Symantec обнаружила хакерское ПО, изменяющее загрузочный ...

[Valery Ledovskoy 1082]

динозавровской ХР!

Она не будет динозавровской до 2014 года по меньшей мере:

http://www.cnews.ru/news/line/index.shtml?2007/01/25/232750

Если бы Vista была такой хорошей, как её малюют, то не делала бы MS такие шаги.

[sww 486]

Ну все, лечение сделано, небольшой сюрприз для автора приготовлен. Посмотрим на его следующий ход

2Касперский Лаб: вы лечить-то когда-нибудь будете? Даже после снятия нами хуков вы не лечите, даже один из первых буткитов

[A. 875]

Ну все, лечение сделано, небольшой сюрприз для автора приготовлен. Посмотрим на его следующий ход

2Касперский Лаб: вы лечить-то когда-нибудь будете? Даже после снятия нами хуков вы не лечите, даже один из первых буткитов

Мы вообще-то не допускаем заражения системы изначально. И даже сигнатурами этот буткит ловили сильно раньше, чем он многим другим известен стал.

Считайте, что мы не желаем костылями подпирать каждый новый вариант буткита. Вы то, как говорят, тоже, то ловите, то не ловите, то снимаете, то не снимаете и т.д

Сделать - не проблема ни разу, ничего сложного там нет. Только нам для этого MP выпустить надо. А никто этого не позволит сейчас.

У нас 8-ка в работе, ну вот и...

а так - AVZ тоже наш продукт, если кто забыл вдруг.

Если честно, нас сейчас гораздо больше волнуют проблемы с совсем другими малварами, которые распространены гораздо сильней, чем буткит. И которые одинаковы проблемны как для нас, так и для вас. На буткит юзеры не жалуются, а вот на это ...

[Иван 290]

http://users.livejournal.com/sww_/

о, я вижу у Вас к ЛК чувства

Февраль, 18, 2008

Касперчегам

18/2/2008 01:17

Нисколько не уважаемые сотрудники каспер-лаба, прекратите заябывать своими комментариями относительно моей этики в скрытых ветках virusinfo и в личных сообщениях anti-malware сотрудникам Доктор Веб. Нет никакой этики. Я делаю то, что считаю правильным. Так что идите нах. Достали.

[sww 486]

Мы вообще-то не допускаем заражения системы изначально. И даже сигнатурами этот буткит ловили сильно раньше, чем он многим другим известен стал.

Этот ваш BSOD'о-генератор обходится двумя пальцами об асфальт, странно что автор еще этого не сделал. Может быть ему пофиг? Зато не пофиг как мы снимаем хуки и как GMER видит MBR... Насчет сигнатур - возможно, некоторые ранние версии. Те сэмплы, которые были у нас изначально виделись вами в количестве штуки 2 из 25, со временем правда они добавились.

Считайте, что мы не желаем костылями подпирать каждый новый вариант буткита. Вы то, как говорят, тоже, то ловите, то не ловите, то снимаете, то не снимаете и т.д

Ну, во-первых, снимаем и ловим. Новая версия буткита заточена специально против наших техник, потому и не ловили. Во-вторых, активное заражение лечить не надо - согласен. IPO, 8ка оно главнее... А юзеры подождут им невпервой.

а так - AVZ тоже наш продукт, если кто забыл вдруг.

Он нифига не умеет. Видит только. Кстати его "надуть" также не проблема. Так что AVZ как собака - все понимает, только сделать ничего не может.

Если честно, нас сейчас гораздо больше волнуют проблемы с совсем другими малварами, которые распространены гораздо сильней, чем буткит. И которые одинаковы проблемны как для нас, так и для вас. На буткит юзеры не жалуются, а вот на это ...

На буткит юзеры не жалуются, сидят себе в зомби-ботнете, не видят нифига. Статистика у вас есть по заражениям? Откуда, если вы не ловите?

Про руткиты, которые не дают поставиться/обновиться продуктам согласен, это большая проблема, но они тоже не сильно распространены. Но думать надо, тут я +1.

о, я вижу у Вас к ЛК чувства

Просто некоторые любят поиграть в "руссиш партизанен", пора переводить жж во friends-only.

Кстати, Иван, могли бы запикать чтоли словечки, мне пофиг, но это ж Вы цитируете.

