SMS блокираторы - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
amid525

SMS блокираторы

Автор amid525, в Современные угрозы и защита от них

Recommended Posts

amid525    67

amid525
Опубликовано

Сегодня пришлось побаловаться с различными SMS блокираторами. Во большинстве случаев, на помощь предлагаются разные средства, на основе загрузки с CD и лечить.., до переустановки оси с архива через акронис(например). Т.е танцы с бубном.. :)

Есть-ли еще какие ср-ва защиты,(или возможности антивирусов), когда можно убить баннер (когда заблокирован экран), прямо в реальном времени? :)

Одну такую программку знаю.. )

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

1. Стоит учитывать, что лучше предотвратить, чем потом лечить. Например, если антивирус пропустил mbr-локер, то "никакое лечение в реальном времени" уже не поможет - даже винда грузится не будет

2. Как только это самое средство для борьбы с винлоками станет распространено - сразу винлоки чуть изменят свой функционал и средство станет бесполезным.

3. Если человек задумался о таком софте, то скорее всего у него есть мозги и он итак винлока не подхватит (разве что по пьяни)

4. Любой нормальный АВ-комплекс (если не задетектит зловред эвристикой\сигнатурой) задаст кучу вопросов своей проактивной защитой при установке этого винлокера в системе, а если юзер на все них нажал "да", то ему уже ничего не поможет... (поможет только пиво для друга-компьютерщика, который с лайф-cd придет)

5. У Касперского в бете 2014 есть некие наметки на борьбу с прорвавшимся винлоком (закрывать по сочетанию клавиш)

PS: Мелкие убогие анти-винлок утилиты (причем платные!) с мониторингом (опросом) трех ключей реестра по таймауту мне известны, но рекламить их совсем чего-то не хочется. Незачем ламерство разводить.

PS2: большинство современных винлоков, при наличии под руками live-cd снимаются за пару минут при определенной сноровке

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано

4. не обязательно live-cd.

От mbr-локер(а), пока без live-cd справлялся. А остальные, не перезагружаясь, одним движением.. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

как от мбр без лайфсд? (другого загрузчика)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано

Поможет СТМ от комодо. По крайней мере, сегодня испытал на одном MBR локере. Оболочка СТМ загружается первой(до винды и блокера). Далее откат по снимку, и все. )

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

просто другой загрузчик.

у Славы была хорошая статья про легальные руткиты на securelist

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано
просто другой загрузчик.

Понятно что другой, - спаситель. ) По поводу: (никакое лечение в реальном времени" уже не поможет - даже винда грузится не будет. Поможет только пиво для друга-компьютерщика, который с лайф-cd придет)

Помогает, Ничего подключать внешне, танцев, не нужно.. Все просто, и сердито. :)

И выручит, не только в этом случаи, а и с любой другой серьезной проблемой в системе. Юзеру(и не только) - полезно иметь! ИМХО. )

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

да я не против комодо :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано

Я понял, о чем ты. )

у Славы была хорошая статья про легальные руткиты на securelist

Давно читал... Но с таким подходом, можно и любой антивирус - называть "легальным вирусом"... Полностью контролировать их деяния,( в свободное время от поимки вирусов), что куда отсылают., трудно.. :)

Фантазии, могут далеко завести, лучше не нужно... )

А по делу, СТМ - в системе, только на пользу. И можно позабыть надолго про акронисы, L/Cd, и т.д..). имхо :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

По сути, откат системы к снапшоту это бесспорно лучшее средство лечения всех зловредов, вопрос лишь в реализации :)

Лично мне было бы удобнее использовать виртуальную машину - там под разные цели можно целое дерево снапшотов построить ...

Как-то я ставил такой опыт на знакомых - все было нормально. Принцип: реальное железо для игр, а виртуальная машина для интернета.

