«Доктор Веб» защищает от AutoIt-червей - Dr.Web - антивирусная защита для дома и офиса - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

«Доктор Веб» защищает от AutoIt-червей

Автор AM_Bot, в Dr.Web - антивирусная защита для дома и офиса

Recommended Posts

AM_Bot    48

AM_Bot
Опубликовано

Компания «Доктор Веб» сообщает о значительном увеличении потока новых вирусов, для распространения которых используются съемные устройства (USB Flash Drive, CD/DVD, внешние жесткие диски и др.). Данные вредоносные объекты созданы на языке программирования AutoIt. При этом применяются методы запутывания кода скриптов при сохранении их функциональности для усложнения анализа.читать дальше

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

p2u    824

p2u
Опубликовано
Компания «Доктор Веб» рекомендует пользователям Windows отключить функцию автозапуска съемных устройств (USB Flash Drive, CD/DVD, внешние жесткие диски и др.), что существенно снизит вероятность заражения вредоносным кодом.

К сожалению статья не описывает как это сделать. Дело в том, что традиционные методы (политики Майкрософта) обходятся легко. Но надежда есть. Читаем здесь: Борьба с автозапуском новыми методами

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""

Объяснение параметров 3 и 4:

3)

@="@SYS:DoesNotExist"

Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются.

4)

*.*

(так как в 'CancelAutoplay' указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ 'АВТО-ЗАПУСКАТЬСЯ', мы поставим *.* - это значит 'любой').

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
К сожалению статья не описывает как это сделать.

Не статья, а новость. Не в общем про авторанеры, а про те, что на AutoIt писаны. У новостей есть свой формат, и если начинать описывать в них технические подробности, то читать не будет никто. А за нагугленное спасибо ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

p2u    824

p2u
Опубликовано
Не в общем про авторанеры, а про те, что на AutoIt писаны.

Знаю, Валерий. Мне просто казалось, что дополнение - уместно. Это никак не уменьшает значение главной мысли новости. :)

А за нагугленное спасибо ;)

Долго гуглить не пришлось; p2u = XP user... ;)

Paul

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
Долго гуглить не пришлось; p2u = XP user...

И подпись та же - Paul.

:) Где ещё найдёшь такую...

Valery Ledovskoy

А будет ли у нового Dr.Web возможность исправить реестр одним кликом по функциям:

"Запретить автозагрузку (автозапуск) со сменных (съёмных) носителей"

"Запретить автозагрузку (автозапуск) с жёстких носителей (дисков)"

"Запретить автозагрузку (автозапуск) с сетевых носителей (дисков)" ?

Чтобы чётко - раз и запретил! - раз и навсегда (до переустановки ОС).

Можно же взять за основу метод Паула, если он не будет против.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
А будет ли у нового Dr.Web возможность исправить реестр одним кликом по функциям:

"Запретить автозагрузку (автозапуск) со сменных (съёмных) носителей"

"Запретить автозагрузку (автозапуск) с жёстких носителей (дисков)"

"Запретить автозагрузку (автозапуск) с сетевых носителей (дисков)" ?

Нет, такое не планируется. Наверное, считается, что Dr.Web - это антивирус, но не твикер :)

Хотя можно написать предложение по этому поводу разработчикам в багтрекере: http://bugs.drweb.com .

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
Можно же взять за основу метод Паула, если он не будет против.

Да, да или метод dr_dizel'я.

На багтрекере посмотрел - мороки много. И требуются только ошибки, а не предложения.

А наше дело - предложить, а не отрапортовать. :)

считается, что Dr.Web - это антивирус, но не твикер

Твикер безопасности от Dr.Web - Звучит!

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Valery Ledovskoy    1082

Valery Ledovskoy
Опубликовано
На багтрекере посмотрел - мороки много. И требуются только ошибки, а не предложения.

Мороки оформить на багтрекере куда меньше, чем обсуждать впустую. Предложения там тоже есть. Называются Feature Requests.

Твикер безопасности от Dr.Web - Звучит!

Звучит много что. Но нужно ещё обосновать и реализовать. И обосновать тем, кто может это сделать.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
Feature Requests

Всё облазил - не нашёл. Нужна ссылка. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

georgy_n    80

georgy_n
Опубликовано
Всё облазил - не нашёл

"Report Bug" > в поле "Category" выбрать "Feature Requests"

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано

Благодарю. Общими силами...

Оказалось надо так:

1) Логинизация на [http://bugs.drweb.com/login_page.php] - это само собой, разумеется.

2) Потом на странице "Dr.Web ® Bug Tracker - All Projects" последовательно выбрать:

BUG Tracker (нажать Select Project) => Category (выдвинуть Feature Request).

И заполнить форму для отправки. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Dr.Web - антивирусная защита для дома и офиса

  • Сообщения

    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Не увидел твое сообщение во время, а исправление до *.14 как раз было бы во время для решения проблемы с  dialersvc.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Небольшое исправление, следующее обновление будет чисто интерфейсным и можно будет выпускать v5.0 ---------------------------------------------------------
       4.99.14
      ---------------------------------------------------------
       o Исправлена ошибка при подключении к удаленному компьютеру с Win11:
         в удаленную систему не передавалась база известных файлов.

       o Функция защиты от внедрения потоков работала неправильно если параметр bFixedName не был указан
         в settings.ini или он был равен 0.
       
    • Ego Dekker
      Актуальные версии антивируса 18-го поколения

      От Ego Dekker · Опубликовано

      Домашние антивирусы для Windows были обновлены до версии 18.1.13.
×