[Иван 290]

Кстати, Иван, могли бы запикать чтоли словечки, мне пофиг, но это ж Вы цитируете.

а мне тем более пофиг, не я же писал

пора переводить жж во friends-only

я кстати искал не жж, а инфу по новому буткиту, ктож виновать, что поисковики проиндексировали

[A. 875]

Этот ваш BSOD'о-генератор обходится двумя пальцами об асфальт, странно что автор еще этого не сделал.

Факт остается фактом. Не обходит. Мы должны биться головой об стену и рыдать, умоляя "ну пожалуйста поимейте и нас пожалуйста так же как веба" ?

Может быть ему пофиг? Зато не пофиг как мы снимаем хуки и как GMER видит MBR... Насчет сигнатур - возможно, некоторые ранние версии. Те сэмплы, которые были у нас изначально виделись вами в количестве штуки 2 из 25, со временем правда они добавились.

Слушай, ну врать то зачем ? Не я ли лично тебе лично писал в приват вопросы - какого хрена ВЫ не детектите (просто сигнатурами) КУЧУ дропперов буткита ? Или мне приснилось и этого не было ?

+ Информация с вашего же сайта гласит, что детектирование _какого-то_ Maosboot было вами добавлено 29 декабря.

Вторая itw-вспышка была 22-го. Чем тут понтоваться, не понимаю ...

Ну, во-первых, снимаем и ловим. Новая версия буткита заточена специально против наших техник, потому и не ловили.

Тебе про это говорили еще месяц назад. Ты не верил. Ткнули носом в сампл - тогда да, прозрел.

Можешь конечно утверждать, что теперь вы ловите все 100% существующих вариантов буткита, но мне эти утверждения - не интересны

Во-вторых, активное заражение лечить не надо - согласен. IPO, 8ка оно главнее... А юзеры подождут им невпервой.

...

На буткит юзеры не жалуются, сидят себе в зомби-ботнете, не видят нифига. Статистика у вас есть по заражениям? Откуда, если вы не ловите?

Тут вот как-то Гладких крикнул радостно, что буткит стал ловиться у юзеров Корбины. Ну я посмотрел. Там - на stat.drweb.com

Так я так и не нашел его в первой 1000 - ни за два месяца, ни за один день - вообще никак и нигде. До сих пор не понимаю - что ж это было ? Покажи мне хоть какую-то статистику, где видно что вы хоть у кого-то буткит продетектили ?

про ботнет жесть ... без комментариев, пожалуй.

Слав, ну чего ты тут пальцы гнешь ? мне правда не понятно.

Ну сделал ты детектирование очередной версии буткита - сам же знаешь что завтра же появится очередной, который точно так же вас обломает. Костыли это все и попытки потешить свое самолюбие. Прекрасно ведь осознаешь, что спасет только отдельная тулза, которая может фалсить, ронять все в синьку, хукать как попало и выжигать направо и налево. Еще 2-3 новых варианта буткита - и тебе уже никто не позволит добавлять ЭТО в ПРОДУКТ.

Я считаю что это мартышкин труд и загон самих себя в угол. Изначально надо идти совсем другим путем. Мы собираемся идти.

Кто окажется прав - покажет будущее.

Пока по факту на сегодня - ты молодец. Даже если это ничего в масштабах вселенной не меняет

[sww 486]

Факт остается фактом. Не обходит. Мы должны биться головой об стену и рыдать, умоляя "ну пожалуйста поимейте и нас пожалуйста так же как веба" ?

Да уж, вас очень страшно иметь, вы падаете в синьку если что не так

Слушай, ну врать то зачем ? Не я ли лично тебе лично писал в приват вопросы - какого хрена ВЫ не детектите (просто сигнатурами) КУЧУ дропперов буткита ? Или мне приснилось и этого не было ?

Из этих сэмплов вы детектили 2-3, как я и говорил. Где тут вранье? Пришлось писать универсальный скрипт для пакера, а не долбить как ваши дятлы под именем "синовал", потому сразу и не добавили. Вообще, еще заодно и анализ надо провести, чтобы придумать полноценное лечение.

