86 ответов в этой теме

[usverg]

 

Ведь если ловить все файлы, которые имеют имена по маске схожие с любым из системных процессов (типа spool*, lsas*), но при этом находятся в пользовательских директориях - то можно новые семейства всяческой дряни вырубить накорню, не имея их сигнатур.

 

Винда легально может в хороший день изменить 29 файлов в C:\Windows\System32 и 172 разных копии в местах вроде C:\Windows\winsxs\. Насколько я понимаю, так же в C:\Windows\ может за 15 дней изменится 50 dll-файлов. Для заражения вовсе не обязательно создавать новый файл, можно как-то изменить имеющийся, если он используется Виндовс (возможно, что это потребует добавочных файлов другого типа).

З.Ы. А SVCHOST.EXE с Win32.HLLW.Agobot я Вам легко найду.

 

Я не совсем про это. Дело в том что не раз сталкивался со следующим приёмом "маскировки" - создаётся файл по имени схожий до смешения с системным, но находящийся при этом в пользовательской директории (вроде %temp%, для которой запись разрешена).

[Banzai]

Как и обещал даю скринотчет:

флэшка пришла уже пролеченная без вирусов.

В проводнике Windows флэшка отображаеться вот так:

 

Заходим в far менеджер видим такое:

 

Сверху видим безимянную папку, заходим внутрь видим это:

 

Теперь очищаем корневой каталог от вирусного мусора:

 

Теперь выделяем содержимое безымянной папки и перемещаем в корень флэшки

 

Осталось только удалить уже пустую папку

 

И вот результат

 

Все файлы на месте.

Данную процедуру можно делать закрытыми глазами. Всегда одно и тоже.

[usverg]

Все файлы на месте.
Данную процедуру можно делать закрытыми глазами. Всегда одно и тоже.

Красиво, по действию похоже на папку "..", но в Вашем случае, похоже, просто пробел. Логика работы понятна и рассчитана на пользователей, использующих проводник. Не могли бы вы приложить файлы autorun.* , *.ini и *.lnk (исключительно в познавательных целях). INF рекомендую послать в поддержку для добавления в базы.

[usverg]

Banzai, по поводу Вашего вопроса - на питоне скрипт, который автоматически решает поставленную задачу, можно сделать вместе с отладкой за час. Но смысл? Функционал, действительно, был бы весьма полезен в Др.Веб.

[Victor_koly]

создаётся файл по имени схожий до смешения с системным, но находящийся при этом в пользовательской директории (вроде %temp%, для которой запись разрешена).

 

Может в папке вида AppData\*\, Program Files\*\ или Windows\*\ что-то быть - не всегда поймешь, легальный ли файл или какой-то scvhostn.exe/svchos1.exe.

З.Ы. Ещё всякие bat- и reg-файлы конечно лучше антивирусам резать.

[usverg]

 

создаётся файл по имени схожий до смешения с системным, но находящийся при этом в пользовательской директории (вроде %temp%, для которой запись разрешена).

 

Может в папке вида AppData\*\, Program Files\*\ или Windows\*\ что-то быть - не всегда поймешь, легальный ли файл или какой-то scvhostn.exe/svchos1.exe.

З.Ы. Ещё всякие bat- и reg-файлы конечно лучше антивирусам резать.

 

Вот вот, вцелом, я про это и говорю. Хотя бы в параноидальном режиме обрубать.

[usverg]

Кстати, а планируется ли в Др.Веб реализация полноценной "песочницы" хотя бы а ля  chroot (или она уже есть и я просто не в теме)?

[usverg]

Ещё момент, не проводилось ли  тестирование схемы монолитная база+дифференциальные обновления, с поисковой "древесиной" зашитой в базу и проходящей процесс повторного перестроения при обновлении? Не повысит ли это производительность? Загрузка сканера навеяла...

[RomaNNN]

Ещё момент, не проводилось ли  тестирование схемы монолитная база+дифференциальные обновления, с поисковой "древесиной" зашитой в базу и проходящей процесс повторного перестроения при обновлении? Не повысит ли это производительность? Загрузка сканера навеяла...

 

Аля Panda Security что ли? Как сейчас помню их антивирусную базу pav.sig, которая 500 лет перестраивается после каждого обновления.

Сообщение было изменено RomaNNN: 18 Август 2014 - 21:04

[АВаТар]

Теоретически, можно в фоновом режиме, или во время бездействия компьютера, запустить процесс сборки мелких файлов обновлений АВ-баз в один более крупный. Только ещё остаётся постоянное, хотя не частое, насколько могу судить, обновление старых АВ-записей в АВ-базе. И при этом надо организовать работу АВ так, чтобы он постоянно работал только с новыми АВ-записями. Это уже похоже на ремонт автомобиля на ходу, во время гонки/ловли преступника (вируса-вредоносное программное обеспечениеа). Сложно, но можно. Успех реализации зависит от интеллектуальных мощностей компании... Это, скорее, относится к пожеланиям к 15-й версии, IMHO.

