Перейти к содержанию
AM_Bot

Лаборатория Касперского рассказала о новом варианте буткита

Автор AM_Bot, в Антивирус Касперского - покупка, использование и решение проблем

Recommended Posts

AM_Bot    45

AM_Bot
Опубликовано

Новая версия буткита, обнаруженная в конце марта, распространяется через взломанные сайты, порноресурсы и сайты, с которых можно загрузить пиратское ПО. Практически все серверы, участвующие в процессе заражения пользователей, имеют «русскоязычный» след: работают в рамках так называемых «партнерских программ» - схем взаимодействия между владельцами сайтов и авторами вредоносных программ.читать дальше

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано

Необходимо учитывать и тот факт, что немало уже создано псевдопоисковиков для напрявления/перенаправления и откровенного заманивания на те ресурсы, которые способствуют такому заражению.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AlexxSun    150

AlexxSun
Опубликовано

Первая статья, подписанная Русаковым в новой должности на новом месте работы?

boot.jpg

post-3858-1242396332_thumb.jpg

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sww    486

sww
Опубликовано
Первая статья, подписанная Русаковым в новой должности на новом месте работы?

Не только мной, как видите. Да и не последняя, конечно же :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано
При этом к относительно новым технологиям можно отнести механизм создания доменного имени сайта, с которого будут распространятся эксплойты.

можете пояснить про доменные имена?

(просто в статье мало как-то про это)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
можете пояснить про доменные имена?

Присоединяюсь, только если, конечно, это подлежит огласке.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
можете пояснить про доменные имена?

По моему в статье довольно подробно об этом написано.

Есть зараженный сайт. При посещении этого сайта пользователем срабатывает размещенный там скрипт - в процесс работы он в зависимости от текущей даты на ПК пользователя генерит доменное имя. Затем как только пользователь щелкнит мышкой по окну IE - откроется новое окно IE с генерированным адресом сайта, на котором размещен Neosploit. Эти домены, естественно, заранее регистрируются.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

выходит, что то имя которое генерится уже должно быть зарегистрировано и там размещена связка сплоитов? - так почему в этом случае перестает работать идея черных списков?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

vaber    350

vaber
Опубликовано
так почему в этом случае перестает работать идея черных списков

Там же написано : "Однако у исследователей есть возможность, проанализировав алгоритм создания имен, узнать, какие из них будут использованы, и заблокировать их." ;)

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

priv8v    960

priv8v
Опубликовано

однако написано и про то, что типа отпадают блэк-листы.

поэтому и спрашивал))

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
Лаборатория Касперского рассказала о новом варианте буткита

Интересно - не его ли это вежливый диалог?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Перейти к списку тем Антивирус Касперского - покупка, использование и решение проблем

  • Сообщения

    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Зачем ? Только для файлов которые попали в подозрительные. Логика такая:  Файл в подозрительных > uVS берёт его SHA1 ( если таковая есть ) и прогоняет весь список на совпадение > если совпадение найдено - файл попадает в подозрительные > в Инфо. файла пишется информация по какой причине файл попал в подозрительные. Да и проверку можно проводить на  готовом образе\списке.
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      И чего в ней странного? Обычный каталог с непонятным LSM.
        Кто-давно не говорил что uVS медленно создает образ...
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + + Крайняя форма извращения: ( там же ) uVS  поместил а Подозрительные только два файла из шести. Предлагаю: Автоматически помещать в Подозрительные все файлы при совпадении SHA1 ( и\или имени ) т.е. если файл  попал в подозрительные - то идёт проверка списка на совпадения. Есть совпадение > файл в подозрительные. ( с соответствующий записью в Инфо - о причине )
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      + http://www.tehnari.ru/f183/t262601/ Тоже странная запись. Полное имя                  C:\PROGRAMDATA\{01456982-0145-0145-014569822880}\LSM.EXE
      Имя файла                   LSM.EXE
      Тек. статус                   ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                 
      Сохраненная информация      на момент создания образа
      Статус                      в автозапуске
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
      Ссылки на объект            
      Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MICROSOFT LOCALMANAGER[WINDOWS 8.1 SINGLE LANGUAGE]
                                  
    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      Кто-то криворукий прописал путь, так что ничего удивительного нет.
×