TDL3

[Danilka 678]

Он и с рейтингом 100, т.е. недоверенный убивает касперского?

Весело.

А чорт, забыл, в этом случае балун всплывает с вечными вопросами "Да или нет"

В недоверенных он вообще незапустится....

[ALEX(XX) 60]

Стоит выйти в свет чему-нибудь уровнем выше криптора, как все терабайты дорогих аверских поделий с кучей продвинутых бсодящих и тормозящих технологий становятся бесполезными в лучшем случае, а в худшем помогают системе умереть (конечно же уже после отсылки всех паролей и регданных крекерам).

Золотой пост!

[dr_dizel 385]

А нефиг под админом сидеть.

Гы. Ну об этом есть хотя бы алерт для юзверя в том же великом и могучем каспере?

Может где-то в лицухе или хэлпе написано, что продукты вас не защищают под админом?

[ALEX(XX) 60]

Может где-то в лицухе или хэлпе написано, что продукты вас не защищают под админом?

Оно хитро получается Под админом сложно защитить, ибо админ всемогущ в системе. Вот и обрастают защитные проги кучей всяко-разного загадочного. А если сидеть под ограниченной учёткой, надобность в антивире не отпадёт, но отпадёт надобность в сверхнавёрнутом функционале, а этого уже не допустят вендоры

[vaber 350]

Гы. Ну об этом есть хотя бы алерт для юзверя в том же великом и могучем каспере?

Гы. И как Вы представляете себе работу среднестатистического пользователя ПК под ограниченной учеткой? Тот кто вообще понимает - что такое учетная запись и чем они отличаются - сам в состоянии без всяких напоминаний со стороны антивируса ею воспользоваться.

Может где-то в лицухе или хэлпе написано, что продукты вас не защищают под админом?

Почему не защищают? Защищают и вполне надежно. Достаточно обновлять систему, используемые приложения и не запускать всякую "неведому фигню".

З.Ы. Я вот не понимаю к чему все это? Вы можете предложить некую технологию, которая гарантированно позволит защитить юзверей от всех угроз и работая под одмином?

[dr_dizel 385]

А нефиг под админом сидеть.

Гы. И как Вы представляете себе работу среднестатистического пользователя ПК под ограниченной учеткой?..

Эм. Так вы мне советуете или нет работать под админом?

Тот кто вообще понимает - что такое учетная запись и чем они отличаются - сам в состоянии без всяких напоминаний со стороны антивируса ею воспользоваться.

Но ведь все заявляют о защите венды за N-е количество попугаев. Какой такой учотка, дарагой?

Почему не защищают? Защищают и вполне надежно... и не запускать всякую "неведому фигню".

Ну как так? Я запускать - ты защищать. Попугаи уплочены, Так?

З.Ы. Я вот не понимаю к чему все это? Вы можете предложить некую технологию, которая гарантированно позволит защитить юзверей от всех угроз и работая под одмином?

Это кнопка power на системнике.

Но тогда защиту от чего нам продают всё это время авендоры?

[sww 486]

Стоит выйти в свет чему-нибудь уровнем выше криптора, как все терабайты дорогих аверских поделий с кучей продвинутых бсодящих и тормозящих технологий становятся бесполезными в лучшем случае, а в худшем помогают системе умереть (конечно же уже после отсылки всех паролей и регданных крекерам).

Предлагаю вам написать свой антивирус, а потом уже выпендриваться модными словами: "аверские поделия", "бсодящие технологии" и так далее.

[dr_dizel 385]

Предлагаю вам написать свой антивирус, а потом уже выпендриваться модными словами: "аверские поделия", "бсодящие технологии" и так далее.

Модными? Да им сто лет в обед. Ну, антируткит я уже писал. Он нормально работает. Да те же перехваты, как технология - не 100% безопасна - один исполняемый тред на месте патчинга и здравствуй дерево!

Тем же каспером я не мог пользоваться по причине постоянных бсодов его драйвера. Может когда он наконец-то выйдет из перманентной бэты что-нибудь изменится... И совсем недавно рабочую машину мелкомягкий антивирь отправил в бсод. Ещё один кадр у нас поставил на серваки нод, так они теперь виснут... Так я на форуме отписывался о многом даже. Эта заговор.

[vaber 350]

Эм. Так вы мне советуете или нет работать под админом? blink.gif

Я Вам ничего не советовал. Очевидно, что работа под ограниченными правами увеличит безопасность. Но и так же очевидно, что не все пользователи смогут под ограничениями работать.

Но ведь все заявляют о защите венды за N-е количество попугаев. Какой такой учотка, дарагой?

А Вы откуда сами? По моему уже все давно привыкли, что реклама все условности не говорит. Это касается всего и в целом. таже реклама стирального порошка - там нам утверждают, что он отстирает любые загрязнения. Но мы то знаем, что если добре засрать что-то - не отстирает. Но это не значит что порошок (стиральный) некачественный. Так и тут - если пользователь будет запускать все подряд, не будет заботится о своевременном обновлении оси и софта - он может и заразиться. Не смотря на наличие антивируса. Это все очевидно.

З.Ы. Теперь огромная просьба - не отклоняться от темы. Оффтоп пишем в другом месте.

[Umnik 997]

Придерживаемся темы!

[player 0]

К сведению

Анализ

http://revengstuff.files.wordpress.com/200.../rustock_f1.pdf

Видно имя давно было это

The filename IS7771.EXE was first seen on Oct 16 2008 in the following geographical regions of the Prevx community:

http://www.prevx.com/filenames/X2145152720...IS7771.EXE.html

И все из-за новости одгого известного человека

http://www.rootkit.com/blog.php?newsid=970%20

П.С. Выразил лично мнение

[vaber 350]

К сведению smile.gif

Анализ

http://revengstuff.files.wordpress.com/200.../rustock_f1.pdf

Видно имя давно было это

The filename IS7771.EXE was first seen on Oct 16 2008 in the following geographical regions of the Prevx community:

http://www.prevx.com/filenames/X2145152720...IS7771.EXE.html

И причем тут тема с рустоком к сабжу? Более того, афтар статьи спутал один из многих вариантов B варианта с C, которые не имеют ничего общего.

И все из-за новости одгого известного человека

http://www.rootkit.com/blog.php?newsid=970%20

Новости у нас тут да, а в целом самплы этого руткита были у некоторых вендоров еще до статьи на руткитесе.

[priv8v 960]

Может скажете про инсталлятор? Если в нем юзается гуй или известные_длл, то тут ничего интересного (в плане рассмотрения инсталлятора).

[vaber 350]

Если в нем юзается гуй или известные_длл, то тут ничего интересного (в плане рассмотрения инсталлятора).

Нет и нет . Там используется новый (я такого раньше не встречал) способ внедрения в процесс.

[Skorpion 55]

можете показать детект его на вирустотал?

[priv8v 960]

Там используется новый (я такого раньше не встречал) способ внедрения в процесс.

аля dwwin&др.ватсон?

если это, то я тоже не встречал.

[vaber 350]

аля dwwin&др.ватсон?

если это, то я тоже не встречал.

Чо? не, не это

вирустотал

[mennen 100]

Symantec не детектирует его?

[Danilka 678]

Symantec не детектирует его?

Как видно-да.

[Danilka 678]

Чо? не, не это

Но способ оригинальный.... Хотя опять же тот же s....v.exe присутствует тут....

Напоминает гонку вооружений во время ХВ...

[Danilka 678]

Кому интересно:

http://www.rootkit.com/vault/thug4lif3/tdl...is_paper_ed.rar

password: tdl3_analysis

[senyak 330]

На SONAR бы его проверить...