Перейти к содержанию
AM_Bot

«Доктор Веб» защищает от AutoIt-червей

Recommended Posts

AM_Bot

Компания «Доктор Веб» сообщает о значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства (USB Flash Drive, CD/DVD, внешние жесткие диски и др.). Данные вредоносные объекты созданы на языке программирования AutoIt. При этом применяются методы запутывания кода скриптов при сохранении их функциональности для усложнения анализа.читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Компания «Доктор Веб» рекомендует пользователям Windows отключить функцию автозапуска съемных устройств (USB Flash Drive, CD/DVD, внешние жесткие диски и др.), что существенно снизит вероятность заражения вредоносным кодом.

К сожалению статья не описывает как это сделать. Дело в том, что традиционные методы (политики Майкрософта) обходятся легко. Но надежда есть. Читаем здесь: Борьба с автозапуском новыми методами

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""

Объяснение параметров 3 и 4:

3)

@="@SYS:DoesNotExist"

Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

4)

*.*

(так как в 'CancelAutoplay' указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
К сожалению статья не описывает как это сделать.

Не статья, а новость. Не в общем про авторанеры, а про те, что на AutoIt писаны. У новостей есть свой формат, и если начинать описывать в них технические подробности, то читать не будет никто. А за нагугленное спасибо ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Не в общем про авторанеры, а про те, что на AutoIt писаны.

Знаю, Валерий. Мне просто казалось, что дополнение - уместно. Это никак не уменьшает значение главной мысли новости. :)

А за нагугленное спасибо ;)

Долго гуглить не пришлось; p2u = XP user... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Долго гуглить не пришлось; p2u = XP user...

И подпись та же - Paul.

:) Где ещё найдёшь такую...

Valery Ledovskoy

А будет ли у нового Dr.Web возможность исправить реестр одним кликом по функциям:

"Запретить автозагрузку (автозапуск) со сменных (съёмных) носителей"

"Запретить автозагрузку (автозапуск) с жёстких носителей (дисков)"

"Запретить автозагрузку (автозапуск) с сетевых носителей (дисков)" ?

Чтобы чётко - раз и запретил! - раз и навсегда (до переустановки ОС).

Можно же взять за основу метод Паула, если он не будет против.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А будет ли у нового Dr.Web возможность исправить реестр одним кликом по функциям:

"Запретить автозагрузку (автозапуск) со сменных (съёмных) носителей"

"Запретить автозагрузку (автозапуск) с жёстких носителей (дисков)"

"Запретить автозагрузку (автозапуск) с сетевых носителей (дисков)" ?

Нет, такое не планируется. Наверное, считается, что Dr.Web - это антивирус, но не твикер :)

Хотя можно написать предложение по этому поводу разработчикам в багтрекере: http://bugs.drweb.com .

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Можно же взять за основу метод Паула, если он не будет против.

Да, да или метод dr_dizel'я.

На багтрекере посмотрел - мороки много. И требуются только ошибки, а не предложения.

А наше дело - предложить, а не отрапортовать. :)

считается, что Dr.Web - это антивирус, но не твикер

Твикер безопасности от Dr.Web - Звучит!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
На багтрекере посмотрел - мороки много. И требуются только ошибки, а не предложения.

Мороки оформить на багтрекере куда меньше, чем обсуждать впустую. Предложения там тоже есть. Называются Feature Requests.

Твикер безопасности от Dr.Web - Звучит!

Звучит много что. Но нужно ещё обосновать и реализовать. И обосновать тем, кто может это сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Feature Requests

Всё облазил - не нашёл. Нужна ссылка. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n
Всё облазил - не нашёл

"Report Bug" > в поле "Category" выбрать "Feature Requests"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Благодарю. Общими силами...

Оказалось надо так:

1) Логинизация на [http://bugs.drweb.com/login_page.php] - это само собой, разумеется.

2) Потом на странице "Dr.Web ® Bug Tracker - All Projects" последовательно выбрать:

BUG Tracker (нажать Select Project) => Category (выдвинуть Feature Request).

И заполнить форму для отправки. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      ---------------------------------------------------------
       4.11.9
      ---------------------------------------------------------
       o Твик #39 теперь дополнительно включает отслеживание командных строк завершенных процессов, командные строки отображаются в окне информации.
         Только для Windows 8.1/Windows Server 2012 R2 и старше.  o WLBSCTRL.DLL теперь автоматически получает статус подозрительного файла.  o В окне информации сетевого адаптера (в разделе DNS) теперь отображается поле DHCP Domain при его наличии.  
    • PR55.RP55
      https://habr.com/ru/post/214953/ На подобное событие антивирус также может реагировать - если сервер будет в чёрном списке. Да и уязвимости...  
    • demkd
      а вот это странно, надо будет почитать может еще что-то отключать надо
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions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hcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
×