Перейти к содержанию

Recommended Posts

Олег777

Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Олег777

Это делается на уровне сигнатур. Т.е. Продукт должен был взять из сигнатур сведения о том, что вредонос правит hosts и восстановить его. Значит, либо продукт в принципе не умеет восстанавливать хотябы исходный hosts, либо вирлаб упустил эту особенность зверька. Но сие не относится к интервью, потому переедем в вендорный раздел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent
Олег777

Это делается на уровне сигнатур. Т.е. Продукт должен был взять из сигнатур сведения о том, что вредонос правит hosts и восстановить его. Значит, либо продукт в принципе не умеет восстанавливать хотябы исходный hosts, либо вирлаб упустил эту особенность зверька. Но сие не относится к интервью, потому переедем в вендорный раздел

...либо зверек был отловлен Ориджином, скажем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

У большинства пользователей hosts-файл является пустым, но это не всегда так. Встречный вопрос -- каким образом антивирус "знает" (должен знать) состояние hosts-файла до его изменения в следствие работы вредоносного кода? Допустим, есть hosts-файл (непустой) со списком заблокированных пользователем сайтов. Происходит заражение, вредоносная программа добавляет в hosts-файл свои записи. Как антивирус должен знать, какие записи удалять, а какие оставить или он просто должен восстанавливать hosts-файл в пустом виде?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Потому применяется восстановление дефолтного hosts. Что всяко лучше, чем его игнорирование. В принципе, можно в сигнатуре указать, какие сайты прописывает вредонос и откатывать только эти записи, но овчинка выделки не стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Потому применяется восстановление дефолтного hosts. Что всяко лучше, чем его игнорирование. В принципе, можно в сигнатуре указать, какие сайты прописывает вредонос и откатывать только эти записи, но овчинка выделки не стоит.

Я против такого лечения непосредственно антивирусом, хотя для основной массы оно годится, хотя бы потому, что она даже не подозревает о существовании такого файла. Подобный функционал должен быть вынесен во вспомогательные диагностические утилиты -- AVZ (есть такой функционал) и разрабатываемый DwShark, в котором этот функционал ещё не реализован, но feature request на это висит.

Честно сказать, если бы антивирус, в результате лечения, улучшил бы мне hosts-файл до дефолтного, и мне пришлось бы свои записи восстанавливать вручную, я бы такой антивирус отправил бы подальше с диска.

ЗЫЖ Хоть мне антивирус, по сути, и не нужен, но копию hosts-файла храню. :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

K_Mikhail

Поднимать запрос на восстановление host. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
K_Mikhail

Поднимать запрос на восстановление host. ;)

"Антивирус собирается улучшить ваш hosts-файл до дефолтного! Продолжить? [Y\N]" ? ;)

Опять же, повторюсь, хотя для основной массы оно годится, хотя бы потому, что она даже не подозревает о существовании такого файла, но моё мнение -- правкой hosts-файла должен заниматься либо лично пользователь (если он понимает, что делает), либо саппорт в лице конкретного вендора или virusinfo. Т.е. специалист.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev
Валерий! Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

А что делает каспер в подобном случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Arakcheev

Поднимает алерт с предложением восстановить hosts. Это AVPTool в 7-ке, за 8-ку не знаю. Возможно в автоматическом режиме она алерт не поднимает, а сразу восстанавливает.

Нет, я не знаю, восстанавливает стандартный или убирает записи вредоноса. Думаю, что все-таки стандартный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев
Не далее как вчера столкнулся с вирусом, блокирующим определенные сайты: одноклассники, мэйл.ру, яндекс и вконтакте. Попросила помочь преподаватель по бальным танцам (грешен, учусь красиво танцевать в свои 32 года...).

Так вот: DrWEb 5.0 вирус честно поймал и прибил (лечение активной угрозы), но сайты все равно не открывались.

Вылечил ручками путем редактирования файла hosts (там как раз таки были прописаны блокируемые сайты).

Посему возник вопрос: а разве лечение активного заражения не подразумевает возврат системы в исходное состояние до момента вирусного воздействия?

Какой вердикт вам вынес Др.Вэб? Как назвал данную заразу?

Далее вопрос - вы устанавливали др.вэб на зараженную машину или использовали cure-it? и далее интересует вопрос - какой тип сканирования был произведен - полное или быстрая проверка? Было ли отключено восстановление системы?

Я вот не исключаю такого момента, что после того как было проведено быстрое сканирование, один из семлов (лежавших где-нить в другом месте, даже например на флешке) после лечения и перезагрузки, смог опять активизироваться и поправить hosts.

P.S. считаю, что топик нужно рассматривать как конкретный случай заражения и лечения, перенести в сопутствующий форум, и изменить шапку топика (напр.: Dr.Web :: Лечение Shadow)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Ребят, а у меня вот такой вопрос. Один знакомый недавно списался со мной, просил помочь избавиться от такой гадости, как AdSubscribe. Ну, недолго думая, дал ему ссылку на CureIt, он ее применил, все путем. Но - в реестре остались записи, и пришлось удалять вручную, тупым поиском по слову. Вот и хочу спросить: если уж Web не чистит реестр от записей зловредов, то... а ведь чего проще: механический поиск и удаление. Почему такая простая и явная вещь не предусмотрена в антивирусах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Почему такая простая и явная вещь не предусмотрена в антивирусах?

Кое-кто из форумчан по этому поводу высказался прямо и точно: "Потому что антивирус Dr.Web - это не твикер". :)

А жаль, правда? ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Кое-кто из форумчан по этому поводу высказался прямо и точно: "Потому что антивирус Dr.Web - это не твикер".

А причём тут твикер, не твикер? Тем более это же доктор, должен лечить, причём с корнем..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

А он и лечит с корнем. Ссылки в реестре удаляются, если на них прямо ссылается вредоносный файл. А косвенные ссылки могут и остаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×