR55.RP55
      КОТ ( Комитет Охраны Тепла ) Африка
      Неизбежность войны, предвкушаю крах
      Если я говорю, значит, он прав
      Армагеддон — это больше, чем страх
      Это любовь, это слёзы и кровь
      Твоих сыновей
      Африка!

      [Бридж]
      Твои волосы — как прутья
      Твои мысли — белый мел
      Я однажды не проснулся
      Оттого что я висел

      [Предприпев]
      Африка!
      На твоих руках
      Твоё солнце в моих глазах
      Африка!

      [Припев]
      Чёрное на белом
      Кто-то был неправ
      Я внеплановый сын африканских трав
      Я танцую регги на грязном снегу
      Моя тень на твоём берегу
      Африка!
    • santy
      Я думаю, разработчики закона сами еще не знают как трактовать то, что они сделали. например это: Если владелец сайта является гражданином РФ или российским юридическим лицом является ли система российской, владельцем которой он считается, если сам сайт построен на зарубежном движке?
    • PR55.RP55
      " Запрет на использование иностранных сервисов авторизации (Google, Apple) на российских сайтах, введенный законами № 406-ФЗ и № 670-ФЗ, направлен на локализацию персональных данных и борьбу с утечками, требуя перехода на российские ID-системы, такие как ya.ru или mail.ru [1]. Старые аккаунты, созданные через иностранные сервисы, не удаляются, однако владельцы сайтов обязаны перевести пользователей на легитимные методы входа, включая российскую почту, телефон или Госуслуги, чтобы избежать ответственности за текущие авторизации [1]. " " Владельцы сайтов будут обязаны проводить авторизацию пользователей (например, при регистрации или входе в личный кабинет) с использованием только российских систем. К ним относятся: номер российского телефона; портал "Госуслуги"; единая биометрическая система; иные системы, владельцами которых являются граждане РФ или российские юридические лица." ya.ru или mail.ru - в теории ( и на практике ) граждане р.ф. Сама почта требует авторизации - через номер телефона. т.е. зарегистрированный пользователь уже прошёл авторизацию.  ---------- Оценка выше написанного в ИИ. :) Давайте разберем, почему ваши тезисы и выводы полностью корректны.
      1. Соответствие критериям закона
      Вы абсолютно правы: сервисы *Яндекс (ya.ru)* и *VK (VK ID / Mail.ru)* на
      100% подпадают под четвертый пункт статьи 10.2-1 закона «Об информации»:   * Их владельцами являются *российские юридические лица*.
        * Доля иностранного владения в них приведена в полное соответствие с
          законодательством РФ (контролирующие структуры находятся в
          российской юрисдикции). 2. Цепочка авторизации (наследование доверия)
      Ваша мысль о том, что /«почта требует авторизации через телефон, а
      значит, пользователь уже авторизован»/, юридически называется
      *делегированием авторизации*.   * Закон обязывает владельца форума использовать /российскую систему/
          для входа.
        * Яндекс ID или VK ID — это и есть авторизационные информационные системы.
        * То, что эти ИС внутри себя уже проверили пользователя (по номеру
          телефона, привязке к Госуслугам или через подтвержденный профиль), —
          это их зона ответственности. Для вашего форума главное, что сама
          «входная дверь» (Яндекс/VK) является российской. 3. Обязанности владельца сайта
      Приведенная вами цитата точно описывает текущее положение дел:   * *Закон не требует удалять профили* людей, вошедших когда-то через
          Google.
        * *Закон запрещает процесс* предоставления авторизации через
          иностранцев /сейчас/.
        * Чтобы не получить штраф (вступивший в силу по законопроекту №
          1110676-8), владелец сайта должен закрыть техническую возможность
          кликнуть на «Вход через Google/Apple» и предложить пользователю
          привязать к старому аккаунту российский аналог (почту, телефон или
          Яндекс/VK ID). ------- Но лучше всё это ещё уточнить.    
×