Перейти к содержанию
Dmitriy K

Лечение Backdoor.Cycbot Нортоном

Recommended Posts

Dmitriy K
Прикольно :). С реестром Дохтор не умеет работать и восстанавливать данный параметр в исходное состояние.

К примеру, это сделано в процедуре лечения Backdoor.Cycbot в продуктах Norton.

Это вот и есть "процедура лечения" - определение установщиком прокси-сервера в системе :huh:

Снимок_2011_10_07_14_41_22.png

post-4500-1317984126_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Это вот и есть "процедура лечения" - определение установщиком прокси-сервера в системе

Нет. Облегчу Вам задачу. Покажу скрин.

88.PNG

post-12086-1317987470_thumb.png

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

/offtop для отдельной темы

Нет. Облегчу Вам задачу. Покажу скрин.
Детекта нет. Осложню вам задачу. Покажу скрины (особенно "радует" третий):

pr.jpg

br.jpg

Снимок_2011_10_08_00_29_55.png

post-4500-1318020240_thumb.jpg

post-4500-1318020244_thumb.jpg

post-4500-1318020248_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Детекта нет. Осложню вам задачу. Покажу скрины (особенно "радует" третий):

1)Если не будет точного определения зловреда, то и лечения не будет, потому что Norton "не знает" в данном случае, что лечить и соответственно работать с реестром.

2)Версия NAV не старовата ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K

Тема о "Trojan.SkynetRef"

-------

1) сонар молчит - подозрительных действий ни на установщик, ни на сам процесс троянца не обнаружено

2) репутация обоих файлов - "хорошая"

3) НИС не определяет (в данном случае?) установку драйвера/службы

2)Версия NAV не старовата ли?

Новая версия тоже спит

Снимок_2011_10_08_15_44_21.png

post-4500-1318074296_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Новая версия тоже спит

Правда? А скачать не пробовали этот файл,а не подсовывать искусственно его из запароленного архивчика?

А теперь к теме: будет детект- будет и лечение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Правда? А скачать не пробовали этот файл,а не подсовывать искусственно его из запароленного архивчика?

А теперь к теме: будет детект- будет и лечение.

Правда. Я где-то говорил о запароленом архиве? <_< О лечении - проверю :)

Взял и скачал:

Снимок_2011_10_08_16_03_03.png

post-4500-1318075886.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
О лечении - проверю

Ваша проверка мне даром не нужна. Я итак знаю, что всё произойдёт, как я писал выше, а также подтвердил скрином.

Взял и скачал:

Ну, дайте что ли MD5 или ссылку на VT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Ваша проверка мне даром не нужна. Я итак знаю, что всё произойдёт, как я писал выше, а также подтвердил скрином.

Ну, дайте что ли MD5 или ссылку на VT.

:facepalm: Если моя проверка не нужна - ищи сам :)

Одно радует - если отключить автомат в фаерволе и включить агрессивный режим сонара, то начинает палится.

Но вот незадача - если заблокировать доступ в сеть процессу троянца, то страницы не открываются :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Причиной пропуска SONAR'ом наверное стала хорошая репутация. А вот здесь нужно выяснить почему у этого файла репутация похорошела

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Причиной пропуска SONAR'ом наверное стала хорошая репутация. А вот здесь нужно выяснить почему у этого файла репутация похорошела

Наверное, из-за источника распространения (загрузки) файла. http://safeweb.norton.com/report/show?url=...stall-19114.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Наверное, из-за источника распространения (загрузки) файла.

Источников :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rustock.C
Источников

Я говорил об одном :)

А вот кино тебе про лечение Cycbot'а с музыкальным сопровождением :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Явный флейм убрал. Просьба к местным модераторам - пожалуйста уберите из темы лишнее (что считаете нужным) и, если есть необходимость, поменяйте пожалуйста название темы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
    • Липковский Борис
      Вдруг понадобится, спасибо за информацию.
    • Липковский Борис
      Я собираю с разных стран магнитики. Это очень круто.
    • Липковский Борис
      Каждый находит свое увлечение.Заработок зависит от работы которую ты умеешь делать на отлично. Самое главное если есть время.
×