Перейти к содержанию
AM_Bot

Как работают вредоносные веб-сайты

Recommended Posts

AM_Bot
Как работают вредоносные веб-сайты 
 
Пользуясь интернетом, вы наверняка услышите о существовании вредоносных веб-сайтов. Сервис Virustotal, например, хорошо известен в Сети тем, что с помощью него можно узнать, какой сайт является вредоносным, а какой безобидным. Но что на самом деле значит факт признания сайта «злонамеренным»? Какие конкретно действия выполняют эти сайты? Давайте попробуем разобраться, как работают такие сайты, как их вычислить и защитить себя.

Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
venttehnica

Я не так давно столкнулся с проблемой: вирус попал по почте и заблокировал около 90% файлов, после чего пришло письмо с просьбой перевести денежные средства на счет для разблокировки. Антивирус не сработал, возможно ли избежать таких проблем и какие меры для этого необходимы. Больше конечно волнует что бы эта зараза не проникла на открытые паролем сайты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble
17 часов назад, venttehnica сказал:

Я не так давно столкнулся с проблемой: вирус попал по почте и заблокировал около 90% файлов, после чего пришло письмо с просьбой перевести денежные средства на счет для разблокировки. Антивирус не сработал, возможно ли избежать таких проблем и какие меры для этого необходимы. Больше конечно волнует что бы эта зараза не проникла на открытые паролем сайты.

Домашний компьютер или на предприятии? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
venttehnica

На предприятии, в этом то и проблема...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Feeble

Запрет запуска программ из пользовательских каталогов, либо вообще запуск программ по белому списку.  Задачу можно решить как групповыми политиками http://www.windowsfaq.ru/content/view/694, так и различным софтом, например СЗИ Dallas Lock. Многие антивирусы тоже обладают таким функционалом. Например, продукты Лаборатории Касперского. У их даже реализован функционал запуска только тех программ, которые являются доверенными в Kaspersky Security Network (KSN).  

Все зависит от того, какого размера компьютерная инфраструктура вашего предприятия. Для разных сегментов разные решения. 

Обычно проблему надо решать комплексно. Регулярные обновления ПО, бекапы, контроль запуска...  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зотов Тимур

Все спецально и делают деньги на них

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кубочкин Артём

И с каждым днём их становится всё больше и больше! 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.8
      ---------------------------------------------------------
       o Управление DNS логом вынесено в отдельные твики, #41 и #42.
         DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
         Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
         в последнем случае необходимо перезагрузить систему после 42 твика.
         (Win7 и ниже не поддерживается).  
    • demkd
      да, выглядит странно, может быть CommandLineEventConsumer чем-то уже удален, антивирус какой-нибудь неаккуратно поработал.
    • santy
      здесь почему то нет потребителя события c5br1lMhB Consumer = "CommandLineEventConsumer.Name=\"c5br1lMhB\"" что это может быть? скрипт, который был недоступен на момент создания образа? запуск майнера был: C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON но чем был вызван запуск - не смогли отследить. (зачистили без regt 39)                              IZTVMAIL01_2021-07-30_07-26-53_v4.11.6.7z
    • demkd
      привет, любой запуск процесса отслеживается, не важно что его запустило, дополнительно в wmi-activity разве что dll можно считать, которые подсаживались в wmiprvse.exe, толку только от этого.
    • santy
      Привет. Возможен ли расширенный мониторинг создаваемых процессов через подписки WMI, аналогично тому, как это выполняется сейчас в uVS через твик 39? (т.е. доп. события пишутся системой в лог WMI-Activity.evtx и затем экспортируются нужное в образ автозапуска) или это уже работает сейчас?  
×