Перейти к содержанию

Recommended Posts

A.
А куда "Главный антивирусный аналитик" смотался, а? Отсыпается?

Ты настолько разбираешься в теме и все знаешь, что пожалуй я оставлю этот топик тебе. А сам буду выдавать информацию в других местах. Все равно она тебе не интересна, обрывочна и устарела.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Ты настолько разбираешься в теме и все знаешь, что пожалуй я оставлю этот топик тебе. А сам буду выдавать информацию в других местах. Все равно она тебе не интересна, обрывочна и устарела.

Если б ты по-человечески умел разговаривать, а не истерить, было бы куда лучше.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
OlegAndr

Чего то никто не пишет про распространение \ первичное заражение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

Странно что говорят, некоторым компонентам "много лет", есть там один семпл годовой давности, но это не 3 или 5 лет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Чего то никто не пишет про распространение \ первичное заражение.

Если верить АВерам, инфекции появились 3 или 5 лет назад, но это абсолютно ничем не подтверждается, пока...мало кто в это верит.

Условно говоря один семпл валялся на вирустотале год, пока, о чудо 28 мая он не стал W32.Flamer.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Если я правильно понял, ещё в начале мая Iran National CERT (MAHER) разослало детект вендорам, или не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Виталий Камлюк из ЛК только что по Евроньюз комментировал новость про Flame. Неплохо, неплохо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Виталий Камлюк из ЛК только что по Евроньюз комментировал новость про Flame. Неплохо, неплохо :)

http://www.euronews.com/2012/05/29/flame-v...in-middle-east/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Если верить АВерам, инфекции появились 3 или 5 лет назад, но это абсолютно ничем не подтверждается, пока...мало кто в это верит.

Условно говоря один семпл валялся на вирустотале год, пока, о чудо 28 мая он не стал W32.Flamer.

Не знаю каких аверов ты читаешь, но мы четко и ясно сказали - по нашим 100% данным (у нас есть и этот сампл (один из модулей) и даже был у нас детект оказывается) как минимум с августа 2010 года. Но это только один из модулей. Основной (mssecmgr) не детектился никем до недавнего времени.

По косвенным данным - он гуляет с марта-февраля 2010. Вся информация про 3 и 5 лет - это домыслы, пока не подтвержденные фактами. Домыслы основаны на именах файлов.

Если я правильно понял, ещё в начале мая Iran National CERT (MAHER) разослало детект вендорам, или не так?

Не так. Какие-то самплы (список есть) - они разослали только вчера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Не знаю каких аверов ты читаешь

Как минимум CrySys

crysys.jpg

Возможно, только по имени файла, да.

Это интервью на euronews, я даже не знаю смеяться или плакать :facepalm:

Что там РБК несли по поводу того, что он записывает разговоры скайпа и отсылает их в неизвестном направлении и показывая ракурсы московского офиса ЛК? ЛК сказали - это самый страшный вирус, OMG :facepalm:

- Отсутствие оригинальных 0day.

- Отсутствие украденных сертификатов.

- Отсутствие каких-либо передовых технологий.

- Модули типа кейлоггера, кражи аккаунтов, скриншоты были давно реализованы в малвари типа SpyEye.

- Некоторые заявляют он ходил уже с 2007, хотя Gostev это отрицает.

- Одному из компонентов, который попал itw уже год и только сейчас он попал в базы.

- Хорошо спланированная массовая PR-компания со стороны Sophos, Kaspersky, Symantec и других АВеров, которые закричали не то что в одно время, в один день и чуть ли не в один и тот же час.

- и т. д.

Кстати, когда Kaspersky добавил записи Worm.Win32.Flame.a в базу, чтобы он мог детектироваться у пользователя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Не так. Какие-то самплы (список есть) - они разослали только вчера.
Во время написания статьи, ни одно из 43 антивирусных решений не было способно обнаружить ни один из вредоносных модулей этой программы. Тем не менее, уже в первые дни мая, центром Maher был создан и отправлен некоторым организациям так называемый «детектор» программы.

3364b39d04.png

http://www.certcc.ir/index.php?name=news&a...le&sid=1894

http://safetygate.ru/index.php?topic=1921.msg73780#new

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
ЛК сказали - это самый страшный вирус, OMG :facepalm:

- Отсутствие оригинальных 0day.

- Отсутствие украденных сертификатов.

- Отсутствие каких-либо передовых технологий.

- Модули типа кейлоггера, кражи аккаунтов, скриншоты были давно реализованы в малвари типа SpyEye.

