Перейти к содержанию

Recommended Posts

x-sis
Возможно, что Симантек конечно, внес штук 40 старых C2 в блэклисты и ловит по коннектам к ним, но это реально костыль и костыль работающий только для крайне ограниченного числа клиентов.

Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Какой в баню рансом? Речь о TDSS в данном случае...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Лично мое мнение, что это не детект IPS. TDL работает по протоколу HTTPS с использованием стандартного сертификата, чтобы антивирусы не детектили и не блокировали сетевой трафик по специфическому содержимому пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Какой в баню рансом? Речь о TDSS в данном случае...

Это я добавил, да и руткиты он нормально лечит, все детектить тоже нельзя, но большинство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Юрий Паршин
Какой в баню рансом? Речь о TDSS в данном случае...

Да люди вообще уже не понимают, о чем пишут :facepalm:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
sda, ну к тест. лабораториям больше доверия, чем к энтузиасту. :)Например я не поверю твоим результатам, а ты не поверишь моим(по тем же причинам) и что будем делать? :D

Бета тестеры - это отдельная тема для обсуждения.

Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
x-sis
Да люди вообще уже не понимают, о чем пишут :facepalm:

:facepalm:

Вы меня не понимаете :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте :rolleyes:

Однако да. Но я то имел ввиду "поверье" на слово. Ведь даже после перепроверки можно не сойтись во мнении с полученными результатами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
О, какой топик едва не прошел мимо.

Скажите, а как конкретно определяется что TDL "вышел на связь с центром" ?

На скрине журнала видно, что блокируется адрес атакующего компьютера и указано описание трафика (TCP, https).

be7a5d0651898455a4bdb07f735d064b.png

post-12086-1315853194_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Народ! Промолчу о взаимном переходе на личности и, думаю, этого будет достаточно, чтоб в дальнейшем дискуссия шла более культурно со всех сторон. ;)

Интеллектуальные (они же сокращённые) базы.

Их идея в следующем: некий набор, который встречается в реальной среде, должен размещаться локально на компьютере пользователя, а остальное должно получаться из облака по сети, и в сумме это должно составлять 100% угроз. Как верно отметил Danilka, локальный набор подбирается по актуальности с точки зрения вирлаба Симантек, что вполне логично. Откуда берётся эта актуальность? По отчётам детекта, автоматически получаемым с компьютеров пользователей. Иными словами, используется обобщённая статистика. При этом благодаря импульсным обновлениям, наличие которых проверяется продуктом каждые 5 минут, довольно быстро можно включить в локальный набор баз необходимые сигнатуры, если в этом возникла необходимость.

Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее. О её плюсах и минусах можно, конечно, спорить, но тут как раз случай данности: имеем то, что имеем. При этом в условиях, на которые продукты Нортон расчитаны, они проявляют себя достойно, что значит, что техническое задание выполнено на отлично. Споры же о степени привязки продуктов Нортон к сети возникают лишь потому, что концепция этих продуктов по некоторым позициям опередила время, опередила эпоху, потому она, концепция, пусть и критикуема с точки зрения дня сегодняшнего, всё же принята на вооружение теми вендорами, которые претендуют на лидерство: никто из этих вендоров не начал движение к классическому антивирусу, а, наоборот, всё больше делается ставка на облако, на сетевое взаимодействие. Потому концепция продуктов Нортон правильна и перспективна: никто не предложил ничего лучше.

Ну а нелечение загрузочной области, которое имеем вопреки заявленному функционалу, будет исправлено одним из полных обновлений баз в обозримом будущем, после чего эта проблема тихо прекратит своё существование.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее.

Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Согласен. Верно отмечено, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
2238206.png

Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

:facepalm:

http://forum.symantecclub.ru/viewtopic.php?f=80&t=5004

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).
Согласен. Верно отмечено, конечно.

