Илья Рабинович

Тесты лечения активного заражения на бесфайловые вредоносы.

В этой теме 19 сообщений

Всем привет!

По следам обсуждения с Василем Бердниковым возникла одна идея. В последнее время появилась новая тема в сфере противодействия антивирусным сканирующим модулям со стороны вредоносного программного обеспечения- это разные формы бесфайловых модулей. Они либо существуют только в реестре, либо создают файлы только во время перезагрузки, всё остальное время существую лишь в качестве кусков исполняемой памяти и потоков их исполнения.

Предлагаю сделать отдельный тест лечения активного заражения на такие вот новые вредоносные техники, поскольку из-за явного застоя инноваций в руткитостроении и буткитостроении, данные типы малвари не смогут дать интересных результатов в тесте на лечение активного заражения. А вот бесфайловые- те да, могут.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

>> Предлагаю сделать отдельный тест лечения активного заражения на такие вот новые вредоносные техники, поскольку из-за явного застоя инноваций в руткитостроении и буткитостроении, данные типы малвари не смогут >>дать интересных результатов в тесте на лечение активного заражения. А вот бесфайловые- те да, могут.

Я в целом за тест, в том числе и с частью прежних семплов, если их не на что заменить. Лично мне интересно, как у вендоров сейчас: до сих пор все печально со сложными угрозами или развиваются по-тиху. + было APT Turla / Uroburos, тоже с руткитом, много где и кто о нем трубил - лечат ли все и видят ли активного (даже имея сигнатурный детект на отдельно взятые файлы)?

Так что есть что новое и интересное. Я могу еще покопаться в архивах -может чего еще интересного за последние пару лет вспомню. Да и древнего sinowal на XP - и то интересно глянуть, ибо последний варант неплохо маскировался, а в тестах его не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати реально интересный тест будет)

Так тесту быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да и древнего sinowal на XP - и то интересно глянуть, ибо последний варант неплохо маскировался, а в тестах его не было.

На XP не все антивирусы работают, нет в этом никакого смысла. Уже закончилась основная поддержка 7, а мы все про XP :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Идея хоть какого-то теста ещё актуальна? Win 7 x64, взять из таких образцов что-то:
1) Sinowal, SST, Zeroaccess, Cidox;
2) Virus.Protector, Rloader.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как писал Сергей Ильин - тест уже делают. Туда включены часть вредоносов из старого теста на лечение активного заражения + что-то бесфайлового + что-то еще.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Идея хоть какого-то теста ещё актуальна? Win 7 x64, взять из таких образцов что-то: 1) Sinowal, SST, Zeroaccess, Cidox; 2) Virus.Protector, Rloader.

http://www.anti-malware.ru/forum/index.php?showtopic=29160

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, самая идея вредоноса, который не имеет лежащего на диске файла хороша. То есть сигнатурно его обнаружить не выйдет. Как тогда вводить критерий обычный, что компоненты должны детектироваться в неактивном состоянии? Даже детект в памяти обычно есть на очень мало вредоносов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Неделя прошла. Тест уже был выложен? Не видел его на сайте. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Любой вредонос вида "Регистрирует в реестре в ключе Run ярлык на свое тело. При старте системы загружается в память и удаляет параметр в автозапуске" не сможет вылечить/обнаружить простая утилита для сканирования реестра?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По логике вещей - нет, если это не утилита по работе с реестром на "мертвой" системе (загрузка ОСи с диска/флешки).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

утилита по работе с реестром на "мертвой" системе (загрузка ОСи с диска/флешки).

 

К сожалению, я такую функцию виден только у RescueCD Касперского (для Др.Веб. вроде графический режим у меня ни разу не запустился). Ну и наверное диск AnitSMS должен работать с реестром.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вместо использование костылей вроде AntiSMS можно использовать мощный и гибкий инструмент, который такой функционал имеет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@priv8v, да я знаю эту утилиту. Правда не изучал вопрос о том, кто умеет запускаться из среды вроде WinLiveCD. Вот TDSSKiller мне точно помог.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думал Eset первым будет, но нет))

http://www.symantec.com/connect/blogs/kovter-malware-learns-poweliks-persistent-fileless-registry-update

