Перейти к содержанию
Михаил Кондрашин

Механизмы удаление последствий заражения

Recommended Posts

Михаил Кондрашин
Например в Trend Micro функция полной вычистки (именно полной, то есть то что у того же Symantec всегда присутствует в виде отдельных утилит: с остановкой процессов, очисткой реестра, раскодированием файлов и т.д.) вынесена вообще в отдельный процесс, который запускается через определенные интервалы времени и никаких тормозов при этом не происходит и на машине со 128 Мб можно неплохо работать.

Уточняю. Упомянутый DCS может стартовать в большем количестве ситуаций:

1. При старте системы;

2. После обновления одной из его компонент (движок или база);

3. При обнаружении вируса Real-time монитором, для которого есть шаблон для очистки в DCS; (Это может тормозить сканирование коллекции новых вирусов, но это пример очень неудачного теста на производительность).

4. По расписанию (в OfficeScan)

5. По расписанию с сервера DCS (в этом случае на рабочей станции может стоять другой антивирус)

6. С сервера DCS, если с рабочей станции пойдет сетевой червь, который увидит NEtwork VirusWall

7. С сервера DCS, если какой-нибудь spyware попытается через IntreScan WebSecurity Suite отправить что-то в Интернет.

8. Вручную пользователем из OfficeScan

9. Вручную, скачав tsc.exe и tsc.ptn с сайта Trend Micro

DCS грузит систему, но на практике это не ощущается. На картинке Task Manager. За время работы DCS есть два пика 100%. Первый 10 сек, второй 5. Для Pentium MXX с 64MB тормоза существенные --- после загрузки и вода пароля система "думает" больше минуты.

tm.JPG

post-14-1144918832.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Михаил Кондрашин

А в чем смысл картинки? Черный квадрат? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Орешин
А в чем смысл картинки? Черный квадрат?
DCS грузит систему, но на практике это не ощущается. На картинке Task Manager. За время работы DCS есть два пика 100%. Первый 10 сек, второй 5....

И Михаил, это проилюстрировал картинкой...Так что не внимательно прочитал ! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Михаил Кондрашин

А в чем смысл картинки? Черный квадрат? :lol:

Пользуйтесь firefox!!!

Этот png IE не хочет показывать. Сейчас перезалью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

2. После обновления одной из его компонент (движок или база);

3. При обнаружении вируса Real-time монитором, для которого есть шаблон для очистки в DCS;.

Это большая недоработка... суть в том что работает Это только с тем для чего лечение уже написали.

а каспера и симантека - лечение универсальное. убивается то что заражено и вычащаются ссылки на это

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
2. После обновления одной из его компонент (движок или база);

Только база.

Это только с тем для чего лечение уже написали.

А разве можно лечить последствия заражения, если ты не знаешь чем было заражено.

а каспера и симантека - лечение универсальное. убивается то что заражено и вычащаются ссылки на это

Это лечение самих зараженных файлов, но не последствий заражения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
Это только с тем для чего лечение уже написали.

А разве можно лечить последствия заражения, если ты не знаешь чем было заражено.

Естесно, мы знаем путь до зараженного файла, мы можем удались все ссылк на него.

а каспера и симантека - лечение универсальное. убивается то что заражено и вычащаются ссылки на это

Это лечение самих зараженных файлов, но не последствий заражения.

Нет, это мено зачистка реестра от ссылок на зараженный файл.

Но суть не в этом.. попробуйте грохнуть Spyware.Lock2Me DCSom и доложите о результатх Ж) Вы будете удивлены беспомощностью Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

TiX

Дай исходник, я тебе напишу процедуру удаления.. и чем это он так примечателен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Ishodnik Lock2Me? :) Ego net niukogo, krome sozdatela ;)

zaydi na themexp.org i ska4ay lubuyu temu :) L2M v komplekte idet ;))

i 4to ti hosh napisat? "proceduru dlja DCSa ili personalnuyu utilitu"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Но суть не в этом.. попробуйте грохнуть Spyware.Lock2Me DCSom и доложите о результатх Ж) Вы будете удивлены беспомощностью Ж)

