Mebroot/Sinowal/MBR/Torpig - обнаружен новый вариант буткита

[vaber 350]

Ситуация все еще не изменилась?

Пока нет. Думаю, как измениться - Вы сразу же узнаете ))

Они утверждают, что детектируют его. Или они обнаруживают лишь загрузку исполняемого файла и на этом всё закончится?

Ну Вы же прочитали их пеар, там же все написано )

Как выглядит код, который грузит этот руткит через drive-by download?

Красиво

Почему-то все удобно молчат об этом, но блокировать его загрузку не должно быть сложно, так? (блокировка загрузки любого исполнительного файла без разрешения)

Я бы сказал, что всем молчат потому, что пока говорить нечего...хотя некоторым компаниям свойственно делать красивые публикации о том, как они изучили малварь, но при этом-таки продолжают не защищать пользователя...как было с вторым поколением этого же mebroot.

Касаемо "блокировка загрузки любого исполнительного файла без разрешения" - не совсем понял что имеете ввиду?

[p2u 824]

Касаемо "блокировка загрузки любого исполнительного файла без разрешения" - не совсем понял что имеете ввиду?

Тип файлов, которые загружаются определяется нормальными программами защиты, я предполагаю. Если пользователь вручную не запросил испольнительный файл X, то тогда же технически возможно блокировать его и выдать алерт, даже если он как зловред не познаётся, или я ошибаюсь?

Так допустим:

1. Exploit

2. Deny Unauthorized Executable

Paul

[vaber 350]

Так Вы определитесь что имеете ввиду - блокировку загрузки или блокировку исполнения? Как я понял из скринов выше - там идет блокировка исполнения,а не загрузки. Кстати, а откуда скрины? Ссылку можно?

[p2u 824]

Так Вы определитесь что имеете ввиду - блокировку загрузки или блокировку исполнения? Как я понял из скринов выше - там идет блокировка исполнения,а не загрузки. Кстати, а откуда скрины? Ссылку можно?

Пожалуйста:

New Mebroot spreading around and got undetected

mysec там говорит, что блокируется загрузка, а не выполенине - все претензии к нему.

It doesn't have to spread. I used one of the exploits above, found a small program and renamed it to "Mebroot.exe" and put it and the exploit page on my web site. On connecting to the page, the code attempted to download the executable, and is easily blocked

Paul

[vaber 350]

Пожалуйста:

New Mebroot spreading around and got undetected

Имелось ввиду другое - execution protection, блокировка исполнения. Впрочем, тут все зависит от реализации. Если будет выдавать сообщения пользователю о запуске любого приложения - это быстро надоест ему (в некоторых хипсах есть такой функционал, но он отключен ибо и так алертов хватает ).

mysec там говорит, что блокируется загрузка, а не выполенине - все претензии к нему. wink.gif

Так Вы бы ссылку сразу давали - тогда были к нему

[p2u 824]

Так Вы бы ссылку сразу давали - тогда были к нему

Простите, я сижу на 15 ресурсах одновременно и ещё на разных языках...

Если будет выдавать сообщения пользователю о запуске любого приложения - это быстро надоест ему (в некоторых хипсах есть такой функционал, но он отключен ибо и так алертов хватает ).

Но это же не просто любое, а НОВОЕ ('инородное тело', так сказать), которое грузится с Интернета без ведома пользователя. Разве это не приоритет?

Paul

[Илья Рабинович 521]

Я бы сказал, что всем молчат потому, что пока говорить нечего...

Все молчат, потому что тем, кто не умеет его блокировать, не о чем рапортовать, а те, кто умеет- просто работают.

[Рашевский Роман 110]

mysec там говорит, что блокируется загрузка, а не выполенине - все претензии к нему.

По сути бесполезно...

Напоминает высказывание: "... это в лучших традициях ЛК - сдерживать зловреда HIPS'ом, пока нет адекватного лечения"...

[p2u 824]

По сути бесполезно...

Напоминает высказывание: "... это в лучших традициях ЛК - сдерживать зловреда HIPS'ом, пока нет адекватного лечения"...

Блокировать незапрошенный исполнительный файл сразу же когда он попадает на компьютер и не дать ему запускаться на комьютере вашего клиента - бесполезно?

Хотя, может быть и так если вы это говорите - спорить не буду: я делаю ещё по-другому: ничего, из того, что я сам не хочу не грузится вообще - даже картинки. Я всё наоборот делаю; запрещаю всё по умолчанию кроме текста и оттуда разрешаю то, что мне нужно, ни байта больше. Как вам это? Ни одна из 'лечилок' и программ типа 'анти-' ещё не нашла ничего у меня никогда.

Paul

[Рашевский Роман 110]

Блокировать незапрошенный исполнительный файл сразу же когда он попадает на компьютер и не дать ему запускаться на комьютере вашего клиента - бесполезно?

