Перейти к содержанию
AM_Bot

«Доктор Веб» защищает от AutoIt-червей

Recommended Posts

AM_Bot

Компания «Доктор Веб» сообщает о значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства (USB Flash Drive, CD/DVD, внешние жесткие диски и др.). Данные вредоносные объекты созданы на языке программирования AutoIt. При этом применяются методы запутывания кода скриптов при сохранении их функциональности для усложнения анализа.читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Компания «Доктор Веб» рекомендует пользователям Windows отключить функцию автозапуска съемных устройств (USB Flash Drive, CD/DVD, внешние жесткие диски и др.), что существенно снизит вероятность заражения вредоносным кодом.

К сожалению статья не описывает как это сделать. Дело в том, что традиционные методы (политики Майкрософта) обходятся легко. Но надежда есть. Читаем здесь: Борьба с автозапуском новыми методами

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""

Объяснение параметров 3 и 4:

3)

@="@SYS:DoesNotExist"

Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

4)

*.*

(так как в 'CancelAutoplay' указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
К сожалению статья не описывает как это сделать.

Не статья, а новость. Не в общем про авторанеры, а про те, что на AutoIt писаны. У новостей есть свой формат, и если начинать описывать в них технические подробности, то читать не будет никто. А за нагугленное спасибо ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Не в общем про авторанеры, а про те, что на AutoIt писаны.

Знаю, Валерий. Мне просто казалось, что дополнение - уместно. Это никак не уменьшает значение главной мысли новости. :)

А за нагугленное спасибо ;)

Долго гуглить не пришлось; p2u = XP user... ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Долго гуглить не пришлось; p2u = XP user...

И подпись та же - Paul.

:) Где ещё найдёшь такую...

Valery Ledovskoy

А будет ли у нового Dr.Web возможность исправить реестр одним кликом по функциям:

"Запретить автозагрузку (автозапуск) со сменных (съёмных) носителей"

"Запретить автозагрузку (автозапуск) с жёстких носителей (дисков)"

"Запретить автозагрузку (автозапуск) с сетевых носителей (дисков)" ?

Чтобы чётко - раз и запретил! - раз и навсегда (до переустановки ОС).

Можно же взять за основу метод Паула, если он не будет против.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
А будет ли у нового Dr.Web возможность исправить реестр одним кликом по функциям:

"Запретить автозагрузку (автозапуск) со сменных (съёмных) носителей"

"Запретить автозагрузку (автозапуск) с жёстких носителей (дисков)"

"Запретить автозагрузку (автозапуск) с сетевых носителей (дисков)" ?

Нет, такое не планируется. Наверное, считается, что Dr.Web - это антивирус, но не твикер :)

Хотя можно написать предложение по этому поводу разработчикам в багтрекере: http://bugs.drweb.com .

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Можно же взять за основу метод Паула, если он не будет против.

Да, да или метод dr_dizel'я.

На багтрекере посмотрел - мороки много. И требуются только ошибки, а не предложения.

А наше дело - предложить, а не отрапортовать. :)

считается, что Dr.Web - это антивирус, но не твикер

Твикер безопасности от Dr.Web - Звучит!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
На багтрекере посмотрел - мороки много. И требуются только ошибки, а не предложения.

Мороки оформить на багтрекере куда меньше, чем обсуждать впустую. Предложения там тоже есть. Называются Feature Requests.

Твикер безопасности от Dr.Web - Звучит!

Звучит много что. Но нужно ещё обосновать и реализовать. И обосновать тем, кто может это сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Feature Requests

Всё облазил - не нашёл. Нужна ссылка. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n
Всё облазил - не нашёл

"Report Bug" > в поле "Category" выбрать "Feature Requests"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Благодарю. Общими силами...

Оказалось надо так:

1) Логинизация на [http://bugs.drweb.com/login_page.php] - это само собой, разумеется.

2) Потом на странице "Dr.Web ® Bug Tracker - All Projects" последовательно выбрать:

BUG Tracker (нажать Select Project) => Category (выдвинуть Feature Request).

И заполнить форму для отправки. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×