Перейти к содержанию
Рашевский Роман

Лечение MBR средствами VBA32

Recommended Posts

Рашевский Роман
Ну, вы - оптимист. Некоторые до сих пор даже с Рустоком не справляются...

Paul

"Уважающие себя" вендоры справляются... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
"Уважающие себя" вендоры справляются... ;)

Скажите пожалуйста, уважающий ли себя вендор VBA?

Справляется ли он хотя бы с детектом рустока.с?

Или с детектом и лечением первого варианта буткита?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Скажите пожалуйста, уважающий ли себя вендор VBA?

Справляется ли он хотя бы с детектом рустока.с?

Или с детектом и лечением первого варианта буткита?

Не стоит Вам пытаться меня подначивать... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Не стоит Вам пытаться меня подначивать... wink.gif

Мне кажется, что вас никто не подначивал, а зажали вполне конкретные и логичные по контексту вопросы по теме. Если не знаете, то стоит спросить у коллег, как точно обстоят дела у VBA с детектов описанных выше вредоносов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Мне кажется, что вас никто не подначивал, а зажали вполне конкретные и логичные по контексту вопросы по теме.

А мне так не кажется. ;)

Контекст в рамках которого были заданы данные вопросы, честно говоря, не увидел вообще. :)

Если не знаете, то стоит спросить у коллег, как точно обстоят дела у VBA с детектом описанных выше вредоносов.

Rustock.C на данный момент успешно детектируется. Что касается новой модификации Mebroot'a - я, увы, на данный момент, информацией по данному вопросу не располагаю. :)

Alex_Goodwin Вы удовлетворены ответом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Роман, я говорил про детект активного рустока на зараженной системе. А по поводу старого варианта буткита ответил Василий.

Если обратиться к последнему тесту на активное заражение, то видно, что буткита предыдущего поколения смогли обнаружить и вылечить 4 продукта - Avast, DrWeb, Kaspersky и McAfee. Еще один, Eset, обнаруживал его присутствие в системе, но лечить был не в состоянии. Причем, тест проводился спустя полгода после появления данной (то бишь прошлой) модификации буткита. К теперешнему моменту ситуации не изменилась.

Согласен, что в данной теме это является офтопиком, но вы сами начали. Предлагаю переехать в другую тему.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Согласен, что в данной теме это является офтопиком, но вы сами начали. Предлагаю переехать в другую тему.

Мною было сказано:

"Уважающие себя" вендоры справляются... ;)

Сказано это было без каких бы то ни было намеков относительно одного или нескольких вендоров. :)

p.s. Я не имею ничего против обсуждения, которое Вы предлагаете в новой теме, а что касается данного вопроса предлагаю прийти к консенсуму. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey ulasen

Рашевскому Роману не стоит судить о том, какой вендор себя уважает, а какой нет. Точно также возможность модерировать форум не дает права давать разные претенциозные названия веткам командного форума.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Дополнение:
      В Vista dns лог не работает и работать не будет,
      Win7, Win8 не работает, но возможно получится прикрутить в урезанном виде без фильтрации левых адресов и ответа сервера.
      Работает начиная с Win 8.1.
      Адреса можно вносить в базу проверенных.
    • demkd
      ---------------------------------------------------------
       4.11.7
      ---------------------------------------------------------
       o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
         В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
         в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
         в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
         который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
         промежуточные адреса будут отфильтрованы.
         Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
         (!) После включения функции требуется перезагрузить систему,
         (!) только в этом случае вы получите полную информацию с момента загрузки системы.
         (!) Только для активных и удаленных систем начиная с Vista (NT6.0).
         (!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
         (!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки.
    • santy
      да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне
    • akoK
    • PR55.RP55
      Предлагаю создать новую базу  SHA1(+ ) <   > ЭЦП Это не база проверенных файлов... Это база проверенных файлов с ЭЦП. т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу  SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+). Почему по базе... Возможна ли проверка SHA2  на WINDOWS XP  и  т.д ;  На системах без обновлений с повреждённым каталогом ЭЦП ? А так...  Программа вычисляет SHA1 файла  > SHA1  проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой. + Выигрыш по времени при проверке. Да,  подпись могут отозвать и т.д.  Но...  
×