Если он не справится, то все очень просто есть замечательная ссылка

http://ru.trendmicro-europe.com/enterprise...av_service.php/ где пишешь, что такой то вирус не удаляется или не вычищается. Они разбираются и предлагают решение, если проблема на многих компьютерах, то решение предлагается именно с точки зрения простоты распространения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker

TiX

Лично для тебя АЛГОРИТМ УДАЛЕНИЯ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
2. После обновления одной из его компонент (движок или база);

3. При обнаружении вируса Real-time монитором, для которого есть шаблон для очистки в DCS;.

Это большая недоработка... суть в том что работает Это только с тем для чего лечение уже написали.

а каспера и симантека - лечение универсальное. убивается то что заражено и вычащаются ссылки на это

Наоборот. Это у каспера и симантека немного доработали движок, чтобы справлялся с вирусом, если он в автозапуске (если способ автозапуска заранее известен разработчикам). DCS же может спарвиться с совсем нетривиальными ситуациями. Например перезапуститься сам после перезагрузки, удалить что-нибудь хитрое из памяти. Если завтра кто-нибудь придумает новый способ автозапуска от и с ним справится просто штатным обновлением --- без обновления продукта.

Лечит то про что знаем (как и у других), но только степеней свободы больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Не забывайте кстати, что например у того же Касперского, а также McAfee есть бесплатные утилиты и механизмы уделения последствий заражения в рамках корп. сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Не забывайте кстати, что например у того же Касперского, а также McAfee есть бесплатные утилиты и механизмы уделения последствий заражения в рамках корп. сети.

Совершенно верно. Есть разница в механизмах (автоматизации) доставки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Не забывайте кстати, что например у того же Касперского, а также McAfee есть бесплатные утилиты и механизмы уделения последствий заражения в рамках корп. сети.

Они есть и у Trend Micro, но вот именно в таком интегрированном виде как Damage Cleanup Service, существующий также в отдельном продукте и таким образом повышая отказоустойчивость системы АВ защиты, есть пожалуй только у Trend Micro.

http://www.anti-malware.ru/phpbb/viewtopic.php?t=647

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Но суть не в этом.. попробуйте грохнуть Spyware.Lock2Me DCSom и доложите о результатх Ж) Вы будете удивлены беспомощностью Ж)

В Касперском 6.0 есть технология лечения активного заражения. Насколько я понимаю, она не проактивна, т.е. она работает только с теми зловредами, которые известны. Но Lock2Me, например, вычищает целиком и полностью. Вообще, работа этой технологии солидно со стороны смотрится =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
TiX

Лично для тебя АЛГОРИТМ УДАЛЕНИЯ.

Для меня можеш только в виде эксперемента Ж) Ибо мне если надо я руками все что угодно задавлю ж) А вот юзверям пригодится.

Где взять я написал - на themexp.org качаеш любую тему ж) при запуске ексешника и лок2ме сядет Ж)

Добавлено спустя 2 минуты 54 секунды:

2. После обновления одной из его компонент (движок или база);

3. При обнаружении вируса Real-time монитором, для которого есть шаблон для очистки в DCS;.

Это большая недоработка... суть в том что работает Это только с тем для чего лечение уже написали.

а каспера и симантека - лечение универсальное. убивается то что заражено и вычащаются ссылки на это

Наоборот. Это у каспера и симантека немного доработали движок, чтобы справлялся с вирусом, если он в автозапуске (если способ автозапуска заранее известен разработчикам). DCS же может спарвиться с совсем нетривиальными ситуациями. Например перезапуститься сам после перезагрузки, удалить что-нибудь хитрое из памяти. Если завтра кто-нибудь придумает новый способ автозапуска от и с ним справится просто штатным обновлением --- без обновления продукта.

Лечит то про что знаем (как и у других), но только степеней свободы больше.

