Перейти к содержанию

Recommended Posts

x-sis
Возможно, что Симантек конечно, внес штук 40 старых C2 в блэклисты и ловит по коннектам к ним, но это реально костыль и костыль работающий только для крайне ограниченного числа клиентов.

Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Какой в баню рансом? Речь о TDSS в данном случае...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Лично мое мнение, что это не детект IPS. TDL работает по протоколу HTTPS с использованием стандартного сертификата, чтобы антивирусы не детектили и не блокировали сетевой трафик по специфическому содержимому пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Какой в баню рансом? Речь о TDSS в данном случае...

Это я добавил, да и руткиты он нормально лечит, все детектить тоже нельзя, но большинство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Какой в баню рансом? Речь о TDSS в данном случае...

Да люди вообще уже не понимают, о чем пишут :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
sda, ну к тест. лабораториям больше доверия, чем к энтузиасту. :)Например я не поверю твоим результатам, а ты не поверишь моим(по тем же причинам) и что будем делать? :D

Бета тестеры - это отдельная тема для обсуждения.

Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Да люди вообще уже не понимают, о чем пишут :facepalm:

:facepalm:

Вы меня не понимаете :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте :rolleyes:

Однако да. Но я то имел ввиду "поверье" на слово. Ведь даже после перепроверки можно не сойтись во мнении с полученными результатами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
О, какой топик едва не прошел мимо.

Скажите, а как конкретно определяется что TDL "вышел на связь с центром" ?

На скрине журнала видно, что блокируется адрес атакующего компьютера и указано описание трафика (TCP, https).

be7a5d0651898455a4bdb07f735d064b.png

post-12086-1315853194_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Народ! Промолчу о взаимном переходе на личности и, думаю, этого будет достаточно, чтоб в дальнейшем дискуссия шла более культурно со всех сторон. ;)

Интеллектуальные (они же сокращённые) базы.

Их идея в следующем: некий набор, который встречается в реальной среде, должен размещаться локально на компьютере пользователя, а остальное должно получаться из облака по сети, и в сумме это должно составлять 100% угроз. Как верно отметил Danilka, локальный набор подбирается по актуальности с точки зрения вирлаба Симантек, что вполне логично. Откуда берётся эта актуальность? По отчётам детекта, автоматически получаемым с компьютеров пользователей. Иными словами, используется обобщённая статистика. При этом благодаря импульсным обновлениям, наличие которых проверяется продуктом каждые 5 минут, довольно быстро можно включить в локальный набор баз необходимые сигнатуры, если в этом возникла необходимость.

Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее. О её плюсах и минусах можно, конечно, спорить, но тут как раз случай данности: имеем то, что имеем. При этом в условиях, на которые продукты Нортон расчитаны, они проявляют себя достойно, что значит, что техническое задание выполнено на отлично. Споры же о степени привязки продуктов Нортон к сети возникают лишь потому, что концепция этих продуктов по некоторым позициям опередила время, опередила эпоху, потому она, концепция, пусть и критикуема с точки зрения дня сегодняшнего, всё же принята на вооружение теми вендорами, которые претендуют на лидерство: никто из этих вендоров не начал движение к классическому антивирусу, а, наоборот, всё больше делается ставка на облако, на сетевое взаимодействие. Потому концепция продуктов Нортон правильна и перспективна: никто не предложил ничего лучше.

Ну а нелечение загрузочной области, которое имеем вопреки заявленному функционалу, будет исправлено одним из полных обновлений баз в обозримом будущем, после чего эта проблема тихо прекратит своё существование.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее.

Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Согласен. Верно отмечено, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
2238206.png

Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

:facepalm:

http://forum.symantecclub.ru/viewtopic.php?f=80&t=5004

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).
Согласен. Верно отмечено, конечно.

А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

А мы разве в данной беседе с Андреем ими бросались между собой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
у Симантек достаточно давно есть утилита, способная детектировать и лечить TDL, в том числе и версии 3, 4.

Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

3117797m.png

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

3109605m.png

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

3103461m.png

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
ращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Да ну, Андрей же дал бесплатный телефон. Вот и звонить по телефону и слушать инструкции от омегапродвинутого сотрудника _первой_ линии по ручной правке mbr в Блокноте :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

3117797m.png

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

3109605m.png

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

3103461m.png

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Уже 100 раз было отмечено, что проблемы в 2012 версии, а не 2011. Может хватит флеймить? Кстати, у меня такое ощущение что я с вами общался на другом ресурсе, где также все передергивалось ;)

Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

Да чел не в теме просто :lol:

wx., можете поиграться также с FixTDSS'кой на примере данного семпла только на W7? (интересно просто).

И какой виртуальной средой вы пользуетесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

FixTDSS и Backdoor.Tidserv Removal Tool это одно и тоже, чего вы, кстати, как я вижу не знаете. Неспособность Tidserv Removal Tool вылечить это заражение было показано в посте #93, кстати.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Практически=базы там есть, но их мало. Без облака получишь заражение каким нибудь относительно старьем с флешки.

Базы есть и их не мало, всего около 13 милионов. Сдесь дело не в базе и количестве сигнатур, а в самих сигнатурах. Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256. Детект сбивается правкой одного байта(даже в блокноте :lol:). Эти сигнатуры в общем то не пригодны для детектирования модификаций а есть ни чем иным как просто набором тушек.

Другое дело что FIXTDSS не смог справится с заражением - это явный минус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256.

Вы не путаете часом вирусные базы и облачный детект, который в самом деле идет по хэшу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
    • santy
      1. уточни, о каком функционале по ИНФО идет речь. одно дело фильтрующий поиск, т.е. список объектов фильтруется (сейчас) по определенному полю, и поиск выполняется сразу после введения одного символа, далее, уже по двум добавленным символам. и т.д. запрос же выполняется после введения некоторого значения. (не единственного символа.) запросов в таком виде сейчас нет, они могли бы быть, если будет реализована функция фильтрации по единственному критерию. (т.е. в этом случае мы получаем результат не по всем критериям, а по одному из списка) ----- здесь не факт, что фильтрующий поиск будет работать настолько быстро при проверке введенного символа по всем полям. 2. приведи примеры, когда введенное значение имеет смысл фильтровать по всем полям ИНФО. скажем если мы ищем имя файла, то нет смысла его искать в качестве вхождения в другие поля, аналогично и имя каталога, и имя производителя, и цифровой подписи, хэшей. и т.д. т.о. может получиться, что мы только увеличим время обновления зафильтрованного списка, и не получив ожидаемого лучшего результата.
×