А по поводу СТМ - в реальной жизни лучшее его применение вижу только в установке его тем знакомым, которые постоянно цепляют вирусы и обращаются за помощью - поставить и пусть не достают ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Alex_Goodwin    81

Alex_Goodwin
Опубликовано
По сути, откат системы к снапшоту это бесспорно лучшее средство лечения всех зловредов, вопрос лишь в реализации :)

Особенно троянов, ворующих данные юзера :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано
По сути, откат системы к снапшоту это бесспорно лучшее средство лечения всех зловредов, вопрос лишь в реализации :)

Лично мне было бы удобнее использовать виртуальную машину - там под разные цели можно целое дерево снапшотов построить ...

Как-то я ставил такой опыт на знакомых - все было нормально. Принцип: реальное железо для игр, а виртуальная машина для интернета.

А по поводу СТМ - в реальной жизни лучшее его применение вижу только в установке его тем знакомым, которые постоянно цепляют вирусы и обращаются за помощью - поставить и пусть не достают ;)

Не только от вирусов, а и тем, кто сам часто ложит систему, не нужно переустанавливат.:-)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

JunDF    5

JunDF
Опубликовано

Ещё вариант: работа под пользователем с ограниченными правами.

Блокер не сможет внести запись в загрузочный сектор. Если учетка будет заблокирована, то юзаем админа и лечим учетку.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Milord    55

Milord
Опубликовано
Поможет СТМ от комодо

как активируется загрузчик комодо, если винда уже заблокирована мбр блокером? Например у того же bitdefender, загрузчик режима реанимаци, можно вызвать пробелом, после прохождения пост биос.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано
как активируется загрузчик комодо, если винда уже заблокирована мбр блокером?

Комодо СТМ, запускается до винды. И похоже, имеет приоритет запуска над блокерами. По крайней мере, справился с парочкой, какими располагал.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

можно эту парочку винлоков в ЛС скинуть?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

amid525    67

amid525
Опубликовано

Ок

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rodocop    158

rodocop
Опубликовано

было бы куда интереснее обсудить возможности борьбы с локерами при отсутствии превентивных мер (СТМ, как я понимаю, предполагает предварительную ее установку и создание снимка).

А вот принесли тебе некий комп, где есть блокер, и нет ничего. Что делать? Оставим mbr в покое - там понятно, что нужна альтернативная загрузка. Пусть будет просто злобный локер под загруженной Виндой...

Раньше я справлялся простым АнВиром. Сейчас, как я понимаю, номер чаще всего не пройдет...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

т.е аннвир уже установлен на зараженной машине?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

rodocop    158

rodocop
Опубликовано
т.е аннвир уже установлен на зараженной машине?

нет, привносится извне :-) На флешке. Запускался разными хитрыми махинациями. Был и вариант с предустановленным Анвиром тоже.

Впрочем, давно это было.

