Как я вирус ловил
23 Декабря 2024, 12:34:31 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: ВНИМАНИЕ Почта на домене 2126.ru прекращает свою работу
   Начало   Главная Поиск Правила Камасутра Блоги Чат (1) Галерея Войти Регистрация  
Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Как я вирус ловил  (Прочитано 2602 раз)
0 Пользователей и 2 Гостей смотрят эту тему.
Faraday ТС
Ветеран форума
******

Карма +505/-3
Offline Offline

Сообщений: 4321

Екатеринбург



Nissan Qashqai SE+ 2012
« : 27 Апреля 2009, 14:43:04 »

Жалко закрыли тему про  dr.web. Как раз по теме было. Ну да ладно, расскажу в новой, а модератор пусть туда перенесет.
----------------
В минувшую пятницу приходил знакомый с ноутбуком ко мне работу. Я свою флешку пихал в его ноут. Когда он ушел, я ближе к вечеру засунул флешку в свой рабочий комп. При открытии вижу на флешке скрытый файл autorun.exe. Проверяю его КИСом 2009. Говорит, что чисто. Я-то знаю, что чисто не может быть, так как файл не мой. Тут кто-то позвонил, я отвлекся и зачем-то запустил его ... sad . Касперский пару раз заблокировал попытку какого процесса скачать подозрительные файлы, потом кто-то стал с монотонной периодичностью обращаться к флоппику. После удаления файлов autorun.exe и autorun.inf с флешки они тут-же появляются вновь. Попытка снятия процессов в диспетчере задач приводит в конце концов к перезагрузке компа. После удаления временных файлов инета перестал грузится exprorer sad (голый рабочий стол). Зараженную флешку воткнул в другой комп с обновленным предварительно Avast'ом. Грит, что чисто Smile . Дело было к вечеру, поэтому забрал системник домой. В субботу не трогал, а в воскресенье обновил КИС2009 - все равно не находит ничего. Проверил заразу на флешке autorun.exe несколькими on-line сервисами - нашел только dr.web. Определил как Win32.HLLW.Autoruner.6326. Подобная зараза (с разными цифирями) была известна почти год, почему же Касперский с Авастом ее не ловили? Ну и что с того, что она видоизменилась слегка, а как же продвинутый эвристический анализ и "современные методы раннего обнаружения"? Написал Касперскому письмо, вложил образец вируса. Буквально через 5 минут пришел ответ: спасибо за сотрудничество, Вы прислали неизвестный доселе образец Worm.Win32.AutoRun.frg, который незамедлительно будет включен в антивирусную базу, бла-бла-бла. Сам AutoRun.frg давно, кстати, известен, но пара измененных байтов обходят защиту. Короче скачал бесплатную утилиту launch.exe от доктора и вылечил все им. Нашел в 5-и местах, где зараза прописалась.
---------
Короче, все навороты Касперского бесполезны. Стал всерьез подумывать о смене антивиря, многие хвалят немецкий Avira, не знаю, надо поизучать этот вопрос.
Записан
OVA
Moдератор

*****

Карма +1551/-118
Offline Offline

Пол: Мужской
Сообщений: 14738

Тула + д. Ревякино


Нормозавр 21261-070 (был). Нынче Фабула.

WWW

Тула + д. Ревякино
ИЖ 21261-030
« Ответ #1 : 27 Апреля 2009, 14:49:57 »

Для тех, кто не в танке и пихает свои флэшки/карточки из телефонов/карточки из фотоаппаратов в чужие компы есть такой рецепт:
-создать каталог с именем autorun.inf
-создать в этом каталоге любой файл (лишь бы что-то было в этом каталоге)
-атрибуты на каталог autorun.inf установить "только для чтения" и "скрытый", для файла - тоже самое
Будете защищены от большинства вирусов типа "autoruner".
Конечно, вы не застрахованы от пришествия вируса извне, зато сами менее вероятно подхватите заразу на свою флэшку.
Записан

P.S. Василий.  Еще один из беглых ижевчан.
---
(ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет
Водила
Ветеран форума
******

Карма +714/-0
Offline Offline

Пол: Мужской
Сообщений: 5276

г. Саратов


Иж2126030, 2003 г.в., двиг ВАЗ2106, 1.6л, КПП Омск

« Ответ #2 : 27 Апреля 2009, 14:58:18 »

У меня Аваст ловит такое. С работы после Каспера принёс домой, а Аваст нашёл авторанку на флэхе. После этого проверил Кюритом от Др.Вэба, он сказал что всё чисто. Есть ещё проги типа ФлэшГвард и прочее - специализируются именно на авторанах, удаляют их (но только их). Зачастую автораны присутствуют на флэхе помоему совместно с cmd (если не путаю название), их бы тож надо удалить.
А Авира - хороший антивирь, ставить можно Wink
Записан
ScrewDriver
Гость
« Ответ #3 : 27 Апреля 2009, 15:00:03 »

КиС у меня всегда такие вещи хватает без проблем.
Записан
alex@2141
Ветеран форума
******

Карма +275/-4
Offline Offline

Сообщений: 5167





Spb
n/a
« Ответ #4 : 27 Апреля 2009, 15:20:23 »

Для тех, кто не в танке и пихает свои флэшки/карточки из телефонов/карточки из фотоаппаратов в чужие компы есть такой рецепт:
-создать каталог с именем autorun.inf
-создать в этом каталоге любой файл (лишь бы что-то было в этом каталоге)
-атрибуты на каталог autorun.inf установить "только для чтения" и "скрытый", для файла - тоже самое
Будете защищены от большинства вирусов типа "autoruner".

это не работает. Лучше и проще http://www.pandasecurity.com/russia/homeusers/downloads/usbvaccine/
Записан
OVA
Moдератор

*****

Карма +1551/-118
Offline Offline

Пол: Мужской
Сообщений: 14738

Тула + д. Ревякино


Нормозавр 21261-070 (был). Нынче Фабула.

WWW

Тула + д. Ревякино
ИЖ 21261-030
« Ответ #5 : 27 Апреля 2009, 15:57:38 »

это не работает
Да, не на все 100 процентов работает способ, но от запуска вируса предотвращает. Копироваться-то он, всяко на флэшку скопируется, но вот уже с автозапуском "себя любимого" будет напряг. Если только по любопытствовать юзеру захочется и сам выполнит неизвестное приложеньице.
Себе на флэшку ловил таких зверей, но ни один при наличии папки autorun.inf не смог прописаться в автозапуск. Должно быть, скоро научат их и это обходить или мне просто везло и я "умных" модификаций не встречал.
Записан

P.S. Василий.  Еще один из беглых ижевчан.
---
(ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет
ScrewDriver
Гость
« Ответ #6 : 27 Апреля 2009, 16:00:26 »

И какая жопская скотина, извиняюсь, первой решила убрать с флешек переключатель блока записи. Удушил бы сволочь. Как раньше хорошо было - щелк и спокоен, что хотя бы в чужом рассаднике зверей не наберешь...
Записан
OVA
Moдератор

*****

Карма +1551/-118
Offline Offline

Пол: Мужской
Сообщений: 14738

Тула + д. Ревякино


Нормозавр 21261-070 (был). Нынче Фабула.

WWW

Тула + д. Ревякино
ИЖ 21261-030
« Ответ #7 : 27 Апреля 2009, 16:08:43 »

Да, Панда прикольную утилитку сделала.
Создается autorun.inf с заведомо некорректными атрибутами, так что ни удалить этот файл, ни переименовать.
А указанный мной способ подвержен угрозе переименования.
Записан

P.S. Василий.  Еще один из беглых ижевчан.
---
(ОКПП, ГБО, ЭСП), поборол электричество, "бустера" дворников нет
Ахинеич
Мастер по разным специальностям

*******

Карма +2783/-33
Offline Offline

Пол: Мужской
Сообщений: 35271

SPB

Почётный Демагог

« Ответ #8 : 27 Апреля 2009, 16:46:23 »

Снова про базы..
Относительно всё. Кто
Что раньше обнаружит, тот и правит бал в конкретный момент времени. Ещё конкурентные войны вспомним. В общем смысла метаться не имеет.
Записан

С точки зрения теории Банальных Эрудиций возможности далеко не каждого индивидуума способны игнорировать тенденции парадоксальных эмоций. Резюмируя вышесказанное, нивелируйте свои аппроксимации на ассоциации с ником!
Faraday ТС
Ветеран форума
******

Карма +505/-3
Offline Offline

Сообщений: 4321

Екатеринбург



Nissan Qashqai SE+ 2012
« Ответ #9 : 27 Апреля 2009, 17:07:11 »

В общем смысла метаться не имеет.
КИС2009 стал очень тяжеловесным. При запуске долго анализирует запускаемое приложение и шлет инфу куда-то Smile . Дома глючит на компе с тремя сетевыми интерфейсами - пришлось отключить его фарвол. Про сигнатуры баз согласен: кто первый успел образец вируса получить, тот и выиграл Smile . Хотя мне кажется производители обмениваются образцами вируса между собой.
--------
Вообще сейчас модно стало утежелять антивирусники всякими антишифингами, фарволами, автодозвонами и прочей лабудой, гордо называя это Интернет-секьюрити. А оно нужно? Фарвол, да нужен, хотя, пожалуй и обычного, встроенного в винду хватит. А ведь есть еще Защитник windows. Имхо, хватит обычного простенького антивиря.
Записан
Ахинеич
Мастер по разным специальностям

*******

Карма +2783/-33
Offline Offline

Пол: Мужской
Сообщений: 35271

SPB

Почётный Демагог

« Ответ #10 : 27 Апреля 2009, 17:24:02 »

Так потому и утяжеляется, что ресурсы ростут. А иначе зачем ресурсы?
Записан

С точки зрения теории Банальных Эрудиций возможности далеко не каждого индивидуума способны игнорировать тенденции парадоксальных эмоций. Резюмируя вышесказанное, нивелируйте свои аппроксимации на ассоциации с ником!
Ахинеич
Мастер по разным специальностям

*******

Карма +2783/-33
Offline Offline

Пол: Мужской
Сообщений: 35271

SPB

Почётный Демагог

« Ответ #11 : 27 Апреля 2009, 17:24:34 »

Так потому и утяжеляется, что ресурсы ростут. А иначе зачем ресурсы?
Записан

С точки зрения теории Банальных Эрудиций возможности далеко не каждого индивидуума способны игнорировать тенденции парадоксальных эмоций. Резюмируя вышесказанное, нивелируйте свои аппроксимации на ассоциации с ником!
alex@2141
Ветеран форума
******

Карма +275/-4
Offline Offline

Сообщений: 5167





Spb
n/a
« Ответ #12 : 27 Апреля 2009, 17:49:47 »

Коля, ресурсоемкость определяется тем что упор делается на поведенческий анализ. Сигнатурный анализ постепенно отходит на второй план поскольку путем обновлением сигнатур физически не угнаться за появлением новых модификаций вирусни.
Записан
SergeyK
Живёт здесь
*****

Карма +609/-0
Offline Offline

Пол: Мужской
Сообщений: 782

Санкт-Петербург


Зафира, серебристая, (были 2126-020, Мерива), СПб

« Ответ #13 : 27 Апреля 2009, 19:21:12 »

И какая жопская скотина, извиняюсь, первой решила убрать с флешек переключатель блока записи. Удушил бы сволочь. Как раньше хорошо было - щелк и спокоен, что хотя бы в чужом рассаднике зверей не наберешь...

Здравствуйте!

По работе часто приходится работать на зараженных машинах. Для себя вместе с коллегами избрал следующий способ: SD карта с USB адаптером. Карта имеет переключатель защиты от записи.
http://shop.key.ru/shop/goods/24103/
Есть такие же на 16 - чего и пользуем.

С Уважением, Сергей К.
Записан

Если у Вас все идет хорошо, значит Вы просто чего-то не замечаете...
Faraday ТС
Ветеран форума
******

Карма +505/-3
Offline Offline

Сообщений: 4321

Екатеринбург



Nissan Qashqai SE+ 2012
« Ответ #14 : 27 Апреля 2009, 19:28:26 »

Коля, ресурсоемкость определяется тем что упор делается на поведенческий анализ. Сигнатурный анализ постепенно отходит на второй план поскольку путем обновлением сигнатур физически не угнаться за появлением новых модификаций вирусни.
Первый пост как раз о том, что не черта не работает этот "поведенческий" анализ.
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines

Яндекс.Метрика

Google последней посетил эту страницу 13 Декабря 2024, 17:30:35