NAV/NIS 2012.

[x-sis 10]

Возможно, что Симантек конечно, внес штук 40 старых C2 в блэклисты и ловит по коннектам к ним, но это реально костыль и костыль работающий только для крайне ограниченного числа клиентов.

Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

[Danilka 678]

Да ну, после ребута ничего уже нет.

Чтобы то не было, его уже нет, рансом был, нет рансома.

Какой в баню рансом? Речь о TDSS в данном случае...

[SDA 750]

Лично мое мнение, что это не детект IPS. TDL работает по протоколу HTTPS с использованием стандартного сертификата, чтобы антивирусы не детектили и не блокировали сетевой трафик по специфическому содержимому пакетов.

[x-sis 10]

Какой в баню рансом? Речь о TDSS в данном случае...

Это я добавил, да и руткиты он нормально лечит, все детектить тоже нельзя, но большинство.

[Юрий Паршин 330]

Какой в баню рансом? Речь о TDSS в данном случае...

Да люди вообще уже не понимают, о чем пишут

[SDA 750]

sda, ну к тест. лабораториям больше доверия, чем к энтузиасту. Например я не поверю твоим результатам, а ты не поверишь моим(по тем же причинам) и что будем делать?

Бета тестеры - это отдельная тема для обсуждения.

Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте

[x-sis 10]

Да люди вообще уже не понимают, о чем пишут

Вы меня не понимаете

[Danilka 678]

Однако же перепроверили мое сообщение о детекте TDSS Нортоном в последнем тесте

Однако да. Но я то имел ввиду "поверье" на слово. Ведь даже после перепроверки можно не сойтись во мнении с полученными результатами.

[Rustock.C 110]

О, какой топик едва не прошел мимо.

Скажите, а как конкретно определяется что TDL "вышел на связь с центром" ?

На скрине журнала видно, что блокируется адрес атакующего компьютера и указано описание трафика (TCP, https).

[ANDYBOND 283]

Народ! Промолчу о взаимном переходе на личности и, думаю, этого будет достаточно, чтоб в дальнейшем дискуссия шла более культурно со всех сторон.

Интеллектуальные (они же сокращённые) базы.

Их идея в следующем: некий набор, который встречается в реальной среде, должен размещаться локально на компьютере пользователя, а остальное должно получаться из облака по сети, и в сумме это должно составлять 100% угроз. Как верно отметил Danilka, локальный набор подбирается по актуальности с точки зрения вирлаба Симантек, что вполне логично. Откуда берётся эта актуальность? По отчётам детекта, автоматически получаемым с компьютеров пользователей. Иными словами, используется обобщённая статистика. При этом благодаря импульсным обновлениям, наличие которых проверяется продуктом каждые 5 минут, довольно быстро можно включить в локальный набор баз необходимые сигнатуры, если в этом возникла необходимость.

Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее. О её плюсах и минусах можно, конечно, спорить, но тут как раз случай данности: имеем то, что имеем. При этом в условиях, на которые продукты Нортон расчитаны, они проявляют себя достойно, что значит, что техническое задание выполнено на отлично. Споры же о степени привязки продуктов Нортон к сети возникают лишь потому, что концепция этих продуктов по некоторым позициям опередила время, опередила эпоху, потому она, концепция, пусть и критикуема с точки зрения дня сегодняшнего, всё же принята на вооружение теми вендорами, которые претендуют на лидерство: никто из этих вендоров не начал движение к классическому антивирусу, а, наоборот, всё больше делается ставка на облако, на сетевое взаимодействие. Потому концепция продуктов Нортон правильна и перспективна: никто не предложил ничего лучше.

Ну а нелечение загрузочной области, которое имеем вопреки заявленному функционалу, будет исправлено одним из полных обновлений баз в обозримом будущем, после чего эта проблема тихо прекратит своё существование.

[Danilka 678]

Да, всё верно: всё завязано на сеть. Нет сети - нет гарантированно высокого уровня защиты, ибо из процесса исключаются и облако, и импульсные обновления. Что это? Это концепция, реализуемая из года в год и направленная на будущее.

Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

[ANDYBOND 283]

Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Согласен. Верно отмечено, конечно.

[wx. 45]

Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

[Rustock.C 110]

Не подскажите каким образом вы определили, что это tdl3 ?

Также интересует хеш файла.

http://forum.symantecclub.ru/viewtopic.php?f=80&t=5004

[Z.E.A. 190]

Справедливо стоит отметить, что о таких особенностях стоит сообщать юзерам - на коробке\сайте и т.д. Было бы намного правильно (относится не только к Symantec). Мол - для достижения более высокого уровня защиты необходимое постоянное соединение с сетью интернет (ну как то так).

Согласен. Верно отмечено, конечно.

А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

[Danilka 678]

А нельзя было сразу нормально так обсуждать, а не бросаться фекалиями?

А мы разве в данной беседе с Андреем ими бросались между собой?

[Z.E.A. 190]

Я цитаты привёл как пример.

[wx. 45]

у Симантек достаточно давно есть утилита, способная детектировать и лечить TDL, в том числе и версии 3, 4.

Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

[Z.E.A. 190]

Швырните в личку файлик.

[Umnik 997]

ращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Да ну, Андрей же дал бесплатный телефон. Вот и звонить по телефону и слушать инструкции от омегапродвинутого сотрудника _первой_ линии по ручной правке mbr в Блокноте )

[SDA 750]

Как оказалось и со специализированной утилитой у Симантека проблемы. В качестве примера TDL4.

Нортон как обычно ничего с этим руткитом поделать не может и лишь определяет изменения в MBR:

Скачиваем Norton Power Eraser и запускаем его в режиме "Include rootkit scan". Результат нулевой - ничего не обнаруживает:

Скачиваем утилиту FixTDSS. Результат нулевой - ничего не обнаруживает.

Альтернативные средства демонстрируют альтернативный результат:

И что же нужно делать пользователям Нортона в случае подобного заражения?

Обращаться в платную службу удаления вирусов Symantec, заплатив от 99$ до 130$ ?

Если кому-то интересно, то MD5: 0B30DC110E2805F8344D6187EC21F674.

Уже 100 раз было отмечено, что проблемы в 2012 версии, а не 2011. Может хватит флеймить? Кстати, у меня такое ощущение что я с вами общался на другом ресурсе, где также все передергивалось

Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser

[Rustock.C 110]

Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser

Да чел не в теме просто

wx., можете поиграться также с FixTDSS'кой на примере данного семпла только на W7? (интересно просто).

И какой виртуальной средой вы пользуетесь?

[wx. 45]

Кстати, лечить надо Tidserv Removal Tool http://www.symantec.com/business/security_...&asid=23615 а не Norton Power Eraser

FixTDSS и Backdoor.Tidserv Removal Tool это одно и тоже, чего вы, кстати, как я вижу не знаете. Неспособность Tidserv Removal Tool вылечить это заражение было показано в посте #93, кстати.

[DaTa 182]

Практически=базы там есть, но их мало. Без облака получишь заражение каким нибудь относительно старьем с флешки.

Базы есть и их не мало, всего около 13 милионов. Сдесь дело не в базе и количестве сигнатур, а в самих сигнатурах. Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256. Детект сбивается правкой одного байта(даже в блокноте ). Эти сигнатуры в общем то не пригодны для детектирования модификаций а есть ни чем иным как просто набором тушек.

Другое дело что FIXTDSS не смог справится с заражением - это явный минус.

[Burbulator 146]

Почти все сигнатуры - это хеш-сума сделаная при использовании алгоритма SHA-256.

Вы не путаете часом вирусные базы и облачный детект, который в самом деле идет по хэшу?