Перейти к содержанию

Recommended Posts

Umnik

Это очень важная инфа. Сообщи ее VB, чтобы они свои баги поправили. Будешь тысячным сообщальщиком.

Ticket #9106

Ticket #1778

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

А почему модератор вместо пресечения флуда, сам флудит в теме про НИС описывая тикеты про ВиртуалБокс? До сих пор не понимаю. :rulz:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Не стоит указывать, что мне делать. Где нарушение, а где нет, смотрят модераторы, супермодераторы, администрация. Супермодераторы и администрация нарушений не видит. Продолжение диалога будет же оффтопом.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
И дополнительный вопрос, который непременно нужно выяснять: были ли защищены настройки антивируса паролем.

И в NIS и в KIS использовались настройки по-умолчанию. Соответственно, настройки не были защищены паролем.

Если нет, то, да, на сегодняшний день через незапароленные настройки вирус может отключить самозащиту NIS 2012.

Вы наивно считаете, что пароль для настроек поможет _самозащите_ Нортона? Я Вас разочарую - не поможет. Никак.

Руткит без проблем убивает ccSvcHst вне зависимости от того используется пароль, либо не используется.

Чтобы не возникало лишних вопросов, предлагаю посмотреть мультик -

http://rghost.net/private/21998861/552698c...8c323ba50598dba

пароль: zeroaccess

На этот раз настройки NIS 2012 были защищены паролем. Все остальные условия - прежние.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Это очень важная инфа. Сообщи ее VB, чтобы они свои баги поправили. Будешь тысячным сообщальщиком.

Ticket #9106

Ticket #1778

Мне это как то до фонаря <_<

Я просто привел, как факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Промежуточный итог: есть одна заведомо вменяемая виртуальная машина, на которой можно тестировать почти все возможности современных антивирусов, есть прочие виртуальные машины, явно искажающие результаты подобных тестов своим несовершенством, есть реальная среда, в которой тестирование проводить лучше всего.

Пароль и самозащита.

Пароль на настройки всё же в большинстве случаев помогает и от вирусов в том числе. Другое дело, что есть разные вирусы, и вирус, заточенный против конкретного антивируса, безусловно антивирус победит, если только антивирус его не остановит на стадии проникновения в систему. Разного рода спекуляции по этому поводу считаю неуместными, а вот дисциплину пользователя всё же никто не отменял, равно как и аксиому, что нет такого антивируса, который защитает от всех вирусов бех исключений: исключения всегда есть.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Промежуточный итог: есть одна заведомо вменяемая виртуальная машина, на которой можно тестировать почти все возможности современных антивирусов, есть прочие виртуальные машины, явно искажающие результаты подобных тестов своим несовершенством, есть реальная среда, в которой тестирование проводить лучше всего.

....

Это совсем не так но доверять VMWARE можно хотябы потому что они крупнейший поставщик такого рода систем. И соотв. не зря свой хлеб едят.

....

Пароль и самозащита.

Пароль на настройки всё же в большинстве случаев помогает и от вирусов в том числе. Другое дело, что есть разные вирусы, и вирус, заточенный против конкретного антивируса, безусловно антивирус победит, если только антивирус его не остановит на стадии проникновения в систему. Разного рода спекуляции по этому поводу считаю неуместными, а вот дисциплину пользователя всё же никто не отменял, равно как и аксиому, что нет такого антивируса, который защитает от всех вирусов бех исключений: исключения всегда есть.

Андрей, пароль помагает от вирусов под названием 'пользователь' но никак от вредоносного кода, который просто вынесет службы из памяти напрямую(через драйвер).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
Андрей, пароль помагает от вирусов под названием 'пользователь' но никак от вредоносного кода, который просто вынесет службы из памяти напрямую(через драйвер).

Два чая этому оратору.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин

Претензий к самозащите, вообще говоря, быть не должно - убиение антивирусов происходит из драйвера. Единственный метод борьбы с ZeroAccess-ом - не дать ему заразить систему.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C

Сегодня мне посчастливилось увидеть обнаружение TDL4 NIS'ом 2012. Причём руткит был активен на виртуальной машине, а продукт среагировал на реальной системе. Это ещё раз доказывает, что обнаружение происходит системой предотвращения вторжений.

MD5: e0a59774e59c946b7f3c89eec33418c3

2339765.png

tdss.PNG

post-12086-1316363801_thumb.png

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

Сегодня мне посчастливилось увидеть обнаружение TDL4 NIS'ом 2012. Причём руткит был активен на виртуальной машине, а продукт среагировал на реальной системе. Это ещё раз доказывает, что обнаружение происходит системой предотвращения вторжений.
Продукт всего лишь обнаружил сетевую активность виртуальной машины... :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Продукт всего лишь обнаружил сетевую активность виртуальной машины... :facepalm:

Продукт обнаружил сетевую активность TDL4. А тем, кто внимательно читать не умеет, я сочувствую :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Продукт всего лишь обнаружил сетевую активность виртуальной машины...
Продукт обнаружил сетевую активность TDL4.

Ребята! :) Вы ведь об одном и том же. :) Просто разными словами.

С удовольствием сообщаю, что баг баз в части руткитов пятничным полным обновлением баз устранён: теперь всё работает так, как задумано, т.е. руткит в случае наличия активного заражения обнаруживается по действию, а не сигнатурно, после чего пользователя отправляют на сайт за утилитой лечения. При этом так происходит лишь при полном наборе баз. При интеллектуальном наборе баз руткит может быть пойман лишь сигнатурно при скачивании, иначе - молчание. Причина: интеллектуальные базы в основном не содержат процедур лечения, а расчитаны исключительно на предотвращение заражения. Просьба учитывать этот момент при выборе набора баз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

не очень тогда понятно, почему тогда Symantec предлагает интелектуальный набор по умлочанию, если он такой не полный. Ведь согласитесь, TidServ достает не мало головной боли гражданам США ( и не только) и Symantec как отечетсвенная компания должен делать все чтобы эту головную боль уменьшить, не так ли?

Хотя у меня несколько другое мнение по поводу этих наборов, скорее всего есть глюк в обработке этих сигнатур, поэтому продукт там плохо функционирует, нащет полноты процедур лечения - не уверен, но файлы ERASER.SYS(ERASER64.SYS), ERASER.SPM, ESRDEF.BIN одинаковые для двух наборов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Продукт всего лишь обнаружил сетевую активность виртуальной машины..

Это не просто обнаружение: IPS блокирует сетевой трафик от/к TDL и последний не может подгружать новые вредоносные программы

Пожалуйста. Берете любой файл детектирующийся Symantec как троянская программа или червь(файловые инфекторы не трогаем), открываем файл в любом редакторе способном нормально читать и писать двоичный формат, правим любой понравившийся байт информации, сохраняем. Проверяем антивирусом. PROFIT.

Вот в пример Trojan-GameThief.Win32.Nilage.ili

Поправте первый байт по адресу .10001000(первый не нулевой байт секции .text) 57 на оригинальный 56

уже детектируется Симантеком

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
уже детектируется Симантеком

Наверное кто то отправил файл на анализ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Это не просто обнаружение: IPS блокирует сетевой трафик от/к TDL и последний не может подгружать новые вредоносные программы

....

Согласитесь что это все же не нормальный детект, ибо совпадение с сигнатурой скорее всего происходит при попадании на находящийся в чёрном списке Symantec С&C сервер. Эти сервера имеют крайнее малый жизненый промежуток, и могут изменятся по несколько раз в день, от сюда следует что такой детект покрывает далеко не всю деятельность вредоносного кода, но конечно все же это лучше чем вообще ничего.

Возможно смогут отписатся те у кого есть свежие самплы которые буквально несколько дней назад Symantec вообще в упор не видел. Возможно после обновления о котором писал Андрей, их сможет засечь антируткит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
С удовольствием сообщаю, что баг баз в части руткитов пятничным полным обновлением баз устранён: теперь всё работает так, как задумано, т.е. руткит в случае наличия активного заражения обнаруживается по действию, а не сигнатурно, после чего пользователя отправляют на сайт за утилитой лечения.

Я не понял: так TDL4 в активном состоянии сейчас детектится антируткитом или все так же IPS? (IPS он детектился и раньше)

Согласитесь что это все же не нормальный детект,

Согласен

ибо совпадение с сигнатурой скорее всего происходит при попадании на находящийся в чёрном списке Symantec С&C сервер.

А там не может быть детект трафика по известным плохим заголовкам SSL трафика? (подчеркну, что я представляю работу SSL только в теории, но там должен быть обмен SSL ключами в начале общения вроде бы?)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
IPS он детектился и раньше)

Раньше на некоторых модификациях был просто детект без предложения что-либо предпринять. Теперь такое предложение есть, что нормально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
не очень тогда понятно, почему тогда Symantec предлагает интелектуальный набор по умлочанию, если он такой не полный. Ведь согласитесь, TidServ достает не мало головной боли гражданам США ( и не только) и Symantec как отечетсвенная компания должен делать все чтобы эту головную боль уменьшить, не так ли?

Хотя у меня несколько другое мнение по поводу этих наборов, скорее всего есть глюк в обработке этих сигнатур, поэтому продукт там плохо функционирует, нащет полноты процедур лечения - не уверен, но файлы ERASER.SYS(ERASER64.SYS), ERASER.SPM, ESRDEF.BIN одинаковые для двух наборов.

Основная задача антивируса - не допустить заражения. Потому тут мне политика и логика компании ясна. Касаемо вопроса, а почему бы не полечить, всё дело в том, что лечить руткит - дело неблагодарное, потому что всё равно ОС оказывается в итоге скомпрометированной, потому требует переустановки. Потому, собственно, можно и не лечить.

Касаемо внешней схожести файлов баз. Как минимум, эксперименты показывают, что всё же имеем не багу, а запланированное поведение: при интеллектуальных базах антивирус сообщает о наличии вируса и говорит, что требуется его ручное удаление, а при базах полных он вирус не только обнаруживает, но и сам его удаляет. Подчеркну, что речь идёт именно о сигнатурном обнаружении, и не о всех подряд вирусах, а лишь об определённых их категориях. Кроме того, базы - штука, которую можно изменить требуемым образом. Возможно, в дальнейшем что-то в этом плане изменится. Пока же просто логично использовать полный набор баз, и быть спокойным за защиту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
после чего пользователя отправляют на сайт за утилитой лечения.

Которая по-прежнему неактуальна и в общем случае бесполезна при TDL4.

3180883m.png

MD5: CB91B8695D3990B5B5EAE8A714BD357E

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Которая по-прежнему неактуальна и в общем случае бесполезна при TDL4.

3180883m.png

MD5: CB91B8695D3990B5B5EAE8A714BD357E

пятерку за рисование, человеку который только недавно узнал об утилите Symantec :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sda

Намекаешь, что это фейк?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
пятерку за рисование, человеку который только недавно узнал об утилите Symantec :lol:

Вполне даже может быть, вспомните мой пост на symantec club в мае (http://forum.symantecclub.ru/viewtopic.php?f=80&t=5004#p73804) потом вот недавно (http://forum.symantecclub.ru/viewtopic.php?f=80&t=5004&start=40#p79118)

Quads один из хелперов bleepingcomputer, не раз заявлял о бесполезности этой утилиты, он кстати сам очень интересуется этим руткитом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
sda

Намекаешь, что это фейк?

Кто как понимает :rolleyes: А вообще обиженным на Symantec (посты выше) лучше обратиться сюда https://submit.symantec.com/false_positive/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×