Как же определить каким является файл: запрошенным или не запрошенным?

Если вредоносный файл попадает из сети Интернет - то данный метод действительно полезен, а вот если вредоносный файл записан на CD\DVD-диск, тогда как?

Хотя, может быть и так если вы это говорите - спорить не буду: я делаю ещё по-другому: ничего, из того, что я сам не хочу не грузится вообще - даже картинки. Я всё наоборот делаю; запрещаю всё по умолчанию кроме текста и оттуда разрешаю то, что мне нужно, ни байта больше. Как вам это? Ни одна из 'лечилок' и программ типа 'анти-' ещё не нашла ничего у меня никогда.

Paul

Что называется: 100%-ая информационная безопасность в чистом виде...

[p2u 824]

Как же определить каким является файл: запрошенным или не запрошенным?

Если вредоносный файл попадает из сети Интернет - то данный метод действительно полезен, а вот если вредоносный файл записан на CD\DVD-диск, тогда как?

Данный Mebroot/Sinowal/MBR/Torpig пока грузится через drive-by download с Интернета. Таких надо блокировать по умолчанию и спросить у пользователя, хочет ли он этот файл .exe, или нет. Если тот тупа щёлкает 'Да', то тогда это уже его проблема. Но вы как Защитник сделали всё, что cмогли. Страх потерять из-за этого клиентов - неоправдан.

Paul

[Рашевский Роман 110]

Данный Mebroot/Sinowal/MBR/Torpig пока грузится через drive-by download с Интернета. Таких надо блокировать по умолчанию и спросить у пользователя, хочет ли он этот файл .exe, или нет. Если тот тупа щёлкает 'Да', то тогда это уже его проблема. Но вы как Защитник сделали всё, что cмогли. Страх потерять из-за этого клиентов - неоправдан.

Paul

Извините, забыл насчет drive-by download, в таком случае, беру свои слова назад.

[Arakcheev 35]

Конкуренты нервно курят в углу...

http://forum.drweb.com/index.php?showtopic=279406&hl=

[sww 486]

Конкуренты нервно курят в углу...

http://forum.drweb.com/index.php?showtopic=279406&hl=

Мой наивный зеленый друг. С неделю в бете.

Лечение дальше тоже есть. И MBR'а в том числе.

[99-й 25]

Мой наивный зеленый друг. С неделю в бете.

Лечение дальше тоже есть. И MBR'а в том числе.

А картинко точно правильный?

http://www.viruslist.com/ru/viruses/encycl...?virusid=275757

[sww 486]

А картинко точно правильный?

http://www.viruslist.com/ru/viruses/encycl...?virusid=275757

Не знаю что там на вируслисте, но это детект в памяти MBR детектится по-другому (Backdoor.Win32.Sinowal.deg).

[Umnik 997]

Василий, а как с UAC? Помогает?

Да

Ответ неверный. UAC никак не отреагировал ни на Sinowal.a, ни на Sinowal.b, ни на Sinowal.def. Vista SP1 32 bit

[vaber 350]

Ответ неверный. UAC никак не отреагировал ни на Sinowal.a, ни на Sinowal.b, ни на Sinowal.def. Vista SP1 32 bit

И что CreateFileA вернула?

mbr - изменился?

[Umnik 997]

Да вот я поторопился. Кажись, реально заражения не произошло.

2 sww

Я лажанулся? Не имеет смысла проверять лечение этих буткитов на Висте из-под Rescue Disk

[sww 486]

Я лажанулся? Не имеет смысла проверять лечение этих буткитов на Висте из-под Rescue Disk

Угу, смысла нет. Не умеют они на висте.

[Ego1st 95]

http://www.kaspersky.ru/news?id=207732967

первыми оказались ЛК=))

[Danilka 678]

первыми оказались ЛК=))

Это всего лишь статья,детект и лечение было еще в апреле.

P.S. Для того чтобы ЛК не обвинили в пиаре:

«Лаборатория Касперского» одной из первых среди ведущих антивирусных компаний реализовала в своих существующих персональных антивирусных решениях не только детектирование, но и успешное лечение данного варианта Sinowal.

[Ego1st 95]

Лечение было в бете, думаю его только выпустили=)

Иначе давно бы уже написали что лечят=)

[Danilka 678]

Лечение было в бете, думаю его только выпустили=)

Иначе давно бы уже написали что лечят=)

Данный скрин говорит сам за себя:

http://www.anti-malware.ru/forum/index.php...ost&id=3862

Бета KIS 2010- а это 2009

[Ego1st 95]

т.е. вы считаете, если обновления разрабатываются для кава\киса 2009 они сразу идут пользователям и не проходят обкатку внутри?=))