С большим запозданием...вероятно, благодаря тому, что тут всплыла инфа:

http://www.kernelmode.info/forum/viewtopic.php?f=16&t=2643&start=20#p26753

 

Интересно, сколько антивирусов смогут вылечить зараженную систему этой малварой, скажем недели через 2-3? :) Глядя на результаты тестов активного заражения с poweliks, есть уверенность, что Симантек будет находить и  лечить зараженные системы этим семейством. Чего не скажешь о остальных...хотя и сложного в обнаружении и лечении, в отличии от буткитов,  тут ничего и нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я думаю большинство даже на станут заморачиваться. Это сложно и на продажи мало влияет им.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • myrl48
      Создать и Оптимизировать сайт лучшей конверсии С чем половиной покупателей, допускающих к покупке продуктов в интернете либо еженедельно и ежемесячно, сайт электронной коммерции должен иметь огромное влияние на вашей нижней строке. Однако недостаточно создать магазин. Важно сделать все возможное, максимизировать конверсии и потенциал онлайн-продаж. Много идет в создание сайта электронной коммерции и получить максимальную отдачу от него. Прежде всего, убедиться он построен на оптимизированной платформе продаж с системой управления контентом, которая упрощает обновление и помогает быстро загружать сайт помимо технических деталей есть много способов, которыми убедиться конвертируете больше посещений сайта в продажи. Имейте красивый, отзывчивый дизайн Дизайн и макет сайта управляют пользовательским опытом, первое впечатление, которое потенциальные клиенты получают от бизнеса. Сайт - современный дизайн с четкими, высококачественными фотографиями, наилучшим образом продемонстрировать продукты и включить прожекторы продукта и призывы к действиям увеличения участия. Адаптивный дизайн больше не является опцией. Это абсолютная необходимость. Сайт должен адаптироваться просмотра на мобильных устройствах, планшетах и настольных компьютерах, обеспечивая плавный, связный опыт ваших посетителей на каждом этапе. Сделать сайт http://sozdat-sait.my1.ru/ продукты легко найти. Независимо от приходят пользователи в магазин просмотра и поиска определенного элемента, не расстраивайте их, заставляя работать на него. Добавление функции поиска поможет клиентам быстро найти именно то ищут, а организация ваших продуктов в логические, вложенные категории сделает просмотр легким. Продукт помещается в несколько категорий, и расширенные фильтры на странице добавлены, помочь вашим посетителям сузить поиск больше. Положите страницы детали продукта работы Максимально высокие качества, одинаковых размеров фото продукта, предлагая функциональность зум, позволить покупателям изучить продукты подробно. Добавьте параметры общего доступа, побудить посетителей распространять информацию о ваших продуктах на сайтах социальных сетей любят покупатели. Потратьте время, написать хорошие описания продуктов. Они четкими и лаконичными. Попробуйте включить маркированные точки, выделить ключевые особенности, не будучи многословным. Страницы сведений о продукте включать призыв к действию, например кнопку "Добавить в корзину", которую легко обнаружить, и ссылку на политику доставки и возврата. Оптимизировать сайт поисковых систем потратив время на поисковой оптимизации (SEO). Для начала, сделать некоторые исследования ключевых слов и планировать стратегию SEO вокруг ключевых слов. Создайте блог, публиковать полезные статьи, связанные с вашими продуктами, и делиться своими сообщениями в социальных сетях, управлять входящим трафиком. Вы узнать больше эффективной стратегии SEO, проверив наш предыдущий пост: Маркетинговая Стратегия онлайн: создайте бизнес, создайте бренд. Видео урок - http://sozdat-sait.my1.ru/blog/kak_povysit_konversii_i_juzabiliti_sajta/2017-11-09-1894
    • fafa
      Знаете в этом деле лучше отталкиваться от правила если есть средства, то лучше заплатить и все! Поэтому незачем что либо выдумывать или зря тратить свое время. Намного проще оплатить и чтобы конкретно сделали сайт под Ваши условия.
    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.6.300.
    • Ego Dekker
      ESET NOD32 Antivirus для Linux был обновлён до версии 4.0.87.
    • vorobey
      А я не парюсь, сижу дома, играю и зарабатываю на этом сайте vulkanudachi777-club.com. И это все реально. Нужно только желание от вас.