Лечение vs предотвращение заражения?

[Юрий Паршин 330]

А может ли tdsskiller обнаружить заражение биос? нет? странно, почему? надо обновить его (tdsskiller)?

Так как подобная техника заражения новая, утилите требуется доработка. Это нормально. Приоритет доработки невысокий, так как ITW заражения bios-ов единичны.

[strat 275]

Ну о чем и речь, всегда найдется что-то, с чем не справится никакая утилита, нет и не будет универсального решения. В общем пост 37 верен и

точка.

п.с. ради статистики

а vbr буткиты (Trojan.Mayachok.2 по версии drweb) вы тоже в этом году универсально обнаруживали или пришлось дорабатывать?

[Юрий Паршин 330]

Ну о чем и речь, всегда найдется что-то, с чем не справится никакая утилита, нет и не будет универсального решения. В общем пост 37 верен и

точка.

Разговор глухого с немым. Вы видимо вообще не в теме, либо не желаете понимать, что Вам пишут.

п.с. ради статистики

а vbr буткиты (Trojan.Mayachok.2 по версии drweb) вы тоже в этом году универсально обнаруживали или пришлось дорабатывать?

Если бы Вы хоть чуть-чуть интересовались вопросом, то знали бы, что впервые этот буткит был обнаружен именно с помощью детектора аномалий в TDSSKiller-е, когда остальные метались и не знали какие исследования еще запрашивать. Благодаря этому мы первыми реализовали лечение данного буткита в продуктах.

[sww 486]

Да? Это Scano -руткит? Rorpian или Glaze- руткиты? Там даже Xorpix обычный.

Ок, почти все руткиты + техники, которые использовались продвинутой малварью в свое время и они до сих пор актуальны.

Ну и сколько там было в последнем тесте методов? 19? 4 из них не руткиты. Что дальше?

Господи, сборище хз кого, как обычно.

[strat 275]

Наверно я чуть-чуть меньше интересовался вопросом и не читал об этом (хотя сейчас вроде припоминаю что-то об истории с вирусинфо), но вполне спасибо за ответ.

[ntoskrnl 155]

Ок, почти все руткиты + техники, которые использовались продвинутой малварью в свое время и они до сих пор актуальны.

Ну и сколько там было в последнем тесте методов? 19? 4 из них не руткиты. Что дальше?

Господи, сборище хз кого, как обычно.

Ну так придержите тогда при себе свои откровения. Итого, из 17-ти сэмплов, четыре - обычная фиготень в dll-ках, а остальное - понапихано алуреонов "скока было" и разбавлено синовалами. Т.е, в основном, или буткиты, или подсевшие на IRP. Почему я и говорю, что это ни о чём не говорящий тест. Это фактически тест не на "лечение активного заражения", а тест антируткитов, слегка разбавленный обычной малварью. А во многие продукты антируткит по каким-либо причинам не включен. Вполне возможно, что вендоры не считают это инструментом для повседневного использования. И говорить, что этот тест демонстрирует ситуацию с лечением чего угодно в целом по всем вендорам - абсолютно некорректно. Так понятно, о чём речь, раз уж Вы начали придираться к словам со своими любимыми руткитами? И спасибо, что "раскрыли" глаза на "до сих пор актуальный" инжект dll-библиотек. И хамили бы поменьше, а то прямо ну такой "не хз кто", что аж ©"кющать не могу".

[Mr. Justice 771]

Господа, давайте как-то повежливее и поспокойнее относится друг другу. Если человек чего-то не понимает, то это не означает, что нужно хамить ему. Совет, для тех, кто недостаточно компетентен в обсуждаемых вопросах - не делайте безапелляционных заявлений, больше спрашивайте экспертов и специалистов, а если что-то утверждаете, делайте это предельно тактично, рекомендуется использование IMHO.

Нецензурщина будет удаляться. Любую мысль можно выразить, не используя нецензурную лексику.

[sww 486]

Ну так придержите тогда при себе свои откровения. Итого, из 17-ти сэмплов, четыре - обычная фиготень в dll-ках, а остальное - понапихано алуреонов "скока было" и разбавлено синовалами. Т.е, в основном, или буткиты, или подсевшие на IRP.

В каждом случае используются различные методы противодействия детектированию и излечению. IRP'ы, DKOH, сплайсинг, восстановление веток реестра и прочее. Это то, что реально используется сейчас. Есть что-то другое? Какие-то доселе неизвестные способы и места автозагрузки (их видимо миллионы, просто мы не видим)? Везде практически одно и то же. И то, что большинство вендоров жарко и сладко сосет показывает их уровень технологической несостоятельности.