Перезагрузится и удалить из памяти - сбабось Ж) Надо так чтобы после перезагруски следов уже нубыло Ж) ибо если удалить то что в память заносит при первом проходе то после перезагруски в памяти уже ничего небудет Ж)

Если завтра кто-нибудь придумает новый способ автозапуска от и с ним справится просто штатным обновлением --- без обновления продукта.

Вы совершенно правы Ж) Вы думаете в каспе идиоты работают? Ж) база мест автозапуска обновляемая ж)

Добавлено спустя 3 минуты 44 секунды:

Не забывайте кстати, что например у того же Касперского, а также McAfee есть бесплатные утилиты и механизмы уделения последствий заражения в рамках корп. сети.

Они есть и у Trend Micro, но вот именно в таком интегрированном виде как Damage Cleanup Service, существующий также в отдельном продукте и таким образом повышая отказоустойчивость системы АВ защиты, есть пожалуй только у Trend Micro.

http://www.anti-malware.ru/phpbb/viewtopic.php?t=647

Отказо устойчивость = сопротивляемости вирусам = нулевая ж)

Если вирус попадет, то Тренд помрет и потеряет связь с сервером и удаленно уже ничего не поставиш Ж)

Как я уже говорил - WatchDog Process из рандомных букс - средство защиты 95 годов Ж) Это ламерский способ и он обходится очень просто Ж) (можно кстати еще и сложным методом пойти - написать синтаксический анализатор Ж))

Добавлено спустя 7 минут 28 секунд:

Но суть не в этом.. попробуйте грохнуть Spyware.Lock2Me DCSom и доложите о результатх Ж) Вы будете удивлены беспомощностью Ж)

В Касперском 6.0 есть технология лечения активного заражения. Насколько я понимаю, она не проактивна, т.е. она работает только с теми зловредами, которые известны. Но Lock2Me, например, вычищает целиком и полностью. Вообще, работа этой технологии солидно со стороны смотрится =)

Тут надо разделить "Известные зловреды" на 2 категории

1. Известна сигнатура на файл - вирус - зловред (случай каспа) - лечение уже выполняеца

2. Известна сигнатура на файл - вирус - зловред + ДЦС имеет сигнатуры лечения - (случай тренда)

Во втором случае имеет жостко ограниченное число вирусов поддающихся вычищению уз реестра.

Сейчас в ДЦС на сколько я помню около 500 сигнатур. Вирусов которые прописываются в стартап- около 100 000 Ж)

Это нащет "технология лечения активного заражения"

Нащет проактивного лечения - Проактивная защита ведет историю изменений в реестре и файлах. В случае обнаружения проактивной защитой подозрительного процесса и назатием юзверем Terminate (Process) появляется возможность откатить изменения (Rollback changes) что является проактивным лечением в вашем пинимании!?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Тут надо разделить "Известные зловреды" на 2 категории

1. Известна сигнатура на файл - вирус - зловред (случай каспа) - лечение уже выполняеца

2. Известна сигнатура на файл - вирус - зловред + ДЦС имеет сигнатуры лечения - (случай тренда)

Во втором случае имеет жостко ограниченное число вирусов поддающихся вычищению уз реестра.

Сейчас в ДЦС на сколько я помню около 500 сигнатур. Вирусов которые прописываются в стартап- около 100 000 Ж)

Это нащет "технология лечения активного заражения"

Нащет проактивного лечения - Проактивная защита ведет историю изменений в реестре и файлах. В случае обнаружения проактивной защитой подозрительного процесса и назатием юзверем Terminate (Process) появляется возможность откатить изменения (Rollback changes) что является проактивным лечением в вашем пинимании!?

А, так DCS тоже чисто по базам работает? Я просто думал, что там что-нибудь хитрое. Т.е. как проактивная защита Касперского с откатом (о которой ты написал), но способная находить ещё и все файлы зловреда. Т.е. как бы "лечение активного заражения" + "проактивная защита с откатом" в одном - убиваем даже новых сложных зловредов. В принципе, я слабо представляю, как это возможно, но почему-то из дискуссии понял, что это так =)) Но это я ошибся просто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Откат у проактивной защиты вычащает все файлы который создал подозретельный процесс - откат

Лечение активного заражиния вычащает из памяти и реестра только то что поймал сканнер.