А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

А мы разве в данной беседе с Андреем ими бросались между собой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
у Симантек достаточно давно есть утилита, способная детектировать и лечить TDL, в том числе и версии 3, 4.

Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

3117797m.png

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

3109605m.png

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

3103461m.png

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
ращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Да ну, Андрей же дал бесплатный телефон. Вот и звонить по телефону и слушать инструкции от омегапродвинутого сотрудника _первой_ линии по ручной правке mbr в Блокноте :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

3117797m.png

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

3109605m.png

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

3103461m.png

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Уже 100 раз было отмечено, что проблемы в 2012 версии, а не 2011. Может хватит флеймить? Кстати, у меня такое ощущение что я с вами общался на другом ресурсе, где также все передергивалось ;)

Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

Да чел не в теме просто :lol:

wx., можете поиграться также с FixTDSS'кой на примере данного семпла только на W7? (интересно просто).

И какой виртуальной средой вы пользуетесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
wx.
Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser :lol:

FixTDSS и Backdoor.Tidserv Removal Tool это одно и тоже, чего вы, кстати, как я вижу не знаете. Неспособность Tidserv Removal Tool вылечить это заражение было показано в посте #93, кстати.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa
Практически=базы там есть, но их мало. Без облака получишь заражение каким нибудь относительно старьем с флешки.

Базы есть и их не мало, всего около 13 милионов. Сдесь дело не в базе и количестве сигнатур, а в самих сигнатурах. Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256. Детект сбивается правкой одного байта(даже в блокноте :lol:). Эти сигнатуры в общем то не пригодны для детектирования модификаций а есть ни чем иным как просто набором тушек.

Другое дело что FIXTDSS не смог справится с заражением - это явный минус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Burbulator
Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256.

Вы не путаете часом вирусные базы и облачный детект, который в самом деле идет по хэшу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Mawa27
      Здравствуйте,я покупала в данном интернет-магазине https://compacttool.ru/ .Здесь достаточно широкий ассортимент товара и цены вполне адекватные+ быстрая доставка.Я осталась довольна покупкой.Рекомендую.
    • Sawa26
      Ребят где купить модуль питания  беспаечной платы?
    • Mawa27
      Я пользуюсь услугами вот этих ребят https://prohoster.info.Они предоставляют комплексные услуги по созданию сайтов и их обслуживанию, начиная от выбора доменного имени, заканчивая доп. услугами для его защиты от вирусных атак.
    • Sawa26
      Ребят,где приобрести надежный хостинг?
    • Alexey Markov
      Настоящий тест файерволов - это когда вы пытаетесь зайти на сайт со взрослым контентом, к примеру, казино https://slots-doc.com/ . Вот тут-то наступает момент истины.  Брандмаузер должен быть настроен так, чтобы позволить  программному обеспечению подключаться к серверу. Вопрос - как настраивать? Внутри панели управления брандмауэра как праивло есть список программ и разрешений для каждого файла программы. Эти разрешения устанавливаются по умолчанию при первом запуске нашей программы под брандмауэром. Он спросит вас, что делать, и если вы нажмете ОК и примете их рекомендацию, программа будет заблокирована. Чтобы исправить это, вам нужно найти этот список программ и установить их разрешения, выбрав «Разрешить все» или эквивалент неограниченного доступа. Это будет что-то похожее на процесс ниже, хотя расположение будет отличаться в каждом брандмауэре. Откройте панель управления брандмауэром (часто дважды щелкните значок брандмауэра возле системных часов Windows или найдите в меню «Пуск»).
      Нажмите на вкладку «Программы» (или иным образом найдите список программ).
      В списке программ вы увидите следующие пункты. Для каждого из них достаточно изменить «Блокировать все» на «Разрешить все» (или использовать наименее ограничивающие разрешения), чтобы вы могли получить доступ к сайту. Инструкции могут различаться, и для получения дополнительной помощи вам следует обратиться к поставщику программного обеспечения брандмауэра.
×