Сейчас тупо воспользуюсь флешкой (диском) с Паппиком...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + Уточнение по: " при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) " Я говорю о том, что процессов не было в "История процессов и задач..."
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Demkd По поводу: 5.0.4 На: "uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888]: Windows 7 Home Basic x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] " История процессов и задач... Отобразить цепочку запуска процесса uVS начинает жрать память и... Out of memory. Сжирает все 8гб+файл подкачки и... На компьютере недостаточно памяти ( и да, твик: 39\40 ) на происходящее не влияет ) ----- Второе, при первых запусках после установки драйвера Ф и перезагрузки PC  - uVS не видел процессов запущенного  Firefox ( все файлы в базе проверенных ( если это имеет значение ) Третье: При проверке системы с Live CD Видим следующее: Загружено реестров пользователей: 6
      Анализ автозапуска...
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rcvscxggb\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rcvscxggb\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\fnfozvsrt\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\fnfozvsrt\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rpnrvystm\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\rpnrvystm\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\evikeffmz\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\evikeffmz\Environment\TMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TEMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\uvs_default\Environment\TEMP
      --------------------------------------------------------------------------------------------------
      (!) Переменная окружения TMP содержит неcуществующий или испорченный путь: %USERPROFILE%\AppData\Local\Temp
      \REGISTRY\MACHINE\uvs_default\Environment\TMP ------------- Так это в списке Live CD: ;uVS v5.0.4v x64 [http://dsrt.dyndns.org:8888] [Windows 10.0.14393 SP0 ]
      ; Все ПОДОЗРИТ.  | <%TEMP%>
      ПОДОЗРИТ.  | <%TMP%>
      автозапуск | MMDRV.DLL
      автозапуск | MSCORSEC.DLL
      ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TEMP%>
      ПОДОЗРИТ.  | E:\USERS\DEFAULT\<%TMP%>
      ПОДОЗРИТ.  | E:\USERS\USER\<%TEMP%>
      ПОДОЗРИТ.  | E:\USERS\USER\<%TMP%>
       \DESKTOP\ЗАГРУЗКИ\PASSIST_STANDARD ( РАЗДЕЛЫ ДИСКА )_20251230.1.EXE
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TEMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\<%TMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TEMP%>
      ПОДОЗРИТ.  | E:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\<%TMP%> ------ Четвёртое, по поводу запуска файлов В старых версиях uVS брал информацию: AppData\Roaming\Microsoft\Windows\Recent судя по всему сейчас этого нет.  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      ---------------------------------------------------------
       5.0.4
      ---------------------------------------------------------
       o Переменные окружения всех пользователей с некорректным содержимым теперь добавляются
         в список как подозрительные объекты со статусом "ПЕРЕМЕННАЯ".
         Удаление такого объекта приведет к удалению переменной пользователя или 
         к восстановлению значения по умолчанию если это системная переменная.  
         Поскольку уже запущенные процессы используют копии переменных потребуется перезагрузка системы.

       o Для процессов с внедренными потоками теперь печатается родитель этого процесса.

       o В лог выводится состояние SecureBoot.

       o В лог выводится версия драйвера Ф.

       o Добавлена интеграция с Ф:
         o История процессов загружается из Ф, а не из журнала Windows.
           Работает и при выключенной опции отслеживания процессов и задач, но если эта опция выключена
           то будет доступна лишь история процессов, но не задач.
           Это может быть полезно в случае когда зловред удаляет свою активность из журнала Windows.
         o Если установлен Ф v2.20 и старше, то в лог выводится список процессов (в т.ч. и уже завершенных)
           внедрявших потоки в чужие процессы, такие процессы получают статус "ПОДОЗРИТЕЛЬНЫЙ" и новый статус "ИНЖЕКТОР".

       o В меню запуска добавлена опция "Установить драйвер Ф".
         Версия драйвера: v2.20 mini - это урезанный драйвер бесплатной версии Ф.
         В отличии от драйвера в Ф эта версия не имеет региональных ограничений. 
         Драйвер ведет историю запуска процессов и внедрения потоков в чужие процессы.
         Дополнительно осуществляется защита ключа драйвера в реестре и самого файла драйвера.
         Остальной функционал удален.
         Драйвер устанавливается под случайным именем.
         Удалить драйвер можно будет в том же меню запуска, после установки/удаления требуется перезагрузка системы.
         (!) Для установки драйвера Ф потребуется выключить SecureBoot в BIOS-е.
         (!) Установка драйвера возможна лишь в 64-х битных системах начиная с Win7.
         (!) После установки драйвера система перейдет в тестовый режим из-за включения опции Testsigning.
         (!) При удалении драйвера запрашивается разрешение на отключение опции Testsigning.
         (!) Если эта опция изначально была включена и пользователь использует самоподписанные драйвера
         (!) то это опцию НЕ следует выключать, иначе система может уже и не загрузиться.

       o В меню "Запуск" и в меню удаленной системы добавлен пункт "Свойства системы".

       o Исправлена ошибка из-за которой в логе не появлялось сообщение о завершении сеанса при обратном подключении
         к удаленному рабочему столу.

       
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Возможно, что-то в открытом коде будет полезного и для uVS https://www.comss.ru/page.php?id=19320
    • Ego Dekker
      Актуальные версии антивируса 19-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 19.0.14.
×