- Некоторые заявляют он ходил уже с 2007, хотя Gostev это отрицает.

- Одному из компонентов, который попал itw уже год и только сейчас он попал в базы.

- Хорошо спланированная массовая PR-компания со стороны Sophos, Kaspersky, Symantec и других АВеров, которые закричали не то что в одно время, в один день и чуть ли не в один и тот же час.

- и т. д.

Дружище, тут у меня уже не выдержали нервы. Ты бы вместо того чтобы писать здесь много букв, взял бы и выкатил свой анализ малвари. Вот тогда и посмотрим на что ты годишься и насколько Флейм страшен и сложен. Может и правда не так страшен черт как его малюют, а?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Дружище, тут у меня уже не выдержали нервы. Ты бы вместо того чтобы писать здесь много букв, взял бы и выкатил свой анализ малвари. Вот тогда и посмотрим на что ты годишься и насколько Флейм страшен и сложен. Может и правда не так страшен черт как его малюют, а?

Еще по сути есть что сказать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter

+1 и того точно 8.

Список хэшей с описанием https://code.google.com/p/malware-lu/wiki/en_malware_flamer и алиасы АВеров http://artemonsecurity.blogspot.com/2012/0...r-goes-itw.html.

Хэши от Sophos: http://www.sophos.com/en-us/threat-center/...d-analysis.aspx

Небольшой анализ компонента cuckoobox http://blog.cuckoobox.org/2012/05/29/cuckoo-in-flame/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

А где Исет со своим анализом, где посты Матросова про Flame? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Еще по сути есть что сказать?

А тебе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
CatalystX
А где Исет со своим анализом, где посты Матросова про Flame? :)

До них еще не дошло :). Или уже всем вирлабом переводят статью симантек на русский.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
А тебе?

Да а мне то, что...? Остается только смотреть как Kaspersky грамотно делает очень хорошие деньги на AV-индустрии. Слава их маркетологам.

В целом анти-малваре совсем поредел, раньше тут хоть кто-то кучковался, а сейчас один "Главный" шороху наводит, становится реально неинтересно здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
А где Исет со своим анализом, где посты Матросова про Flame? :)

Про Исет неизвестно, но Веб, как всегда повеселил :facepalm:

_____.jpg

post-6726-1338371337_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Да а мне то, что...? Остается только смотреть как Kaspersky грамотно делает очень хорошие деньги на AV-индустрии. Слава их маркетологам.

В целом анти-малваре совсем поредел, раньше тут хоть кто-то кучковался, а сейчас один "Главный" шороху наводит, становится реально неинтересно здесь.

Так и запишем -- сдался и опустил руки.

но Веб, как всегда повеселил :facepalm:

Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rkhunter
Если нечего сказать, то есть пара вариантов -- опровергать важность события (пример ты привел) или, поняв, что проспал, готовить правильный ответ (пример хорошего ответа был совсем недавно).

Если кроме вирустотала и пары хантеров больше нет источников малвари вывод напрашивается сам собой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mike 1
Про Исет неизвестно, но Веб, как всегда повеселил :facepalm:

Кстати я автор этой темы на форуме DrWeb они как-то не серьезно отнеслись к этому вирусу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Кстати я автор этой темы на форуме DrWeb они как-то не серьезно отнеслись к этому вирусу.

А что ожидали от них то? Предсказуемый результат.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      wscript.exe, csript.exe, mshta.exe, так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют. --------------------------------- вот еще картинка, как могут быть применены системные файлы в деструктивных действиях. wmic, bitsadmin:  
    • santy
      RP55, 1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д. 2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл. никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска. процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике. avz +hj + скрипты + (adwcleaner) +FRST или uVS + скрипты+ (adwcleaner)+FRST и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. --------------- так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS.
    • PR55.RP55
      Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям. Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее. Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт. таким образом изначально простое действие превращается в целый набор операций. Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще. Удалить все: .bat Удалить все: .info.hta Удалить все: .TMP Удалить все: .HTTP  и т.д. Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений. uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ на долю uVS приходиться ( как это ни печально ) 5%
    • demkd
    • PR55.RP55
      "времени на раскачку нет"  https://forum.kasperskyclub.ru/index.php?s=35fdc94435f2493d0ac8d0282ba035f4&showtopic=64721 HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
      C:\Windows\System32\1corona.exe
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
      C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
      C:\Users\Dmitriy\AppData\Roaming\1corona.exe ------------------ А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы" 
×