В данном случает это лучше чем у ДЦСа т.к там все файлы прописываются в 2 места - в сигнатурный детект сканнера и в базу зачистки для ДЦС а, у каспа достаточно прописать тольоко в сигнатурные базы для сканнера.

Теперь понятно? Ж)

Но и это собсно не все - основная фича лечения активного заражения заключается в том что у вируса после включения этого режима нету возможности ожить заного Ж) т.к запись в файлы, реестр, авто-запуск блокируется, запуск файлов также блокируется. В итоге касп все зачищает а, у вируса нет возможности восстановить свиой фалы или записи. (Это уникальная технология, аналогов в мире на данный момент неимеет)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Но и это собсно не все - основная фича лечения активного заражения заключается в том что у вируса после включения этого режима нету возможности ожить заного Ж) т.к запись в файлы, реестр, авто-запуск блокируется, запуск файлов также блокируется. В итоге касп все зачищает а, у вируса нет возможности восстановить свиой фалы или записи. (Это уникальная технология, аналогов в мире на данный момент неимеет)

Действительно уникальная технология, я лично не о чем таком у конкурентов не слышал. Я так понимаю, что она будет очень нужна, когда антивирус ставится на заведомо зараженную машину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX
Но и это собсно не все - основная фича лечения активного заражения заключается в том что у вируса после включения этого режима нету возможности ожить заного Ж) т.к запись в файлы, реестр, авто-запуск блокируется, запуск файлов также блокируется. В итоге касп все зачищает а, у вируса нет возможности восстановить свиой фалы или записи. (Это уникальная технология, аналогов в мире на данный момент неимеет)

Действительно уникальная технология, я лично не о чем таком у конкурентов не слышал. Я так понимаю, что она будет очень нужна, когда антивирус ставится на заведомо зараженную машину.

Угу, но тут нас ждет еще 1 радость - уникальная, неимеющая аналогов в мире самозащита Ж)

Включается она после запуска инсталлера почти сразу - надо только усперь драйвер зарегистрировать Ж) Затем помешать установке невозможно, также невозможно удалить файлы или записи реестра относящиеся к каспу (файловые вири в пролете) тоесть мало того что касп научился хорошо нападать, он еще и свою шкуру защищает Ж)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
XL
Действительно уникальная технология, я лично не о чем таком у конкурентов не слышал. Я так понимаю, что она будет очень нужна, когда антивирус ставится на заведомо зараженную машину.

Но против вот этого чуда технология бессильна.

http://z-oleg.com/secur/advice/adv1103.php

На днях воочию наблюдал удручающую картину после инфицирования новым Pinch'ем... Вирус то мы убъем, а вот винду уже так просто не восстановишь - нужно в сигнатуры специальный механизм удаления (с последующим восстановлением механизма работы explorer.exe) закладывать, который бы работал против конкретного представителя вирусного семейства.

Добавлено спустя 7 минут 8 секунд:

Угу, но тут нас ждет еще 1 радость - уникальная, неимеющая аналогов в мире самозащита Ж)

Включается она после запуска инсталлера почти сразу - надо только усперь драйвер зарегистрировать Ж) Затем помешать установке невозможно, также невозможно удалить файлы или записи реестра относящиеся к каспу (файловые вири в пролете) тоесть мало того что касп научился хорошо нападать, он еще и свою шкуру защищает Ж)

Все это хорошо, но вот когда появятся реальные представители вирусной индустрии, целеноправленно бьющие шестерку во время инсталляции или при загрузке системы, тогда и посмотрим;) Касп не умрет, так есть вероятность, что умрет винда, не выдержав междоусобицы в своих недрах)) К тому же изобретательность вирусописателей не стоит на месте и никогда не знаешь, чем они тебя порадуют в очередной раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitry Perets
Все это хорошо, но вот когда появятся реальные представители вирусной индустрии, целеноправленно бьющие шестерку во время инсталляции или при загрузке системы, тогда и посмотрим;) Касп не умрет, так есть вероятность, что умрет винда, не выдержав междоусобицы в своих недрах)) К тому же изобретательность вирусописателей не стоит на месте и никогда не знаешь, чем они тебя порадуют в очередной раз.