Тут вот как-то Гладких крикнул радостно, что буткит стал ловиться у юзеров Корбины. Ну я посмотрел. Там - на stat.drweb.com

Так я так и не нашел его в первой 1000 - ни за два месяца, ни за один день - вообще никак и нигде. До сих пор не понимаю - что ж это было ? Покажи мне хоть какую-то статистику, где видно что вы хоть у кого-то буткит продетектили ?

На той же Корбине были прецеденты, видел лог. Понятия не имею почему их нет на stat.drweb.com. Кстати, для меня Корбина вообще никакой показатель, не так много народу в масштабе вселенной.

Слав, ну чего ты тут пальцы гнешь ? мне правда не понятно.

Ну сделал ты детектирование очередной версии буткита - сам же знаешь что завтра же появится очередной, который точно так же вас обломает. Костыли это все и попытки потешить свое самолюбие. Прекрасно ведь осознаешь, что спасет только отдельная тулза, которая может фалсит, ронять все в синьку, хукать как попало и выжигать направо и налево. Еще 2-3 новых варианта буткита - и тебе уже никто не позволит добавлять ЭТО в ПРОДУКТ.

А вот это мы посмотрим.

Неужели кто-то думает, что ваш ТЕКУЩИЙ "проактивный" подход что-то изменит? Имхо, менять надо то, что скрывается под понятием "проактивная защита", иначе это ТЕ ЖЕ костыли, только в профиль.

Ну и хотя бы на текущий момент все знают кто молодец

[Иван 290]

На той же Корбине были прецеденты, видел лог. Понятия не имею почему их нет на stat.drweb.com. Кстати, для меня Корбина вообще никакой показатель, не так много народу в масштабе вселенной.

stat.drweb.com это разве не есть то, что вы нашли во всей вселенной?

кстати причем здесь не так много народу, Корбина это выборка, причем вполне нормальная по объему

я запросил топ 2000 за последний месяц, последний высветился - Trojan.MulDrop.7065, который вам повстречался 32 раза - 0% от общего числа

ни MaosBoot, ни Trojan.Packed.278 в этом топе не присутсвуют

[sww 486]

RussoTuristo - Виталя, почему ты не хочешь напиццо яду и купив сапоги-скороходы убить себя об ближайшую стену?

[Иван 290]

А лудщее лечение это Complete PC которое кстати форматирует и делит диски и за 15 мин вы снова работаете на новенькой,настроеной Висте,а от кражи есть 2 вида шифрования!

Виталь ну скока можно?

[A. 875]

Да уж, вас очень страшно иметь, вы падаете в синьку если что не так

какой-то пионерский бред пошел...

Из этих сэмплов вы детектили 2-3, как я и говорил. Где тут вранье? Пришлось писать универсальный скрипт для пакера, а не долбить как ваши дятлы под именем "синовал", потому сразу и не добавили. Вообще, еще заодно и анализ надо провести, чтобы придумать полноценное лечение.

На начало января в природе существовало ~8 вариантов Синовала. Ни один из них вами не детектировался. Нами детектировался. Мое изумление было настолько велико, что я написал о нем тебе. Ты сказал "хз, посмотрю, но там не все из math16.. math25 -буткиты". Теперь значит их уже стало 25 и вам значит пришлось писать скрипт для пакера ... ???

который на самом деле не пакер, а обфускатор и до синовала был использован в целой куче всякой другой малвары и известен антивирусным компаниям минимум с начала 2007 года...

Анализ провели ? придумали ? А то что буткит может спасти только себя самого, а БЭКДОР, ради которого он собственно в систему и ставится - оставляет незащищенным и выносимым на раз-два - не заметили ?

Кто ботнет-то организует ?

На той же Корбине были прецеденты, видел лог. Понятия не имею почему их нет на stat.drweb.com. Кстати, для меня Корбина вообще никакой показатель, не так много народу в масштабе вселенной.

Понятно. Как всегда - статистики нет.

Может очередной "крупный иностранный клиент с сетью на пять тысяч машин", на деле оказывающийся вьетнамской поликлиникой ?

Неужели кто-то думает, что ваш ТЕКУЩИЙ "проактивный" подход что-то изменит? Имхо, менять надо то, что скрывается под понятием "проактивная защита", иначе это ТЕ ЖЕ костыли, только в профиль.

Ты не в теме, поэтому обсуждать тут нечего.

Ну и хотя бы на текущий момент все знают кто молодец

А с чем тут спорить ?

Ты молодец, что смог решить конкретную проблему, возникшую у пользователей вашего продукта, из-за того что ваш продукт не смог остановить заражение, пропустил, допустил, был обойден. Пострадавшие теперь могут вылечиться. Спустя месяц.

Мы молодцы, что изначально не допустили заражений наших клиентов и сейчас спокойно решаем более глобальные проблемы, чем изготовление костылей.

Все довольны.

[sww 486]

stat.drweb.com это разве не есть то, что вы нашли во всей вселенной?

Честно скажу - я не знаю как работает эта статистика

Есть проблема - буткит распространяется через эксплоиты, а не через спам рассылку (что такое "файлы" в выборе фильтра я не знаю

кстати причем здесь не так много народу, Корбина это выборка, причем вполне нормальная по объему

Ну, возможно, однако я видел лог лечения с Корбины. Был MaosBoot. Не все, кстати, запускают сканер так часто как надо.

я запросил топ 2000 за последний месяц, последний высветился - Trojan.MulDrop.7065, который вам повстречался 32 раза - 0% от общего числа

ни MaosBoot, ни Trojan.Packed.278 в этом топе не присутсвуют

Номера .Packed'ов меняются, добавляем новые модификации. На память я их сейчас не вспомню.

[sww 486]

На начало января в природе существовало ~8 вариантов Синовала. Ни один из них вами не детектировался. Нами детектировался. Мое изумление было настолько велико, что я написал о нем тебе. Ты сказал "хз, посмотрю, но там не все из math16.. math25 -буткиты".

Так и было, не все из них буткиты, не все подменяют MBR. Они известны под именем Trojan.PWS.Snap

Теперь значит их уже стало 25 и вам значит пришлось писать скрипт для пакера ... ???

который на самом деле не пакер, а обфускатор и до синовала был использован в целой куче всякой другой малвары и известен антивирусным компаниям минимум с начала 2007 года...

Их больше чем 25, на тот момент у меня было 25 конкретных, НОВЫХ, сэмплов. Проще написать скрипт, чем добавлять так.

Понятно. Как всегда - статистики нет.

Это, кстати, и не мои заботы.

Ты не в теме, поэтому обсуждать тут нечего.

Черт, а мне казалось я вляпался в вашу тему

Я то как раз в теме...

А с чем тут спорить ?

Ты молодец, что смог решить конкретную проблему, возникшую у пользователей вашего продукта, из-за того что ваш продукт не смог остановить заражение, пропустил, допустил, был обойден. Пострадавшие теперь могут вылечиться. Спустя месяц.

Мы молодцы, что изначально не допустили заражений наших клиентов и сейчас спокойно решаем более глобальные проблемы, чем изготовление костылей.

Все довольны.

Есть еще группа пользователей которая вообще не пользуется нашими/вашими продуктами, с ними как быть? Плевать? Типа не наши, ну и хрен с вами. Есть те, кто вообще не пользуется антивирусом постоянно. С ними также? Не допустить - это хорошо, но вылечить когда уже жопа - это лучше.

[A. 875]

Так и было, не все из них буткиты, не все подменяют MBR. Они известны под именем Trojan.PWS.Snap

Их больше чем 25, на тот момент у меня было 25 конкретных, НОВЫХ, сэмплов. Проще написать скрипт, чем добавлять так.

О чем споришь тогда ? Я тебе русским языком вроде бы говорю - в момент активного itw-распространения буткита - ВЫ ИХ НЕ ДЕТЕКТИЛИ. Я то думал у вас самплов не было, а выходит что были, да вы "скрипт писали" ...

Это, кстати, и не мои заботы.

Тогда не хотелось бы впредь слышать каких-либо ссылок на некие статические данные и утверждений, подобных этому:

"На буткит юзеры не жалуются, сидят себе в зомби-ботнете, не видят нифига. Статистика у вас есть по заражениям? Откуда, если вы не ловите?"

Есть чем подтвердить свои заявы - подтверждай. Нет - значит нет.

Есть еще группа пользователей которая вообще не пользуется нашими/вашими продуктами, с ними как быть? Плевать? Типа не наши, ну и хрен с вами. Есть те, кто вообще не пользуется антивирусом постоянно. С ними также? Не допустить - это хорошо, но вылечить когда уже жопа - это лучше.

Это риторический вопрос. Для того чтобы человек вдруг решил поставить ваш продукт и вылечить буткита - ему бы надо для начала как-то заподозрить его. Каким образом Вася Пупкин, юзер Нода, зараженный буткитом - вдруг решит поставить дрвеб - я не знаю.

Каким образом вообще заставить пользователей "слабых" антивирусов - взять и поставить себе что-то помощней и выловить наконец-то десятки троянов на своих тачках ? Не только буткита. Вообще чего угодно.

Как ?

Неужели наличие у Дрвеб лечения для маосбут - отвечает на этот вопрос и снимает проблему ?

да ну блин, лол.

Ты еще вспомни "Rustock.c" - который где-то живет, а его никто не видит и видеть не может

[sww 486]

О чем споришь тогда ? Я тебе русским языком вроде бы говорю - в момент активного itw-распространения буткита - ВЫ ИХ НЕ ДЕТЕКТИЛИ. Я то думал у вас самплов не было, а выходит что были, да вы "скрипт писали" ...

Они появились двумя днями раньше у меня, потому и не детектили. Не на все есть время сразу.

Тогда не хотелось бы впредь слышать каких-либо ссылок на некие статические данные и утверждений, подобных этому:

"На буткит юзеры не жалуются, сидят себе в зомби-ботнете, не видят нифига. Статистика у вас есть по заражениям? Откуда, если вы не ловите?"

Есть чем подтвердить свои заявы - подтверждай. Нет - значит нет.

Это была ирония на фразу ниже, если непонятно сразу.

Если честно, нас сейчас гораздо больше волнуют проблемы с совсем другими малварами, которые распространены гораздо сильней, чем буткит.

ОТКУДА У ВАС СТАТИСТИКА? Мне еще раз повторить? С чего вдруг ты решил, что буткита меньше чем тех, кто не дает ставится AV?

Я уверен, что существует не один ботнет (по косвенным признакам). Они работают (проверяно), активно обновляются (проверяно), ставят трояны ворующие банковскую инфу (проверяно). Нахрен автору плодить такой сложный код и заразить всего-лишь 100 компьютеров? От нефиг делать? Это уже давно не PoC, а работающая версия.

Это риторический вопрос. Для того чтобы человек вдруг решил поставить ваш продукт и вылечить буткита - ему бы надо для начала как-то заподозрить его. Каким образом Вася Пупкин, юзер Нода, зараженный буткитом - вдруг решит поставить дрвеб - я не знаю.

Каким образом вообще заставить пользователей "слабых" антивирусов - взять и поставить себе что-то помощней и выловить наконец-то десятки троянов на своих тачках ? Не только буткита. Вообще чего угодно.

Как ?

Не обязательно ставить Dr.Web, есть CureIt. Его активно пользуют юзеры других антивирусов или те, кто вообще не использует антивирусы.

Неужели наличие у Дрвеб лечения для маосбут - отвечает на этот вопрос и снимает проблему ?

да ну блин, лол.

Причем тут конкретный maosboot? Я вообще про активное заражение говорю. Это в любом случае не снимает проблемы лечения или проблемы заражения пользователей, которые не используют антивирус.

Ты еще вспомни "Rustock.c" - который где-то живет, а его никто не видит и видеть не может

Фтопку русток.цэ, сдается мне, что его уже все видят и лечат, и причем давно, а слушок так пущен, по ветру.

[Иван 290]

sww, кстати неплохая схема пиара. получаете сампл, месяц другой ничего с ним сделать не можете, потом удается расковырять, лечилка выходит в стадию беты...и тут крик в рунете: "Появился новый буткит, а мы уже буквально на днях выпустим лечение!"

Удобно, практично, я, который далек от прикладной вирусологи, сразу повелся, думал тока обнаружили новый экземпляр - Доктор уже на страже. Оказалось на страже, но не уже и не сразу, самплы новые известны уже давно.

в принципе здорово, что Доктор наконец стал заниматься пиаром, интересно что начали это делать вирусные аналитики - видимо устали бороться с собственным отделом маркетинга и начали пиарить сами.

Кстати офтоп: зачем вы распрощались с Горшковой? она была вполне вменяемой пиарщицой...