И хамили бы поменьше, а то прямо ну такой "не хз кто", что аж ©"кющать не могу".

Мамуле своей указывать будете

[Mr. Justice 771]

Кто-то должен остановится первым, наверное тот, кто сильнее духом. В моем понимании сильнее тот, кто умеет владеть собой и не поддаваться на провокации. Люди в состоянии разобраться в том, кто прав и без излишней агрессии со стороны "оратора". Вот этот совет должен помочь http://www.anti-malware.ru/forum/index.php...st&p=137009.

Я больше не буду делать замечаний. Перехожу, с большим сожалением, к более жестким мерам.

[diletant 5]

А вы чего ждали ? Что сейчас все эксперты выползут на свет божий и в тысячный раз начнут повторять эту мантру специально для вас ?

А вы? Ответ от эксперта Danilka считаю вполне исчерпывающим.

Предлагаю второй раз закрыть тему. Ответ в сообщении 2 считаю лучшим.

[sergey ulasen 200]

А вы? Ответ от эксперта Danilka считаю вполне исчерпывающим.

Предлагаю второй раз закрыть тему. Ответ в сообщении 2 считаю лучшим.

А я воспользуюсь советом Mr. Justice и соглашусь с Вами.

[MORDRED 80]

И вообще какой-то бредовый топик. Все это уже обсуждалось здесь миллионы раз.

Абсолютно согласен.

[priv8v 960]

тема прекрасна)))

sww в этой теме он писал настолько понятно, красиво и подробно, что я аж возрадовался, а далее по теме пошли одни только бонусы (когда подключились Юрий Паршин и Сергей Уласень). Читаешь и душа радуется, так и баш нужно из закладок удалять. Из этой темы нужно просто FAQ делать, просто кладезь кратких, точных и емких ответов на ... эээ.. , в общем, вопросы и высказывания... стараюсь никого не обидеть, но это действительно так.

В теме несколько раз поднимался вопрос о ее закрытии, потому в качестве итога хочется в одно место собрать наиболее яркие ответы. Даже если они немного и резки, то это не умаляет их точности и верности.

Речь об отдельных от АВ-комплекса утилитах (типа тдсс-киллер). Одна из причин их создания.

Самое интересное - если такое говорят юзеры других АВ, то они не понимают, что утилиту то именно для них и делают. laugh.gif

Речь о том, что все дело в реализованных в антивирусах технологиях - способны они или нет бороться с определенными способами укоренения зловредов на компе, продвинутых способов не так уж и много, если конкретная малварь использует один из таких методов прописки на компе пользователя, а антивирь имеет технологии вылечивания такого, то при попадании данной малвари в вирлаб будет сделано лечение, а если таких технологий нет, то и обнаруживать ее будут по косвенным признакам - типа, "ага, вижу ее следы деятельности, она правда есть, но наш антивирус ничего сделать не может, бегите за помощью к Юрию Паршину и просите тдсскиллер... "

Не конкретной малварью, а конкретной методикой сокрытия! Когда ж до вас до всех дойдет - в руткитах используется не так уж много технологий и если в продукте реализован универсальный механизм противодействия, то ему насрать с каким семейством он имеет дело.

Универсальный механизм есть и работает. Или может у вас другие сведения? А вот у других вендоров то да - одни костыли на костыле.

Утилита TDSSKiller предназначена уже далеко не только для лечения TDSS (она еще и детектор аномалий), и обновляется она лишь для поддержания актуальности (ZeroAccess там разные, и.т.п).

В каждом случае используются различные методы противодействия детектированию и излечению. IRP'ы, DKOH, сплайсинг, восстановление веток реестра и прочее. Это то, что реально используется сейчас. Есть что-то другое? Какие-то доселе неизвестные способы и места автозагрузки (их видимо миллионы, просто мы не видим)? Везде практически одно и то же. И то, что большинство вендоров жарко и сладко сосет показывает их уровень технологической несостоятельности.

