Перейти к содержанию

Recommended Posts

x-sis
Возможно, что Симантек конечно, внес штук 40 старых C2 в блэклисты и ловит по коннектам к ним, но это реально костыль и костыль работающий только для крайне ограниченного числа клиентов.

Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Какой в баню рансом? Речь о TDSS в данном случае...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Лично мое мнение, что это не детект IPS. TDL работает по протоколу HTTPS с использованием стандартного сертификата, чтобы антивирусы не детектили и не блокировали сетевой трафик по специфическому содержимому пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Какой в баню рансом? Речь о TDSS в данном случае...

Это я добавил, да и руткиты он нормально лечит, все детектить тоже нельзя, но большинство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Какой в баню рансом? Речь о TDSS в данном случае...

Да люди вообще уже не понимают, о чем пишут :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
sda, ну к тест. лабораториям больше доверия, чем к энтузиасту. :)Например я не поверю твоим результатам, а ты не поверишь моим(по тем же причинам) и что будем делать? :D

Бета тестеры - это отдельная тема для обсуждения.

Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Да люди вообще уже не понимают, о чем пишут :facepalm:

:facepalm:

Вы меня не понимаете :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте :rolleyes:

Однако да. Но я то имел ввиду "поверье" на слово. Ведь даже после перепроверки можно не сойтись во мнении с полученными результатами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
О, какой топик едва не прошел мимо.

Скажите, а как конкретно определяется что TDL "вышел на связь с центром" ?

На скрине журнала видно, что блокируется адрес атакующего компьютера и указано описание трафика (TCP, https).

be7a5d0651898455a4bdb07f735d064b.png

post-12086-1315853194_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Народ! Промолчу о взаимном переходе на личности и, думаю, этого будет достаточно, чтоб в дальнейшем дискуссия шла более культурно со всех сторон. ;)

Интеллектуальные (они же сокращённые) базы.

Их идея в следующем: некий набор, который встречается в реальной среде, должен размещаться локально на компьютере пользователя, а остальное должно получаться из облака по сети, и в сумме это должно составлять 100% угроз. Как верно отметил Danilka, локальный набор подбирается по актуальности с точки зрения вирлаба Симантек, что вполне логично. Откуда берётся эта актуальность? По отчётам детекта, автоматически получаемым с компьютеров пользователей. Иными словами, используется обобщённая статистика. При этом благодаря импульсным обновлениям, наличие которых проверяется продуктом каждые 5 минут, довольно быстро можно включить в локальный набор баз необходимые сигнатуры, если в этом возникла необходимость.

Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее. О её плюсах и минусах можно, конечно, спорить, но тут как раз случай данности: имеем то, что имеем. При этом в условиях, на которые продукты Нортон расчитаны, они проявляют себя достойно, что значит, что техническое задание выполнено на отлично. Споры же о степени привязки продуктов Нортон к сети возникают лишь потому, что концепция этих продуктов по некоторым позициям опередила время, опередила эпоху, потому она, концепция, пусть и критикуема с точки зрения дня сегодняшнего, всё же принята на вооружение теми вендорами, которые претендуют на лидерство: никто из этих вендоров не начал движение к классическому антивирусу, а, наоборот, всё больше делается ставка на облако, на сетевое взаимодействие. Потому концепция продуктов Нортон правильна и перспективна: никто не предложил ничего лучше.

Ну а нелечение загрузочной области, которое имеем вопреки заявленному функционалу, будет исправлено одним из полных обновлений баз в обозримом будущем, после чего эта проблема тихо прекратит своё существование.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее.

Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Согласен. Верно отмечено, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
2238206.png

Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

:facepalm:

http://forum.symantecclub.ru/viewtopic.php?f=80&t=5004

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).
Согласен. Верно отмечено, конечно.

А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

А мы разве в данной беседе с Андреем ими бросались между собой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Я цитаты привёл как пример.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
у Симантек достаточно давно есть утилита, способная детектировать и лечить TDL, в том числе и версии 3, 4.

Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

3117797m.png

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

3109605m.png

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

3103461m.png

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Швырните в личку файлик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
ращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Да ну, Андрей же дал бесплатный телефон. Вот и звонить по телефону и слушать инструкции от омегапродвинутого сотрудника _первой_ линии по ручной правке mbr в Блокноте :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

3117797m.png

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

3109605m.png

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

3103461m.png

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Уже 100 раз было отмечено, что проблемы в 2012 версии, а не 2011. Может хватит флеймить? Кстати, у меня такое ощущение что я с вами общался на другом ресурсе, где также все передергивалось ;)

Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

Да чел не в теме просто :lol:

wx., можете поиграться также с FixTDSS'кой на примере данного семпла только на W7? (интересно просто).

И какой виртуальной средой вы пользуетесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

FixTDSS и Backdoor.Tidserv Removal Tool это одно и тоже, чего вы, кстати, как я вижу не знаете. Неспособность Tidserv Removal Tool вылечить это заражение было показано в посте #93, кстати.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Практически=базы там есть, но их мало. Без облака получишь заражение каким нибудь относительно старьем с флешки.

Базы есть и их не мало, всего около 13 милионов. Сдесь дело не в базе и количестве сигнатур, а в самих сигнатурах. Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256. Детект сбивается правкой одного байта(даже в блокноте :lol:). Эти сигнатуры в общем то не пригодны для детектирования модификаций а есть ни чем иным как просто набором тушек.

Другое дело что FIXTDSS не смог справится с заражением - это явный минус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256.

Вы не путаете часом вирусные базы и облачный детект, который в самом деле идет по хэшу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×