?

Log in

No account? Create an account
Main

Вирусы -- reflection

Вирусы становятся все серьезнее и серьезнее. Тот, который я подхватил позавчера оказался весьма продвинутым руткитом, т.е. найти его очень сложно для антивируса.
Систему я переставил, потому, что руткит это вам не длл-ка зараженная, а фиг знает что вместо системы. Она там себе скрытый диск на винчестере делает и в нем живет.

Вот описание моего зверя:
http://www.drweb.com/static/BackDoor.Tdss.565_aka_TDL3.pdf

Цитата:
Заключение
В целом новое поколение BackDoor.Tdss является весьма технологичным и интересным.
Оно, бесспорно, поставило перед антивирусными компаниями сложную задачу
детектирования и обезвреживания этого руткита. И не всем под силу справиться с этой
задачей, как это уже бывало с BackDoor.MaosBoot, Win32.Ntldrbot и т.д.

Но это я легко отделался. Недавно была эпидемия, где вирус документы на дисках шифроавл и просил смс за расшифровку. В этом случае нельзя ни браузер переставить, ни систему снести, а писать в антивирусные лабы дрвеба или касперского -- бесплатно помогут вылечить и расшифровать данные.

http://v-martyanov.livejournal.com/6434.html

Тут в комменатриях мне напомнили, что хорошо бы под админом на винде не жить. Попробую так сделать, тоько ведь мне сервисы надо всякие рестартовывать часто -- апач там, мускул, мэйл, сабвершен, запускать опять же процессы -- посмотрю, как будет жить с ограничениями. А под виндой нет аналога sudo?

Кстати, живущим под линуксом тоже не следует расслабляться, ИМХО. Руткит подцепить через какое-нибудь переполнение буфера и добро пожаловать в клуб! Руки просто не дошли еще до этого у писателей вирусов.

UPD. Пошел поискать про sudo в винде. Нашел вот это:
Microsoft has Patented "sudo." Yes, the Command

Comments

В Windows есть команда runas, насколько я помню.
В висте в контекстном меню есть пункт "запуск от имени администратора".
в xp тоже есть контекстное меню запуск от имени...

и я его не замечал столько лет :)
Ну дак в висте приходится замечать, поскольку они там они попытались енфорсить "работу не от рута".
Спасибо
Краки и патчи к программам не скачиваю и не запускаю. Использую только кейгены, запускаемые через runas /user:Гость

Нравятся мне такие описания вирусов как по ссылке. Лучше любого кино про хакеров, взламывающих правительственные сети на минуту с помощью клавиши шифт с любого компьютера :)

А как вам удалось этот руткит получить?
Винда прожила к моменту заражения около полутора дней непостоянного включения. Файрволла не было никакого. Так, что скорее всего именно через незащищенный файрволлом комп.

Я ради интереса потом прошел по всем сайтам, где успел побывать за полтора дня. Ничего не подцепил. Так, что остается только эта версия.

Читать интересно, а получать неприятно... :)
незащищённый файрволом, а точнее?
Куда уж точнее?

Не поставлен файрволл и виндовый файрволл не включен.
DRWEB давно этого руткита ловит и лечит. Неужто нельзя поставить антивирус и не иметь проблем и с расшифровкой дрвеб бесплатно помогает. 1000 рублей в ГОД! и никакого гемороя. Чета я в этом мире не понимаю...
Тут есть нюансы.
Во-первых это была чистая и нновая система без ничего, только с SP-3, и фиксами. Прожила полтора дня. Сам по себе факт интересный.

Во-вторых, CureIt его не долечил.

В-третьих -- антивирус у меня есть, ClamAV.

И последнее, -- таки лучше знать, какие вирусы бывают, чем успокаивать себя, что у вас ДрВеб и никакого геморроя. Когда я по форумам лазил, то видел, что эпидемия началась в чуть ли не в октябре, а ДРВеб стал лечить этот руткит только к концу ноября.

Я довольно долго покупал AVP, потом как-то перестал. И в данном случае это бы меня не спасло, хотя тоже "1000 в год и никакого геморроя".

Есть люди, которые NOD32 покупали и также в этой ситуации оказались беспомощны.
Действительно, CureIt его не лечил и веб не лечил, но веб его ловил и не давал в систему устанавливаться, что собственно Вам и было нужно. В базу этот руткит был занесен еще летом. На зараженной системе его лечил Drweb LiveCD - единственное средство тогда, больше никакой антивирус его не лечил. Сейчас Веб его лечит на зараженной системе.
По-поводу антивирусов. Я пользовал разные и НОД и Авира и Аваст и Symantec - только с последним проблем не было, но он был предустановлен на год и через год лицензия померла.Остальные были дырявые и не спасали.
З.Ы.
Не подумайте, что я веб рекламирую, есть тот же касперский или symantec, но просто есть горький опыт работы с бесплатными или условно бесплатными антивирусами - пока у них не то качество работы, что требуется.
Кстати у меня на ноуте LiveCD этот не работает. Бутится, а потом видимо драйвера нужного у линкуса нету. Проверял пару месяцев назад, правда.