в большинстве своем вендоры реализуют детект в памяти (причем он может быть настолько идиотским...), т.к. зачастую добраться до секторов диска мозга не хватает wink.gif

Я бы разделил все существующие детекты на след. подгруппы:

1) Детект в памяти по какому-нибудь идиотизму, вроде имени mutex'а или симлинка. Шарага-style. Лечение обеспечивается форматом диска C: laugh.gif

2) Детект в памяти аномалий (перехватов, проверка подозрительных потоков и т.п.). Причем такой подход также может быть шарага-style если, например, проверка выглядит так: "адрес IRP_MJ_SCSI находится не в модуле atapi.sys". Не шарага-style - "получаем оригинальный адрес IRP_MJ_SCSI и сравниваем с системным + еще куча проверок".

3) Честный низкоуровневый доступ к файловой системе, реестру, другим объектам. Достаточно сложен в реализации.

Выше перечислены ключевые моменты в лечении зловредов на сегодняшний день.

PS:Спасибо тем, кого процитировал

PS2: Как обычный юзер антималваре (только с самой красивой аватаркой) согласен тоже с их словами, багром мне никто не угрожал, мой холодильник никто не брал в заложники...

[diletant 5]

Если коротко, то ЛК и Dr.Web имеют высокие стандарты в АВ индустрии.

Что определённо вызывает гордость. Кроме самых лучших танков самолётов и другой продукции военпрома у наc ещё и антивирусы есть. Ура! )

[ntoskrnl 155]

В каждом случае используются различные методы противодействия детектированию и излечению. IRP'ы, DKOH, сплайсинг, восстановление веток реестра и прочее. Это то, что реально используется сейчас. Есть что-то другое? Какие-то доселе неизвестные способы и места автозагрузки (их видимо миллионы, просто мы не видим)? Везде практически одно и то же.

Я Вам про лечение, Вы мне про детект. Я Вам опять про лечение, про которое тема, Вы мне опять про детект, способы скрытия активности, то-сё. Обнаружить практически любой руткит можно в windbg или просто загрузившись с первого попавшегося сидюка. Можно его таким образом вылечить? Нет. В лучшем случае - вернуть бутсектор. Может продукт обнаружить нечто, что крякает, как утка прячется, как алуреон, противодействует, как алуреон, но несёт массу дополнительного функционала и использует дополнительные способы внедрения? Почти наверняка может. Может он вылечить сразу, слёта, со стопроцентной гарантией без дополнительного анализа и человеческого вмешательства? Практически наверняка не сможет. Паршин постом №44 написал это слово в слово, с ним Вы не спорите почему-то. А когда я пишу, что процедуры лечения действуют против конкретных известных образцов, Вы начинаете хамить и учить меня жизни.

И то, что большинство вендоров жарко и сладко сосет показывает их уровень технологической несостоятельности.

Чтобы говорить о технологической несостоятельности нужно показать, что они не могут обеспечить ни детект, ни лечение в принципе. И многие, действительно, не могут. А если они, по каким-то своим причинам, разносят функционал по разным, условно говоря, программам, а не пихают всё на свете, опять условно говоря, в один "экзешник" и не запуляют ему потом требования в два гига, то это ещё ни о чём не говорит.

[sww 486]

Может он вылечить сразу, слёта, со стопроцентной гарантией без дополнительного анализа и человеческого вмешательства? Практически наверняка не сможет.

Вот тут и лажа. Если это не заражение файловым вирусом (для которого всегда нужна отдельная процедура), то существующие универсальные способы выносят с вероятностью стремящейся к 100%.

Вы просто реально не шарите как устроены:

1) Методы детектирования

2) Методы лечения

Вот и вся проблема.

[Fixxxer® 65]

Если бы Вы хоть чуть-чуть интересовались вопросом, то знали бы, что впервые этот буткит был обнаружен именно с помощью детектора аномалий в TDSSKiller-е, когда остальные метались и не знали какие исследования еще запрашивать. Благодаря этому мы первыми реализовали лечение данного буткита в продуктах.

Погоди, Юра, ну ведь несовсем так было. Были обращения в одной теме на непонятное поведение браузера. Вот пример такой темы, с неё всё и началось. Дампы взять и проанализировать их подсказал один товарищ, не имеющий никакого отношения к ЛК. Он же обнаружил наличие библиотеки. Дальше я подключил тебя и уже дальше разивлась тема про нестандартный буткит.

Возможно, что ты и ранее получал сигналы детектора аномалий, и да - Вы первые реализовали лечение, но не надо всё списывать на Киллера.

Пишу не для разжигания вражды, а просто потому, что человек, который собственно тогда помог с идеей о дампах и эти дампы первым проанализировал, прочёл эту тему и немного удивился.

Мне перед ним тоже как-то неудобно.

