Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Eolan

Какую-то инфекцию сейчас я проглотил.

Рекомендованные сообщения

Однако, Tempora mutantur et nos mutamur in illls (Времена меняются и мы меняемся с ними.).

И технологии атак и заражения, ведь, тоже не стоят на месте.

 

Nemo propheta in patria sua (Нет пророка в своем отечестве). Нет сейчас ни одной совершенной антивирусной/блокирующей программы, как бы ни хотелось, увы.

 

Учетную запись с ограниченными правами использовать не хочешь.

Отключить потенциально опасные службы тоже.

 

Нет, ну можно еще выдернуть витую пару из компьютера и запретить в биосе использование USB, Floppy, CD-ROM, FireWire... Тогда точно никакая дрянь не пролезет. Вот только нужен ли такой компьютер? :rolleyes:

 

Кстати. Рассказать как из под ограниченной записи получить привилегию SYSTEM? При этом не придется ничего ломать... Все законно. <_<

 

(кстати, вспомнил заодно, описание серьезной уязвимости в UPnP у меня есть :unsure: ).

 

В личку.

 

Тогда продукт AV-Desk - совершенно неподходящий выбор для использования.

Нужно что-то с бОльшим функционалом, работающее на предотвращение, но не на устранение последствий.

С возможностью проверки на лету объектов, поступающих на компьютер в процессе серфинга и проверку всех скриптов в интернете.

Но это не бесплатно и при правильной настройке тоже станет самоограничением.

А при неправильной настройке ничем не поможет в условиях серфинга под учеткой с административными правами.

 

И что же? :huh:

 

Либо с помощью плагинов запрещать выполнение активных сценариев в браузере. Но это тоже самоограничение.

 

Самое меньшее из возможных.

 

Либо пользоваться программами, возвращающими состояние диска в исходное при каждой перезагрузке. Но они небесплатны.

Но совсем без ограничений задача не имеет положительного решения.

 

Речь идет о разумном. Впрочем, смотри первый абзац этого поста. А вообще оффтоп все это. Сегодня может сподоблюсь на проверку симантеком домашнего компа (с USB-Системного диска). Не поможет - придется на оный диск KIS ставить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Нет, ну можно еще выдернуть витую пару из компьютера и запретить в биосе использование USB, Floppy, CD-ROM, FireWire... Тогда точно никакая дрянь не пролезет. Вот только нужен ли такой компьютер? ;)

.

Да ладно передергивать. Прям будто клиента DNS или Explorer отключить предложили.

Вполне комфортно домашний серфинг происходит без Удаленного реестра, SSDP и прочих удаленных помощников.

 

Я не отговариваю, только констатирую факт создания "благоприятствующих" условий для заражения.

Мячин у нас в таких случаях любит использовать поговорку, что "каждый сам себе злобный Буратино". :)

Кстати. Рассказать как из под ограниченной записи получить привилегию SYSTEM? При этом не придется ничего ломать... Все законно. ;)
Да, только для этого требуется, чтобы на компьютере совпало несколько серьезных "если".

И при грамотной настройке на практике сводит такую возможность к нулю.

 

По поводу сервиса UPnP вот, например, описание одной уязвимости, позволяющей выполнить вредоносный код.

Это вполне легитимный и неопасный источник информации.

http://labs.idefense.com/intelligence/vuln...play.php?id=509

 

Только не подумай, пожалуйста, что я опять пытаюсь поспорить и убедить, что лучше эту службу отключить, потому что польза от нее весьма сомнительна.

Я уже понял, что она тебе нужна и пишу я это только потому, что форум у нас открытый и информацию эту прочитает кто-нибудь еще и сделает для себя выводы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Нет, ну можно еще выдернуть витую пару из компьютера и запретить в биосе использование USB, Floppy, CD-ROM, FireWire... Тогда точно никакая дрянь не пролезет. Вот только нужен ли такой компьютер? ;)

.

Да ладно передергивать. Прям будто клиента DNS или Explorer отключить предложили.

Вполне комфортно домашний серфинг происходит без Удаленного реестра, SSDP и прочих удаленных помощников.

 

Я не отговариваю, только констатирую факт создания "благоприятствующих" условий для заражения.