[sww 486]

sww, кстати неплохая схема пиара. получаете сампл, месяц другой ничего с ним сделать не можете, потом удается расковырять, лечилка выходит в стадию беты...и тут крик в рунете: "Появился новый буткит, а мы уже буквально на днях выпустим лечение!"

Удобно, практично, я, который далек от прикладной вирусологи, сразу повелся, думал тока обнаружили новый экземпляр - Доктор уже на страже. Оказалось на страже, но не уже и не сразу, самплы новые известны уже давно.

Иван, зря вы утрируете . Во-первых, еще раз повторюсь, да сэмплы были добавлены не сразу, прошло 2 дня. Лечение добавить - это вам не мешок картошки из вагона выгрузить: надо дописать шилд, встроить его в сканер, оттестировать, прогнать бету, выпустить фикс и со всем этим связаны разные другие вещи. И я рассказал о том, что мы его лечим сразу перед выходом в бету. Согласитесь, тут можно по-разному смотреть на временные промежутки.

в принципе здорово, что Доктор наконец стал заниматься пиаром, интересно что начали это делать вирусные аналитики - видимо устали бороться с собственным отделом маркетинга и начали пиарить сами.

Кстати офтоп: зачем вы распрощались с Горшковой? она была вполне вменяемой пиарщицой...

Тут я высказываю лишь свое мнение, оно может не совпадать со мнением компании/руководства и/или пиар-отдела.

Про оффтоп я ничего не знаю, не знаком с ситуацией.

P.S. На общую мысль поста я могу ответить так: Аналитики - люди, а не дятлы

[Иван 290]

Иван, зря вы утрируете . Во-первых, еще раз повторюсь, да сэмплы были добавлены не сразу, прошло 2 дня. Лечение добавить - это вам не мешок картошки из вагона выгрузить: надо дописать шилд, встроить его в сканер, оттестировать, прогнать бету, выпустить фикс и со всем этим связаны разные другие вещи. И я рассказал о том, что мы его лечим сразу перед выходом в бету. Согласитесь, тут можно по-разному смотреть на временные промежутки.

из постов А.следует, что с момента появления нового буткита до вашего заявления прошло не 2 дня, а как минимум месяц. То что у вас лично эти самплы появились недавно ... это другой вопрос

[A. 875]

из постов А.следует, что с момента появления нового буткита до вашего заявления прошло не 2 дня, а как минимум месяц. То что у вас лично эти самплы появились недавно ... это другой вопрос

Уточняю. Пойнтов два.

1. itw-самплы буткита от 22 декабря - не обнаруживались DrWeb по состоянию на 8 января.

2. Еще месяц назад было известно о существовании модификаций буткита, которые DrWeb не ловил существовавшим у них на тот момент фиксом для первого буткита. Являются ли _те_ модификации - тем самым "новым" буткитом, с которого этот топик снова ожил - я не знаю. Могу только строить предположения. Для _меня_ они достаточно очевидны.

[A. 875]

31 марта 2008 года

Компания «Доктор Веб» объявила о выпуске обновленного антивирусного сканера Dr.Web для Windows NT/2000/XP/Vista, который распознает и лечит новую версию вируса BackDoor.MaosBoot. До сих пор было невозможно лечение антивирусными программами компьютера, пораженного данным вирусом. C выходом обновленного антируткит-драйвера Dr.Web Shield™, входящего в состав сканера, продукт Dr.Web стал первым антивирусом, который гарантирует лечение новой версии BackDoor.MaosBoot.

бла бла бла

кхм.

а вы уверены в том, что пишите?

[Иван 290]

а в чем проблема?

отмечу, что с точки зрения яркости текста новости они выросли с прошлого буткита

[sww 486]

31 марта 2008 года

...

кхм.

а вы уверены в том, что пишите?

А вы уже "захучили всю плонеду"? Тогда продолжайте в том же духе

[A. 875]

А вы уже "захучили всю плонеду"? Тогда продолжайте в том же духе

Спрашиваю еще раз, более адекватных людей из DrWeb - вы уверены в том что написали ?

[Valery Ledovskoy 1082]

Спрашиваю еще раз, более адекватных людей из DrWeb - вы уверены в том что написали ?

Снова Вы в своей манере. Эксперт по нагнетанию обстановки

Александр, тех людей, что это писали, нет на АМ Если у Вас есть опровержение - публикуйте или давайте ссылку. Я передам ответственным.