[Юрий Паршин 330]

Погоди, Юра, ну ведь несовсем так было. Были обращения в одной теме на непонятное поведение браузера. Вот пример такой темы, с неё всё и началось. Дампы взять и проанализировать их подсказал один товарищ, не имеющий никакого отношения к ЛК. Он же обнаружил наличие библиотеки. Дальше я подключил тебя и уже дальше разивлась тема про нестандартный буткит.

Возможно, что ты и ранее получал сигналы детектора аномалий, и да - Вы первые реализовали лечение, но не надо всё списывать на Киллера.

Пишу не для разжигания вражды, а просто потому, что человек, который собственно тогда помог с идеей о дампах и эти дампы первым проанализировал, прочёл эту тему и немного удивился.

Мне перед ним тоже как-то неудобно.

От дампов было толку ноль - они никак не могли указать на наличие буткитового заражения, поэтому упоминать их как-то странно. А вот благодаря утилите понять, где заражение, удалось достаточно быстро.

[ntoskrnl 155]

Вот тут и лажа. Если это не заражение файловым вирусом (для которого всегда нужна отдельная процедура), то существующие универсальные способы выносят с вероятностью стремящейся к 100%.

Вы просто реально не шарите как устроены:

1) Методы детектирования

2) Методы лечения

Вот и вся проблема.

Нет, интересно, а где я написал, что это не комплексная дрянь, с элементами файлового вируса? В частности это и подразумевалось под "дополнительными способами внедрения". Вы же постоянно что-то додумываете к написанному и рассказываете, где я шарю, где нет. Вы его пинками из IRP-стэка и из SSDT, а оно на следующей загрузке восстановится из зараженного smss, например. С которым без процедуры лечения (да и без конкретной сигнатуры, по большому счёту) ничего не сделать, как бы здорово не выбивался драйвер. Это можно назвать успешным лечением? Нет. Если только подойти формально и сказать, мол, да, кернелмодный кусок мы по джампам вычислили и даже прибили разок, другой, третий, ну а это всё уже другой детект, другой файл, другая зараза, это вообще дроппер и т.д. и т.п.

[sww 486]

Нет, интересно, а где я написал, что это не комплексная дрянь, с элементами файлового вируса? В частности это и подразумевалось под "дополнительными способами внедрения". Вы же постоянно что-то додумываете к написанному и рассказываете, где я шарю, где нет. Вы его пинками из IRP-стэка и из SSDT, а оно на следующей загрузке восстановится из зараженного smss, например. С которым без процедуры лечения (да и без конкретной сигнатуры, по большому счёту) ничего не сделать, как бы здорово не выбивался драйвер. Это можно назвать успешным лечением? Нет. Если только подойти формально и сказать, мол, да, кернелмодный кусок мы по джампам вычислили и даже прибили разок, другой, третий, ну а это всё уже другой детект, другой файл, другая зараза, это вообще дроппер и т.д. и т.п.

Это вы постоянно дописываете, додумываете, придумываете какие-то новые комплексные угрозы с элементами BDSM, и так далее. Как я и говорил - не шарите нихера. В школу.

[Fixxxer® 65]

От дампов было толку ноль - они никак не могли указать на наличие буткитового заражения, поэтому упоминать их как-то странно. А вот благодаря утилите понять, где заражение, удалось достаточно быстро.

Ну будем так говорить: инжект удалось увидеть с помощью RkU. Киллер действительно показал Rootkit.Win32.BackBoot.gen, но будем откровенны: лечить он на тот момент ещё не умел. И было подозрение ещё и на подмену ntldr. И были фалсы на кряки Win7 И подозрения на SPTD

Никто не умаляет достоинства Киллера (я во всяком случае), но нужно отдавать себе отчёт, что она не всесильна.

[Юрий Паршин 330]

И были фалсы на кряки Win7

Фолсов не было, ты что-то путаешь. Были особенности, связанные с лечением крякнутых Win 7, чтобы кряк не слетел - но это уже было потом.

[Fixxxer® 65]

Были особенности, связанные с лечением крякнутых Win 7, чтобы кряк не слетел - но это уже было потом.

Я это и имел в виду.

Но ты должен признать, что "стойку" на SPTD утилита делала.

То, что эмулятор сработал и показал, что что-то прогнило в Датском Королевстве mbr-boot-ntldr - это без сомнения круто. И позволило искать подвох именно в этой области. Но на этом на ту пору всё и кончилось - mbr чист, ntldr чист. В пору было списать на "стойку" по аналогии с SPTD. Уже потом мы стали искать что-то в vbr. Исходно никто ничего не знал.

