«Доктор Веб»: Вирусы в марте 2008 г.

image

Теги: вирус, руткит, социальная инженерия

Главным событием марта 2008 г. стало появление новой модификации вредоносной программы, модифицирующей MBR жёсткого диска (буткит).

Служба вирусного мониторинга компании «Доктор Веб» провела анализ вирусной ситуации в марте 2008 г.

Главным событием марта 2008 г., несомненно, стало появление новой модификации вредоносной программы, модифицирующей MBR жёсткого диска (буткит) и использующей руткит-технологии для своего сокрытия в инфицированной системе, получившей наименование по классификации Dr.Web — BackDoor.MaosBoot, а также его устанавливающего её дроппера — Trojan.Packed.370. В новой модификации авторы этой вредоносной программы постарались создать максимум затруднений для лечения инфицированного компьютера, однако в сканере Dr.Web, находящимся в открытом бета-тестировании, реализован уникальный алгоритм детектирования и лечения BackDoor.MaosBoot без использования дополнительных специальных средств.

Как ни странно, весьма заметным событием стала рассылка по ICQ модификации вредоносной программы (TheBestFebruary.zip) Trojan.PWS.LDPinch.1941. В службу технической поддержки «Доктор Веб» поступало много сообщений от пользователей о заражении данной вредоносной программой. Более того, исполняемый файл несколько раз модифицировался для обхода детектирования антивирусами, но все они были добавлены в базы Dr.Web.

Стоит отметить новый приём социальной инженерии — ответ на якобы отосланное пользователем резюме с просьбой заполнить свои данные «на фирменном бланке» и ниже приводилась ссылка на загрузки «бланка». «Фирменный бланк» на самом деле оказывался вредоносной программой получившей наименование по классификации Dr.Web Trojan.Sentinel.

Помимо перечисленных спам рассылок, связанных с распространением вредоносных программ, основными темами спам-корреспонденции были предложения самих спамеров по организации рассылок по базам адресов РФ, Украины и стран СНГ, а также механизмы налогообложения, строительства недвижимости, причём последняя тематика преобладала.