Мячин у нас в таких случаях любит использовать поговорку, что "каждый сам себе злобный Буратино". :yahoo:

 

То есть из 6 уже три оставили? ;) Насчет злобного Буратины, естественно я все сам знаю. :) Но тема немножко не об этом. Тема о вирусе который не детектится LiveCD ведущих наших антивирусописателей.

 

По поводу сервиса UPnP вот, например, описание одной уязвимости, позволяющей выполнить вредоносный код.

Это вполне легитимный и неопасный источник информации.

http://labs.idefense.com/intelligence/vuln...play.php?id=509

 

Только не подумай, пожалуйста, что я опять пытаюсь поспорить и убедить, что лучше эту службу отключить, потому что польза от нее весьма сомнительна.

Я уже понял, что она тебе нужна и пишу я это только потому, что форум у нас открытый и информацию эту прочитает кто-нибудь еще и сделает для себя выводы.

 

В моем случае не применимо. Для того чтобы добраться до виндовой UPnP придется сначала сломать маршрутизатор, который перед ней стоит. Впрочем, если сломать маршрутизатор, многое можно итак будет сделать. :yahoo: В случае же проникновения в компьютер через другие источники, она уже особо и не понадобится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
То есть из 6 уже три оставили? ;)
Нет, ничего не изменилось. ;) Для доступа к удаленному рабочему столу используем одну службу из тех перечисленных.

Возвращаться на предыдущую страницу и копипастить названия было как-то неохота. :)

 

 

Но тема немножко не об этом. Тема о вирусе который не детектится LiveCD ведущих наших антивирусописателей.

Пришло время попробовать что-то еще. Тот же KIS, запланированный на вечер.

 

В моем случае не применимо. Для того чтобы добраться до виндовой UPnP придется сначала сломать маршрутизатор, который перед ней стоит.

Как знать... Аналогичный случай был описан для роутера Linksys. И вряд-ли он единичен.

При включенном UPnP сервисе удаленный пользователь мог выполнить команду 'AddPortMapping' на WAN интерфейсе.

http://www.juniper.net/security/auto/vulne.../vuln20415.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
То есть из 6 уже три оставили? ;)
Нет, ничего не изменилось. :yahoo: Для доступа к удаленному рабочему столу используем одну службу из тех перечисленных.

Возвращаться на предыдущую страницу и копипастить названия было как-то неохота. :yahoo:

 

Да я так посмотрю вам и помнить что я писал неохота. ;)

 

Но тема немножко не об этом. Тема о вирусе который не детектится LiveCD ведущих наших антивирусописателей.

Пришло время попробовать что-то еще. Тот же KIS, запланированный на вечер.

 

Тогда уж Симантек.

 

В моем случае не применимо. Для того чтобы добраться до виндовой UPnP придется сначала сломать маршрутизатор, который перед ней стоит.

Как знать... Аналогичный случай был описан для роутера Linksys. И вряд-ли он единичен.

При включенном UPnP сервисе удаленный пользователь мог выполнить команду 'AddPortMapping' на WAN интерфейсе.

http://www.juniper.net/security/auto/vulne.../vuln20415.html

 

Нащет мусора в сети - кого он в моем сегменте волнует то? Где тока комп нотик и спа-шка. :) (Просто для памяти - UPnP должен работать во внутреннюю сеть, а не во внешнюю... Про глючные девайсы в которых он работает в обе стороны я знаю - мой к ним не относится.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как всё запущено. ;)

предлагаю поставить рядом вторую ось, на ней иметь нужный софт (любой антивирь и списка детектов вирустотала)

в оффтопе рождается истина.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Нащет мусора в сети - кого он в моем сегменте волнует то? Где тока комп нотик и спа-шка. ;) (Просто для памяти - UPnP должен работать во внутреннюю сеть, а не во внешнюю... Про глючные девайсы в которых он работает в обе стороны я знаю - мой к ним не относится.)
А зачем тогда нужен Skype, использующий UPnP, только во внутренней сети ?

 

Про глючные девайсы в которых он работает в обе стороны я знаю - мой к ним не относится.)

Никаких сомнений ! Он самый лучший. И даже самый мощный ! ПризнаЮ сразу ! ;)

 

PS

Временно откланиваюсь.