Итого - были:

1. Жалобы на ненормальное поведение браузера.

2. Наличие инжекта в браузер.

3. Наличие подозрительного имени библы в дампах.

4. Сведения о нестандартной загрузке.

Как мы видим, "отличились" все, но лечить не мог никто

[Юрий Паршин 330]

Но на этом на ту пору всё и кончилось - mbr чист, ntldr чист.

Что кончилось? В течение нескольких часов после первого упоминания о детекте TDSSKiller-ом удалось все найти, что было нужно - то, что проверялись все варианты сразу - это нормально.

Но ты должен признать, что "стойку" на SPTD утилита делала.

Причем тут SPTD и Cidox? SPTD детектируется как подозрительный файл из-за руткитового поведения, и будет детектиться. Мне до сих пор непонятны причины, по которым авторы блокируют доступ к своему файлу.

Тема-то вообще не об этом, а о криворуких разработчиках, которые не могут сделать нормальное лечение.

[Fixxxer® 65]

P.S. Прошу прощения у всех участников дискуссии: только сейчас прочёл первый пост темы и понял, в какой глубокий оффтоп мы ушли.

На самом деле те, кто не может предоставить лечение, еще не могут, в большинстве своем, предоставить и детект активного заражения. А без детекта и лечить нечего.

Я вот искренне не понимаю - эти вендоры настолько тупы, что не осознают то, что их продукт может ставиться уже на зараженный ПК (причем юзер может и не знать, что он заражен) на котором когда то стоял другой АВ? Хотя и может просто и нет мозгов, чтобы написать процедуру лечения, и поэтому не добавляют детект, чтоб не позориться.

P.S. Сейчас посыпятся аргументы "профи" - мол зараженная система - это скомпрометированная система и должна быть переустановлена. Но их тоже можно понять - они всего лишь пытаются оправдать продукт, которым пользуются. Причем оправдать перед самими собой, самоуспокоение как говорится.

P.P.S. Касаемо сабжа - качественное лечение есть, но оно реализовано у тех компаний, которые могут это реализовать - ЛК и Dr.Web. А остальные или вообще не детектят или тупо не могут вылечить, а иногда предлагают скачать сторонние утилиты, которые тоже не блещут лечением. Но, справедливо стоит отметить, нужно реализовывать не только лечение, но и качественную защиту.

Позиция всех вендоров (и ЛК в том числе, могу покопаться и привести пруфлинки) такова, что при современной активной заразе лечение полноценно провести нереально. Потому и предлагается на заведомо заражённой системе использовать LiveCD, а затем ставить продукт. Потому как если систему заразить чем-то, активно противодействующему антивирусам, то работу антивируса организовать попросту будет невозможно.

С другой стороны понятно и очевидно, что зачастую есть необходимость проверки скачанных файлов, флешек и т.д. И тут позиции разнятся. Понятно, что удалить неактивную "тушку" трояна много ума не надо. А вот с лечением файловых инфекторов посложнее. Некоторые считают, что такие файлы надо тупо удалять, потому как они заведомо испорчены, нарушена цифровая подпись, возможно - пострадала целостность и т. д. ИМХО, такая позиция неправильная, потому как иногда нужно "хоть что-то": восстановить заражённые системные файлы, чтобы потом уже пройтись через sfc /scannow. Вылечить самораспаковывающиеся архивы с важной рабочей информацией (да, забыл я про бэкап - и что?). Ну и так далее. Поэтому постоянство позиции в этом плане от ЛК и Веба радует. Кто из них "лечит" лучше - не буду спорить.

Дальше с точки зрения безопасности заведомо чистой системы с установленным продуктом против новых угроз - тут вполне логично, что лечение не при чём - лишь бы отражало всё опасное приходящее.

Что кончилось? В течение нескольких часов после первого упоминания о детекте TDSSKiller-ом удалось все найти, что было нужно - то, что проверялись все варианты сразу - это нормально.

Кончилось тем, что ты получил инфу из КСН

Пример с SPTD я сделал для того, чтобы дать тебе понять аналогию: раз на SPTD есть вечное "подозрение", значит теоретически может быть подозрение и на другую безопасную хрень. В буте утиль нашла что-то опасное - не смогла сказать, что - значит с точки зрения рядового пользователя потенциально это - безопасная хрень по типу SPTD.