Разумеется. Тут как бы никто не спорит. Включая и самих разработчиков Касперского. Т.е. если злобный троянописатель задастся целью обойти конкретно "шестёрку", то ему это удастся, совершенной защиты нету. Но, возможно, он гораздо раньше скажет "Да ну её" и ломанёт соседний комп с гораздо более уязвимой защитой (об этом как раз сейчас на форуме Касперского дискутируют). Ну и кроме того, "шестёрка" сделана полностью обновляемой, так что если будут реальные опасные прецеденты, то разработчики ЛК ведь тоже не спят ;)

TiX, спасибо за разъяснение по поводу лечения активного заражения, теперь вроде всё ясно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TiX

Но против вот этого чуда технология бессильна.

http://z-oleg.com/secur/advice/adv1103.php

На днях воочию наблюдал удручающую картину после инфицирования новым Pinch'ем... Вирус то мы убъем, а вот винду уже так просто не восстановишь - нужно в сигнатуры специальный механизм удаления (с последующим восстановлением механизма работы explorer.exe) закладывать, который бы работал против конкретного представителя вирусного семейства.

>>Вы сильно ошибаетесь Ж) Технология отлично отработала на Virtual PC (win 2k sp4)

Я специально 3 дня назат проверял Ж)

Вот даже 2 записи из лога остались ж)

14.04.2006 20:01:23 Объект автозапуска: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsexplorer.exeDebugger удален

14.04.2006 20:01:26 Файл: C:WINNTcsrss.exe удален

Все это хорошо, но вот когда появятся реальные представители вирусной индустрии, целеноправленно бьющие шестерку во время инсталляции или при загрузке системы, тогда и посмотрим;) Касп не умрет, так есть вероятность, что умрет винда, не выдержав междоусобицы в своих недрах)) К тому же изобретательность вирусописателей не стоит на месте и никогда не знаешь, чем они тебя порадуют в очередной раз.

Умершая винда - оторвать руки создателю вируса Ж)

Добавлено спустя 2 минуты 47 секунд:

Кста - прописывается как отладчик експлорера не пинчь а Mail-Worm.Scano.a - рассыльщик пинча ж) А пинчь само удаляется после отсылки паролей ж)

Вот скриншот

ActiveThreatDisinfection.gif

post-182-1145121787.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Перезагрузится и удалить из памяти - сбабось Ж) Надо так чтобы после перезагруски следов уже нубыло Ж) ибо если удалить то что в память заносит при первом проходе то после перезагруски в памяти уже ничего небудет Ж)

Она отрабатывает до загрузки ядра

Отказо устойчивость = сопротивляемости вирусам = нулевая ж)

Если вирус попадет, то Тренд помрет и потеряет связь с сервером и удаленно уже ничего не поставиш Ж)

Что касается OfficeScana то так и произойдет, но вот DCS сервер может принудительно заливать на ПК движок и базу и отрабатывать.

А, так DCS тоже чисто по базам работает? Я просто думал, что там что-нибудь хитрое.

Сильно хитрого там к сожалению нет и проактива никакого.

Действительно уникальная технология, я лично не о чем таком у конкурентов не слышал. Я так понимаю, что она будет очень нужна, когда антивирус ставится на заведомо зараженную машину.

Меня прям уже тоже впечатлила, буду тестить, уж самому интересно что за чудо такое :D

>>Вы сильно ошибаетесь Ж) Технология отлично отработала на Virtual PC (win 2k sp4)

Ну я точно под впечатлением, бум убивать виртуальную машину с Касперским 6, точнее пытаться убивать :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×