Не уверен, что вечером зайду, но завтра можно продолжить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
...

Да я так посмотрю вам и помнить что я писал неохота. :scare:

...

да по большему счету в наши задачи не входит помнить, мы следим за тем что б пользователи матом не ругались сильно.

все что здесь делается (читается , пишется, советуется) - делаются исключительно добровольно. тут ни кто никому ничем не обязан!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да я вообще хотел прекратить этот флуд не по делу.

 

А вот по делу обнаружилась еще одна интересная штука. Не сумел я сегодня винт с работы взять - ну да завтра возьму. Зато решил HP переставить. Переставил, хоть и не без ошибок но вроде заработало... Стал обновлять и... AV-DESK в упор не захотел видеть одно из обновлений. 4 раза качал - 4 раза улетало в карантин сразу... троян-блэкмейлер. с оффициального сайта HP(через программу обновления HP не через броузер!)... как то вот так. :scare:

 

UPD: На virustotal.com не заливается - большой слишком. Посылаю на sendvirus .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Да я вообще хотел прекратить этот флуд не по делу.

 

А вот по делу обнаружилась еще одна интересная штука. Не сумел я сегодня винт с работы взять - ну да завтра возьму. Зато решил HP переставить. Переставил, хоть и не без ошибок но вроде заработало... Стал обновлять и... AV-DESK в упор не захотел видеть одно из обновлений. 4 раза качал - 4 раза улетало в карантин сразу... троян-блэкмейлер. с оффициального сайта HP(через программу обновления HP не через броузер!)... как то вот так. :blink:

с обновлениями дрвеб не новость -глюки и раньше замечались. проверяйте либо другой системой, либо с другого компа. вот вы извращаетесь, я за это время 4 компа вылечил, ну понятно работа. ну поставьте вторую ось. или места не хватает?

 

 

... троян-блэкмейлер.

правильное название виря, имя файла, и отчет от вирустотала? ну не телепаты мы тут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
с обновлениями дрвеб не новость -глюки и раньше замечались. проверяйте либо другой системой, либо с другого компа. вот вы извращаетесь, я за это время 4 компа вылечил, ну понятно работа. ну поставьте вторую ось. или места не хватает?
... троян-блэкмейлер.

правильное название виря, имя файла, и отчет от вирустотала? ну не телепаты мы тут.

 

Имя файла: CPE_HPSmartWebPrinting_4.6.exe

Отчета не будет - слишком большой.

Имя виря: Trojan.Blackmailer.1680 . (за правильность слов не ручаюсь. цифр - ручаюсь)

 

Однако гугль много интересного выдает.

 

Хм. WOT его пропускает. Если интересно могу прислать на почту.

 

И кстати прибейте мои и валидатора сообщения. Флуд это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
UPD: Кстати последний скрипт AVZ походу прибил вполне легитимное ПО от HP (МФУ дома стоит).

.........

Зато решил HP переставить. Переставил, хоть и не без ошибок но вроде заработало... Стал обновлять и... AV-DESK в упор не захотел видеть одно из обновлений. 4 раза качал - 4 раза улетало в карантин сразу... троян-блэкмейлер. с оффициального сайта HP(через программу обновления HP не через броузер!)... как то вот так. :)

Ну вот и виновник "торжества". А то сразу "скрипт, скрипт". :unsure:

 

 

Тут одно из двух - либо драйвер HP действительно заражен, либо у Доктора ложное срабатывание.

Проблема не единичная, судя по поиску.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Ну вот и виновник "торжества". А то сразу "скрипт, скрипт". ;)

 

Насчет виновника сомневаюсь - данный апдейт прошел уже достаточно давно... Но в любом случае одной заразой меньше. С другой стороны - если бы не скрипт, я вряд ли бы почесался драйвера переставить (ставятся они порядка часа на неслабой машине), так что спасибо. :(

 

Тут одно из двух - либо драйвер HP действительно заражен, либо у Доктора ложное срабатывание.

Проблема не единичная, судя по поиску.

 

Вот тут я не знаю. В hp отписал. Кстати, отписал и в Dr.Web по поводу пропущенных вирусов. Можеть почешутся? :blink:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
...