или введите имя

CAPTCHA
1
02-04-2008 20:05:01
Зачем вайн? Есть нативная версия.
0 |
02-04-2008 21:58:25
Зачем нативный Dr.Web, есть Clam.
0 |
1
02-04-2008 23:30:00
У Clam самый сырой сканер. Сигнатуры только неплохие. З.Ы. Я давно замечал, что Доктор Вэб намного лучше вирусы ищет. Сравнивался с Касперскими, Авирами, НОД32, AVAST, COMODO Antivirus и пр. В частности, в инете есть архив содержащий 100 различных вирусов. Так вот Касперский у меня поймал 98 из 100, Авира 93 из 100, Аваст где-то на уровне 60, Clamwin 88, НОД32 90. А вот Доктор Вэб все 100 из 100. Очень удивил и порадовал меня... Я думал, что это слабенький антивирус.
0 |
1
02-04-2008 23:54:49
в инете есть архив содержащий 100 различных вирусовЗадумайся. Кто выложил этот архив, почему там вирусов 100, кто и с какой целью подбирал именно эти вирусы, и вирусы ли это там. В деле ИТ-безопасности надо быть немножко параноиком, а тут пахнет подставой какой то.
0 |
1
03-04-2008 11:16:17
Много раз убеждался в качестве drweb'a. Неоднократно попадались эпидемии, когда вирус не знали 80% анитивирусов по тесту virustotal.com. Были скриншоты, когда был вирус, и знал его вообще только один др-веб. По опыту к нему близок только касперский. Но он более требователен, имхо, менее удобен, и всё же случаются и с ним случаи, когда не успевает сделать обновление в базах(при ежечасном обновлении)...
0 |
1
04-04-2008 00:45:22
Да, очень приличный антивирус, качество на высоте. Одна проблема - проприетарность, это понижает его качества в разы. Хотя бы потому, что я не могу удостовериться, что весь его код реализует оплаченную функциональность, так как исходники закрыты. Но он будет открыт, потому что это новый закон рынка, который им придется соблюдать. Они сделают это не для блага Свободного ПО, они сделают это лишь для того, чтобы не проиграть.
0 |
1
03-04-2008 09:57:16
зачем Clam, есть mkfs
0 |
1
02-04-2008 23:22:50
Вирусов нет. Есть windows.
0 |
1
02-04-2008 23:26:06
Вирусы не нужны, Виндафс не нужен
0 |
1
03-04-2008 06:28:07
Под Vista - при грамотной настройке - ни один вирус или хакер - непролезет - это факт!
0 |
1
03-04-2008 07:04:31
Совершенно согласен. Вот только фишка в том, что простые пользователи редко осведомлены о такой возможности. А те кто знает, настолько обленились,что не желают даже работать под ограниченной учетной записью для защиты своих системных файлов, а уж политики учетных записей для них вообще темный лес. Вот и надеются на дядю Женю, дядю Игоря и прочих, да ноют про засилие вирусов. И что самое прискорбное сама МС потворствует этому, сделав дефолтную установку изначально дырявой и не предупреждая об этом пользователей.
0 |
1
03-04-2008 07:18:38
Под Vista - при грамотной настройке - ни один юзер или одмин не пролезет - это факт!
0 |
1
03-04-2008 11:06:38
Совершенно согласен. Вот только фишка в том, что простые пользователи редко осведомлены о такой возможности. А те кто знает, настолько обленились,что не желают даже работать под ограниченной учетной записью для защиты своих системных файлов, а уж политики учетных записей для них вообще темный лес. Вот и надеются на дядю Женю, дядю Игоря и прочих, да ноют про засилие вирусов. И что самое прискорбное сама МС потворствует этому, сделав дефолтную установку изначально дырявой и не предупреждая об этом пользователей. Угу. А про повышение прав и про выход в нулевое кольцо слышали? Куча способов есть. А про атаку по сети посредством переполнения буфера какого-нить сервиса с правами System? Были вирусы, которые тупо кидали файл на диск C:\ в Винде (туда запись ограниченным пользователям и даже гостям разрешена), а потом админ как только заходил на этот диск C:\, руткит-троян-вирус сам себя запускал (знаете все эти уязвимости в обработке изображений, .ico, курсоров для мыши и пр и пр. Autorun.inf для всех дисков и прочее и так далее), а далее этот руткит лез в в самый низкий уровень предначальной загрузки винды, когда еще только 32 бита начинается, рендерится картинка Windows XP и т.д. И ни один антивирус под этим руткитом его над собой не заметит.) Так что дело не в "Защищенности ОС", а в том, с какой интенсивностью ее ломают. Чем меньше к ней интереса, тем она защищеннее. Можно конечно путем SELinux добиться превосходных результатов...
0 |
1
03-04-2008 16:45:17
Да ладно парить народ! А админу вашему руки нужно крутануть, а сначало голову
0 |
1
04-04-2008 16:56:52
сб дело говорит Можно конечно грамотно настроить систему, чтобы не попасться на банальные трояны типа "запусти меня", но вот как настроить систему для блокировки атак на переполнение буфера в каком-нибудь службе, которая выполняется под админом или вообще под нулевым кольцом? Тут хоть что делай, пока нет заплаты - компьютер подвержен заражению. Другое дело конечно, что такого malware делают весьма мало, во всяком случае не для широкой публики. Поэтому грамотной настройкой системы можно отсечь большое число вирей, но это не означает полной защищенности.
0 |
1
03-04-2008 10:09:44
Вот только фишка в том, что простые пользователи редко осведомлены о такой возможности. А те кто знает, настолько обленились,что не желают даже работать под ограниченной учетной записью для защиты своих системных файлов, а уж политики учетных записей для них вообще темный лес.Сразу надо было делать по-нормальному, а не так как было в DOS-W95-98-ME: разделения прав нет и каждый юзер - админ. Последствия этого раздолбайства до сих пор и расхлёбываете.
0 |
Вообще-то это было удобно и просто, скажем для компутера без сети и посторонних. Это микросовок раздолбаи, в крови у них это.
0 |
1
03-04-2008 07:24:55
Под Vista - при грамотной настройке - ни один вирус или хакер - непролезет - это факт! Конечно. Главное - грамотно настроить BSoD.
0 |
1
03-04-2008 12:09:04
Респект! Бсод - самый надежный анитивирь ;)Правда систем загружает на 100%
0 |
1
04-04-2008 00:39:08
Зато при работающем BSoD™ никакое вредоносное ПО, включая(в первую очередь) Windows, не способно работать на компьютере. Идеальная защита. Что называется, время надежных решений.
0 |
1
03-04-2008 11:18:09
Если грамотный вирус начнет заражать все нужные приложения, до которых есть доступ на запись, свершится время, когда это приложение будет запущено по одмином.
0 |
1
03-04-2008 11:44:59
Вывод - Одмин вообще не нужен. Как в Убунте sudo сделать и хватит. Вирус никто специально через sudo запускать не будет. Хотя это такая, слабенькая мера, на первое время хватит.
0 |
1
03-04-2008 14:44:36
Если грамотный вирус начнет заражать все нужные приложения, до которых есть доступ на запись, свершится время, когда это приложение будет запущено по одмином. Вывод: у пользователя не должно быть доступа на запись в приложения - приложения должен устанавливать root, что и сделано изначально в UNIX-системах.
0 |
1
03-04-2008 17:02:20
Точно! Именно поэтому rootkit появился оттуда:-)
0 |
1
03-04-2008 20:08:26
Однако, когда там уже появились руткиты, виндафс вообще не было, однако капча 2-3883
0 |
1
03-04-2008 23:54:54
Точно! Именно поэтому rootkit появился оттуда:-) Точно. Пока злые хацкеры долго и нудно искали *nix-компьютеры с открытыми службами, а затем пытались найти уязвимости в них или дырявые скрипты, а затем, в случае успешной эксплуатации, нудно искали уязвимые локальные суидники или дырявые ядра, чтобы поднять привелегии до рута, а затем прикручивали руткит, чтобы скрыть свое присутствие, т.к. очень быстро обнаруживались левые порты, процессы и хацкера выгоняли, винды ломали пачками, надёжными эксплоитами с универсальными оффсетами, удалённо и сразу до рута, укладывая их штабелями через включенные по умолчанию и жутко дырявые RPC DCOM, LSASS, PnP, UPnP, SMB и так далее, а затем использовали годами без руткитов, потому что большинство виндузятников даже не знает что такое netstat.
0 |
1
04-04-2008 12:05:35
респект данилову! з.ы. а каспер - лох. =)
0 |