[usverg]

Аля Panda Security что ли? Как сейчас помню их антивирусную базу pav.sig, которая 500 лет перестраивается после каждого обновления.

Скорее аля виртуальная файловая система по образу и подобию XFS, уж больно красиво там поисковые деревья реализованы.

[usverg]

Ещё вопрос: возможна ли реализация поведенческого анализа для обращений в очередь сообщений Windows? Позволю себе немного пояснений: требовалось написать для специализированного ПО GUI модуль с фукционалом перехвата клавиатуры и буфера обмена, что и было успешно выполнено. Правда, довольно быстро выяснилось, что основная часть исходного кода была сдёрнута с какого-то клавиатурного сканера и успешно блокируется Dr.Web-ом. Затем по руководству под авторством Крыса Касперски вместо статической линковки с требуемыми библиотеками, была применена динамическая загрузка функций, а так же простейшая macro-обфускация (xor) статических переменных при препроцессинге. И, о чудо, несмотря на то что алгоритм работы программы не претерпел ни малейших изменений - она перестала определяться монитором. Если это было сделано для решения частных задач организации, то вполне может быть повторено кем-либо для иных, куда менее благородных целей. Из чего следует также необходимость отслеживания механизмов динамического подключения библиотек, которой, по всей видимости, нет.

[usverg]

Дополнительно "а можно ли": прикрутить к CureIt этакую оффлайн базу знаний для пользователя из разряда: "Ой, у Вас нашлась Бяка.100500, чтобы всё было хорошо Вы должны сделать следующее - 1)... n) ... n+1)"

[Dmitry_rus]

Теоретически можно всё. А на практике одной сигнатурой (Бяка.100500) могут распознаваться сразу несколько разновидностей Бяки, которые делают разные вещи. В итоге юзер, воспользовавшийся оффлайн-рекомендацией, не всегда будет доволен получившимся результатом...

[usverg]

Таки не обязательно буквально для каждого, а сделать разбивку по классам и набить типовые, вроде:

1) немедленно выдерните сетевой шнур из розетки и молитесь Сноудену

2) немедленно выдерните шнур питания из розетки и молитесь Эдиссону

3) пошлите данные для анализа и молитесь Шредингеру-Шеннону

4) Вашим данным капец, можете не молиться

[Dmitry_rus]

Идея рулит, да! Особенно про Шредингера-Шеннона. Ввиду некошерности Шеннона (с недавнего времени) предлагается употреблять Котельникова... Да и Шредингер тоже... с невинно убиенной животиной... "Зеленые" и прочие экорасты будут против!

Что-то похожее я где-то видел...

http://forum.drweb.com/index.php?showtopic=313238

http://forum.drweb.com/index.php?showtopic=293348

[usverg]

Да и Шредингер тоже... с невинно убиенной животиной...

Не ну, скотинка-то вроде жива (на 50% точно, до объективного коллапса волновой функции (с) Пенроуз)

Что-то похожее я где-то видел...
http://forum.drweb.com/index.php?showtopic=313238
http://forum.drweb.com/index.php?showtopic=293348

да, да, только как можно проще... для среднего и ниже уровня.

[usverg]

Ещё вот: а можно ли реализовать механизм tftp+pxe, то бишь сетевую загрузку хотя бы для ES? Этакий LiveDisk без LiveDisk-a? Или я туплю и оно там уже есть?

[Dmitry_rus]

как можно проще... для среднего и ниже уровня.

В любом случае мы столкнемся здесь с неким "уровнем вхождения". Он будет необходим хотя бы для понимания того, что написано в советах (я уж не говорю о чем-то большем). Не имея сейчас на руках статистически достоверной выборки, рискну предположить, что большинству обычных пользователей подобные советы будут не нужны, т.к. они просто-напросто не сумеют их правильно применить. За исключением, пожалуй, одного: "Обратитесь к системному администратору/в службу технической поддержки". Увы...

[usverg]

В любом случае мы столкнемся здесь с неким "уровнем вхождения".

В некотором смысле - да. Часть можно решить интерфейсно (к примеру, вместо кнопочки ОК нужно нарисовать какой-нибудь простенький глиф), часть... как я уже предлагал раньше - кнопочка VoIP "звонок в тех.поддержку" (вариант оплаты продумать только надобно).