Хм. WOT его пропускает.

 

..

вот это коллективная точка зрения на сайт. он лишь информирует о том , что кто-то когда-то понизил рейтинг и признал сайт опасным для детей, ненадежность продавца, фишинг, вредоносный контент.

 

 

Вот тут я не знаю. В hp отписал. Кстати, отписал и в Dr.Web по поводу пропущенных вирусов. Можеть почешутся? :blink:

ну ну ждите ответа. :(

кстати по первому обращению от вебера ответ получили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
вот это коллективная точка зрения на сайт. он лишь информирует о том , что кто-то когда-то понизил рейтинг и признал сайт опасным для детей, ненадежность продавца, фишинг, вредоносный контент.

 

Хм понятно.

 

Вот тут я не знаю. В hp отписал. Кстати, отписал и в Dr.Web по поводу пропущенных вирусов. Можеть почешутся? ;)

ну ну ждите ответа. :blink:

кстати по первому обращению от вебера ответ получили?

 

По первому получил и даже опубликовал в теме. Сейчас я им не только пишу, но и звоню, и в общем-то дискуссия есть. Но похоже необходимый мне функционал реализован в подфункции "spider gate" которую Билайн не предоставляет, а весьма зря. По этому поводу надо написать в личку Troopу(что собственно я уже сделал).

 

UPD: Нашел прикол в магазине Dr.Web:

 

Коробочная лицензия Dr.Web Security Space Pro(2компа/2года) стоит 1990руб.

Продление лицензии с переходом на Dr.Web Security Space Pro(2компа/2года) стоит 4043руб. :( Отзвонил в продажи - там очень смутились.

 

Ваще ппц... Диалог с продавцом:

 

11:31:41 Eolan: Приветствую.

11:31:41 Пожалуйста, подождите немного, к Вам присоединится оператор..

11:31:55 Оператор Екатерина включился в разговор

11:31:58 Екатерина: Здравствуйте! Чем я могу Вам помочь?

11:32:25 Eolan: как то вот смотрю я на эти вещи и в голове не укладывается. РЕчь о Dr.Web Security Space Pro

11:32:47 Eolan: http://store.drweb.com/home.php?id=82854 и http://store.drweb.com/home.php?id=82850

11:32:54 Екатерина: что именно не укладывается?

11:33:09 Eolan: как это понимать? Если я хочу купить лицензию на 2 компьютера на два года?

11:33:27 Eolan: сравните цены на продление и на новую коробочную версию.

11:34:01 Eolan: при этом при продлении декларируется скидка 30%

11:34:13 Екатерина: дело в том ,что на коробочные версии продукт распространяеся акция, поэтому они стоят дешевле

11:34:55 Eolan: хм а долго она будет действовать? и это правильно что по акции продукт выставляется в два раза дешевле?

11:35:10 Eolan: даже более чем в два, в 2.30?

11:35:38 Екатерина: да, все врено. Срок действия пока не ограничен. Просто Доктор веб таким образом стимулирует продажу коробочных версий продуктов

11:35:58 Eolan: хм

11:36:14 Eolan: спасибо

11:37:32 Екатерина: пожалуйста

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в этой ветке мы не занимаемся анализом коммерции.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Итак, сижу с USB системного диска.

 

Симантек нашел:

Backdoor.LittleWitch C:\WINXP\crack.exe

Trojan.SpamThru TorrentPatcher.exe

Trojan.Adclicker keygen.exe virustotal

Trojan Horse

IRC.Backdoor.Trojan mIRC.exe

Adware.PurityScan ORGCHART.EXE

Это все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хехе... Ну Симантек и кряки - вещи несовместимые. :lol:

Интересно было бы увидеть эти файлы на Вирустотал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Переписка с Troop:

Оказывается, фильтром нежелательных сайтов файлов и т.д. теперь является Spider Gate в составе Dr.Web. Хотелось бы уточнить, данный функционал точно не будет предоставляться? Потому что AV-DESK уже два раза пробивало из Интернета, и возможно придется перейти на 6ю версию.

