x-sis 10 Опубликовано Сентябрь 12, 2011 Возможно, что Симантек конечно, внес штук 40 старых C2 в блэклисты и ловит по коннектам к ним, но это реально костыль и костыль работающий только для крайне ограниченного числа клиентов. Да ну, после ребута ничего уже нет. Чтобы то не было, его уже нет, рансом был, нет рансома. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Danilka 678 Опубликовано Сентябрь 12, 2011 Да ну, после ребута ничего уже нет.Чтобы то не было, его уже нет, рансом был, нет рансома. Какой в баню рансом? Речь о TDSS в данном случае... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SDA 750 Опубликовано Сентябрь 12, 2011 Лично мое мнение, что это не детект IPS. TDL работает по протоколу HTTPS с использованием стандартного сертификата, чтобы антивирусы не детектили и не блокировали сетевой трафик по специфическому содержимому пакетов. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
x-sis 10 Опубликовано Сентябрь 12, 2011 Какой в баню рансом? Речь о TDSS в данном случае... Это я добавил, да и руткиты он нормально лечит, все детектить тоже нельзя, но большинство. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Юрий Паршин 330 Опубликовано Сентябрь 12, 2011 Какой в баню рансом? Речь о TDSS в данном случае... Да люди вообще уже не понимают, о чем пишут 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SDA 750 Опубликовано Сентябрь 12, 2011 sda, ну к тест. лабораториям больше доверия, чем к энтузиасту. Например я не поверю твоим результатам, а ты не поверишь моим(по тем же причинам) и что будем делать? Бета тестеры - это отдельная тема для обсуждения. Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
x-sis 10 Опубликовано Сентябрь 12, 2011 Да люди вообще уже не понимают, о чем пишут Вы меня не понимаете Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Danilka 678 Опубликовано Сентябрь 12, 2011 Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте Однако да. Но я то имел ввиду "поверье" на слово. Ведь даже после перепроверки можно не сойтись во мнении с полученными результатами. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Rustock.C 110 Опубликовано Сентябрь 12, 2011 О, какой топик едва не прошел мимо.Скажите, а как конкретно определяется что TDL "вышел на связь с центром" ? На скрине журнала видно, что блокируется адрес атакующего компьютера и указано описание трафика (TCP, https). Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ANDYBOND 283 Опубликовано Сентябрь 12, 2011 Народ! Промолчу о взаимном переходе на личности и, думаю, этого будет достаточно, чтоб в дальнейшем дискуссия шла более культурно со всех сторон. Интеллектуальные (они же сокращённые) базы. Их идея в следующем: некий набор, который встречается в реальной среде, должен размещаться локально на компьютере пользователя, а остальное должно получаться из облака по сети, и в сумме это должно составлять 100% угроз. Как верно отметил Danilka, локальный набор подбирается по актуальности с точки зрения вирлаба Симантек, что вполне логично. Откуда берётся эта актуальность? По отчётам детекта, автоматически получаемым с компьютеров пользователей. Иными словами, используется обобщённая статистика. При этом благодаря импульсным обновлениям, наличие которых проверяется продуктом каждые 5 минут, довольно быстро можно включить в локальный набор баз необходимые сигнатуры, если в этом возникла необходимость. Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее. О её плюсах и минусах можно, конечно, спорить, но тут как раз случай данности: имеем то, что имеем. При этом в условиях, на которые продукты Нортон расчитаны, они проявляют себя достойно, что значит, что техническое задание выполнено на отлично. Споры же о степени привязки продуктов Нортон к сети возникают лишь потому, что концепция этих продуктов по некоторым позициям опередила время, опередила эпоху, потому она, концепция, пусть и критикуема с точки зрения дня сегодняшнего, всё же принята на вооружение теми вендорами, которые претендуют на лидерство: никто из этих вендоров не начал движение к классическому антивирусу, а, наоборот, всё больше делается ставка на облако, на сетевое взаимодействие. Потому концепция продуктов Нортон правильна и перспективна: никто не предложил ничего лучше. Ну а нелечение загрузочной области, которое имеем вопреки заявленному функционалу, будет исправлено одним из полных обновлений баз в обозримом будущем, после чего эта проблема тихо прекратит своё существование. 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Danilka 678 Опубликовано Сентябрь 12, 2011 Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее. Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так). Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ANDYBOND 283 Опубликовано Сентябрь 12, 2011 Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так). Согласен. Верно отмечено, конечно. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
wx. 45 Опубликовано Сентябрь 12, 2011 Не подскажите каким образом вы определили, что это tdl3 ? Также интересует хеш файла. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Rustock.C 110 Опубликовано Сентябрь 12, 2011 Не подскажите каким образом вы определили, что это tdl3 ?Также интересует хеш файла. http://forum.symantecclub.ru/viewtopic.php?f=80&t=5004 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Z.E.A. 190 Опубликовано Сентябрь 13, 2011 Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так). Согласен. Верно отмечено, конечно. А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Danilka 678 Опубликовано Сентябрь 13, 2011 А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями? А мы разве в данной беседе с Андреем ими бросались между собой? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Z.E.A. 190 Опубликовано Сентябрь 13, 2011 Я цитаты привёл как пример. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
wx. 45 Опубликовано Сентябрь 13, 2011 у Симантек достаточно давно есть утилита, способная детектировать и лечить TDL, в том числе и версии 3, 4. Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4. Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR: Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает: Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает. Альтернативные средства демонстрируют альтернативный результат: И что же нужно делать пользователям Нортона в случае подобного заражения? Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ? Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Z.E.A. 190 Опубликовано Сентябрь 13, 2011 Швырните в личку файлик. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Umnik 997 Опубликовано Сентябрь 13, 2011 ращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ? Да ну, Андрей же дал бесплатный телефон. Вот и звонить по телефону и слушать инструкции от омегапродвинутого сотрудника _первой_ линии по ручной правке mbr в Блокноте ) Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
SDA 750 Опубликовано Сентябрь 13, 2011 Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR: Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает: Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает. Альтернативные средства демонстрируют альтернативный результат: И что же нужно делать пользователям Нортона в случае подобного заражения? Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ? Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674. Уже 100 раз было отмечено, что проблемы в 2012 версии, а не 2011. Может хватит флеймить? Кстати, у меня такое ощущение что я с вами общался на другом ресурсе, где также все передергивалось Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Rustock.C 110 Опубликовано Сентябрь 13, 2011 Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser Да чел не в теме просто wx., можете поиграться также с FixTDSS'кой на примере данного семпла только на W7? (интересно просто). И какой виртуальной средой вы пользуетесь? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
wx. 45 Опубликовано Сентябрь 13, 2011 Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser FixTDSS и Backdoor.Tidserv Removal Tool это одно и тоже, чего вы, кстати, как я вижу не знаете. Неспособность Tidserv Removal Tool вылечить это заражение было показано в посте #93, кстати. 5 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
DaTa 182 Опубликовано Сентябрь 13, 2011 Практически=базы там есть, но их мало. Без облака получишь заражение каким нибудь относительно старьем с флешки. Базы есть и их не мало, всего около 13 милионов. Сдесь дело не в базе и количестве сигнатур, а в самих сигнатурах. Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256. Детект сбивается правкой одного байта(даже в блокноте ). Эти сигнатуры в общем то не пригодны для детектирования модификаций а есть ни чем иным как просто набором тушек. Другое дело что FIXTDSS не смог справится с заражением - это явный минус. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Burbulator 146 Опубликовано Сентябрь 13, 2011 Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256. Вы не путаете часом вирусные базы и облачный детект, который в самом деле идет по хэшу? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты