Лаборатория Касперского рассказала о новом варианте буткита - Антивирус Касперского - покупка, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию
AM_Bot

Лаборатория Касперского рассказала о новом варианте буткита

Recommended Posts

AM_Bot

Новая версия буткита, обнаруженная в конце марта, распространяется через взломанные сайты, порноресурсы и сайты, с которых можно загрузить пиратское ПО. Практически все серверы, участвующие в процессе заражения пользователей, имеют «русскоязычный» след: работают в рамках так называемых «партнерских программ» - схем взаимодействия между владельцами сайтов и авторами вредоносных программ.читать дальше

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Необходимо учитывать и тот факт, что немало уже создано псевдопоисковиков для напрявления/перенаправления и откровенного заманивания на те ресурсы, которые способствуют такому заражению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Первая статья, подписанная Русаковым в новой должности на новом месте работы?

boot.jpg

post-3858-1242396332_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Первая статья, подписанная Русаковым в новой должности на новом месте работы?

Не только мной, как видите. Да и не последняя, конечно же :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
При этом к относительно новым технологиям можно отнести механизм создания доменного имени сайта, с которого будут распространятся эксплойты.

можете пояснить про доменные имена?

(просто в статье мало как-то про это)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
можете пояснить про доменные имена?

Присоединяюсь, только если, конечно, это подлежит огласке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
можете пояснить про доменные имена?

По моему в статье довольно подробно об этом написано.

Есть зараженный сайт. При посещении этого сайта пользователем срабатывает размещенный там скрипт - в процесс работы он в зависимости от текущей даты на ПК пользователя генерит доменное имя. Затем как только пользователь щелкнит мышкой по окну IE - откроется новое окно IE с генерированным адресом сайта, на котором размещен Neosploit. Эти домены, естественно, заранее регистрируются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

выходит, что то имя которое генерится уже должно быть зарегистрировано и там размещена связка сплоитов? - так почему в этом случае перестает работать идея черных списков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
так почему в этом случае перестает работать идея черных списков

Там же написано : "Однако у исследователей есть возможность, проанализировав алгоритм создания имен, узнать, какие из них будут использованы, и заблокировать их." ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

однако написано и про то, что типа отпадают блэк-листы.

поэтому и спрашивал))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Лаборатория Касперского рассказала о новом варианте буткита

Интересно - не его ли это вежливый диалог?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×