будет предоставляться со временем, сроки зависят от билайна

 

Итак KIS 2010 запущен с USB диска... Поглядим. Эвристика как и просили - на максимуме. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в любом случае, даже если каспер ничего не найдет. проверка спайботом, чистка реестра, удаление временных файлов, удаление ненужных программ (порядок действий определите сами.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
лирическое отступление. др.веб именует вири по своему. ссылки на вирустотал не признает, анализ ведет собственными только им понятными способами.

 

Признает, но не считает панацеей. Анализ - наверное все вендоры по своему ведут. А вообще я их уважаю со времен Лозинского и AIDSTEST.EXE . Если помните эту древность, конечно. :D

 

в любом случае, даже если каспер ничего не найдет. проверка спайботом, чистка реестра, удаление временных файлов, удаление ненужных программ (порядок действий определите сами.)

 

Временные файлы очищены виндой, но не все, почему не знаю. Реестр прогнал VitRegistryFix-ом до 0 ошибок. Программ ненужных не держу, по крайней мере стараюсь. А вот насчет спайбота - поконкретнее плиз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А вот насчет спайбота - поконкретнее плиз.

я поражен. знаете лозинского и не знаете http://www.safer-networking.org/ru/index.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А вот насчет спайбота - поконкретнее плиз.

я поражен. знаете лозинского и не знаете http://www.safer-networking.org/ru/index.html

 

 

Да вот как-то не приходилось... Как-то пробивают мою защиту (какой бы она ни была, многих антивирусописателей перепробовал) весьма нечасто.

Вот счас видимо коробочного веба буду ставить за смешную сумму в 1320 рублей (2 компа/2 года + DVD-RW в подарок итого 330руб комп в год)... Раз пробление стоит в 4 раза дороже... (Да это коммерция но некоторым может помочь сделать правильный выбор)

 

100% - вирусов нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы будете смеяться но, снова здраствуйте. И снова тот же вирус. Удалил гада(как всегда ручками с LiveCD), но остается мнение что он реально новый. или сидит недектящийся руткит.

 

Однако!!! Даже вирустотал пасует... Мде, прямо как в мультфильме (слова песенки в названии темы). Тока вот мне ни разу не смешно.

 

http://www.virustotal.com/file-scan/report...e28c-1282245461

 

http://www.virustotal.com/file-scan/report...39b0-1282245530

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вы будете смеяться но, снова здраствуйте.

делайте логи по инструкции. и по возможности 82409a81.exe на http://anubis.iseclab.org/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вы будете смеяться но, снова здраствуйте.

делайте логи по инструкции. и по возможности 82409a81.exe на http://anubis.iseclab.org/

 

Отправить не получится - сегодня Dr.Web его уже ловит (вчера ночью отослал)...

 

Отчеты:

virusinfo_syscheck.zip

hijackthis6.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
!!!!! Перед выполнением пунктов 5 и 6 закройте игры, текстовые редакторы и любые другие программы, оставьте запущенным только браузер "Internet Explorer". Если он не запущен - запустите!

Также рекомендуется отключать выгружать защитное ПО, точнее модули фаерволов/антивирусов/антишпионов, выполняющие функции HIPS/Проактивной защиты, потому что они могут помешать созданию полноценных логов (для пунктов 5 и 6). Если не знаете, что такое HIPS или же как он отключается, просто выгрузите всё защитное ПО на время создания логов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
!!!!! Перед выполнением пунктов 5 и 6 закройте игры, текстовые редакторы и любые другие программы, оставьте запущенным только браузер "Internet Explorer". Если он не запущен - запустите!

Также рекомендуется отключать выгружать защитное ПО, точнее модули фаерволов/антивирусов/антишпионов, выполняющие функции HIPS/Проактивной защиты, потому что они могут помешать созданию полноценных логов (для пунктов 5 и 6). Если не знаете, что такое HIPS или же как он отключается, просто выгрузите всё защитное ПО на время создания логов.

 

Оки. Так и сделаю вечером... Кстати поставил Dr. Web Security Space Pro... А это уже HIPS или я чего то не понимаю? (От AV-DESKа получил инсталятор на случай когда кончится лицензия на Secutiry Space, а она кончится в декабре 2012 года).

 

Держите:

hijackthis7.txt

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах