В этом топике происходит исследование малвари: вирусни, троянов, как их вычистить и тд.

| Сообщение посчитали полезным:

[HEX] пишет:
Карантин смотрится примитивнейшим методом! AVZ запускаешь и в меню Файл есть пункт Просмотр карантина.

Действительно все просто. Но там ничего не оказалось. Видимо все было безжалостно удалено при сканировании.

| Сообщение посчитали полезным:

agentSmith
Возможно конечно и убил AVZ все файлы =\ Хотя в логе написано что переместил в карантин Наверное уже антивирусник после AVZ убил их в карантине.

R3GOD.DLL - Radmin если сам ставил, то значит ничего страшного, а если незнаешь что это такое то значит впарили тебе =) Чтобы потом елозить твое ведро по полной программе.
PROTECT.SYS - Ядрённый руткит. Прячет себя и своих собратьев по оружию Других назначений у него нет.
Winlogon.exe - вроде в норме, хотя и отличается по размеру от моего. Видать версии разные =\

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Возможно конечно и убил AVZ все файлы =\ Хотя в логе написано что переместил в карантин Наверное уже антивирусник после AVZ убил их в карантине.

R3GOD.DLL - Radmin если сам ставил, то значит ничего страшного, а если незнаешь что это такое то значит впарили тебе =) Чтобы потом елозить твое ведро по полной программе.
PROTECT.SYS - Ядрённый руткит. Прячет себя и своих собратьев по оружию Других назначений у него нет.
Winlogon.exe - вроде в норме, хотя и отличается по размеру от моего. Видать версии разные =\

Антивирусник я снес еще до начала проверки- McAfee стоял. Теперь буду регулярно AVZ сканить. На счет R3GOD.DLL - это кряка к радмину 3.0, вечный триал. Но не исключено, что и он заражен- всякое бывает.

Кто-нибудь пробовал ставить Kerio WinRout FireWall+AVZ? Уживутся?

| Сообщение посчитали полезным:

agentSmith
Лучше поставь bitdefender_free_v10 , с их сайта( bitdefender.com/ ) можно скачать.AVZ не рулит.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

agentSmith
На мой взгляд AVZ всеже не антивирусник! А инструмент для поиска "грязи" на вашем компе.

Так что нужно просто время от времени проверяться им и все.

А какой ставить антивирусник это дело твое личное. Тут у всех мнения разные. Кто то за Каспера, кто то за НОД, а кто то вон и за Дефендера. Так что решай сам что ставить. Но монитор нужен обязательно. Так как контролировать все и вся руками не получится, а тут какая никакая но всеже защита имеется.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
Хмм... давно такого не было на крэклабе. Неплохие знания даешь. Респект и Уважение. причем все самому мона на практике попробовать. Видать ты из старой гвардии!!! молодые либо флуд либо не в тему...

| Сообщение посчитали полезным:

[HEX] пишет:
Но монитор нужен обязательно
Если руки не кривые, то и монитор не нужен. У меня, например, все интернет приложения запускаются из под учетки юзера, без прав админа. + простой не глючащий сканер битдефа(бесплатный причем), его монитор из последних версий юзать не советую, слишьком много багов. О каспере и так много сказано на руткитком, нод - гавно порядночное, мне удавалось выйти из под его эмуля в систему, там конечно должны выполняться некоторые условия, но факт есть факт. хз как с последними его версиями.
Так что вывод один - работать в интернете из под учетки без прав админа, и не более.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

tnt17
Обчыному статистическому юзверу жутко не удобно работать на машине без прав Так как они незнаю что такое права и как с ними работать. А если игрушка не ставится или программа какая, то им ПОХ на секьюрность лишь бы все работало так как они хотят без всяких заморочек. Ты друзей и знакомых небось по пальцем можешь пересчитать кто сидит так же под юзвером.

Virgo
Чего небыло то? Какие знания даю? Может и старый, но не из гвардии никакой Это так просто знания мозг давят... вот и прет куда попало

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

8) vot interesnaa vesh dla kovirania !!!

Перуканский троян для перехвата Gmail сообщений. Не обнаруживается антивирусами на момент публикации статьи.

Состоит из следующих файлов:

c:\Documents and Settings\%user%\Local Settings\Temp\iexplorer.exe Размер: 173,738 Байт
c:\WINDOWS\System32winxhost.exe Размер: 24,601 Байт
c:\WINDOWS\system32\reshost392.exe Размер: 24,601 Байт
c:\WINDOWS\system32\winxhost.exe Размер: 24,866 Байт
c:\WINDOWS\system32\winxhost.exe Размер: 24,866 Байт

Также создает следующий ключ реестра:

added to registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Internet7"
data: C:\WINDOWS\System32\winxhost.exe




4e21_05.10.2007_CRACKLAB.rU.tgz - IP_Gmailer_1_3.zip

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

tnt17 пишет:
перехвать - это вообще цирк. У антивируса в SSDT:
NtOpenProcess, NtOpenThread,NtTerminateProcess. ну и нотифи на загрузку образа и создание процесса. На 3м кольце не трогали ничего
Почему цирк? По-моему, этого даже много, при правильном подходе.

| Сообщение посчитали полезным:

если я чищу SSDT то Антивирус повторно влезет ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

[HEX] пишет:
agentSmith
На мой взгляд AVZ всеже не антивирусник! А инструмент для поиска "грязи" на вашем компе.

Так что нужно просто время от времени проверяться им и все.

А какой ставить антивирусник это дело твое личное. Тут у всех мнения разные. Кто то за Каспера, кто то за НОД, а кто то вон и за Дефендера. Так что решай сам что ставить. Но монитор нужен обязательно. Так как контролировать все и вся руками не получится, а тут какая никакая но всеже защита имеется.

Пасиба за дельные советы!

| Сообщение посчитали полезным:

S_T_A_S_ пишет:
Почему цирк? По-моему, этого даже много, при правильном подходе.
Ну хорошо, но тогда не учитываются атаки на FS, да и дллку можно проинжектить. О драйверах вообще не говорю - ставь сколько хочешь. Это даже при правильном подходе к реализации. Конечно, спорить не буду, что при нормальной реализации отсеивается очень много потенциально возможных атак, но ее в битдефе покуда - просто нету.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

tnt17 пишет:
не учитываются атаки на FS
Для этого нужны не хуки, а фильтр.

tnt17 пишет:
дллку можно проинжектить.
Не имея хендла процесса или его тредов? + Загрузка PE имиджей (в том числе по ключам реестра) мониторится нотификатором.

tnt17 пишет:
О драйверах вообще не говорю - ставь сколько хочешь
см. выше.

tnt17 пишет:
при нормальной реализации отсеивается очень много потенциально возможных атак, но ее в битдефе покуда - просто нету
Стало быть цирк - это не хуки, а реализация

| Сообщение посчитали полезным:

S_T_A_S_
ну может быть, соглашусь вобщем. хотя лучше видить конкретную реализацию, и думать исходя из нее, нежели гадать что могут придумать,а в данном случае реализация - кривая.

-----
– Почему ты работаешь по ночам ? – Так удобнее... В одну смену с чертями...

| Сообщение посчитали полезным:

Не плохая защита получаеться (даже если руки кривоваты :s5 из AVG(можно еще найти в инете фриварный билд, если заинтересует могу выложить. у AVG бесплатное обноление в отличии от гемора с NOD и систему поменьше грузит) + Аутпост
У меня куча клиентов так защищены.
А с нодом бывает проблема с отваливающимся amon.dll

| Сообщение посчитали полезным:

Но и как инструмент AVZ тоже не помешает, особенно если наловят троянов которые отрубают спулы, нарушают работу tc/ip, и другими диструктивными дейсвиями.

| Сообщение посчитали полезным:

Аутпост нельзя юзать. Они не закрывают опубликованные год назад дыры :\

| Сообщение посчитали полезным:

S_T_A_S_

Винду тоже нельзя юзать в ней много незакрытых и неопубликованных дыр.

Вот вам USB превед от китайцев на vb.

password: 12345

rku.nm.ru/malware.rar

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

А... демагогия У винды нет конкурентов. Да и одно дело, когда о дыре разработчик не знает, поэтому не закрывает. Другое дело, когда о проблеме известно давно, но исправить её не могут. Выходит это не баг, а ошибка дизайна.

| Сообщение посчитали полезным:

С чего ты взял, что они не могут это исправить, потому что не в состоянии?

-----
Security through obscurity is just an illusion

| Сообщение посчитали полезным:

мм пинчегов нема больше ?? )

| Сообщение посчитали полезным:

Halt, trffc.org/gate/ хуячте, там ещё тдс и трафы нормал льёцца, удаче вам ;)

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV
Так этож вроде тот же самый сервак у которого я на предыдущей странице закрывал листинг директории http://exelab.ru/f/action=vthread&forum=2&topic=6500&page= 15#27

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], хз, я нашёл упоминание о нём в ифрейме с фтп юзаных. а ваще норм хост, на работраф льют трафу миллионами) и сплоет какойто там, написано пробив 15-50% на миксе, ну ёпт, а по стате 9-10))

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV
Ну так они заражают кучу сайтов ифреймами на сплоит который в конце концов приведет посетителя к ним на сервак ну и заодно отчеты прилетят. После того как отчеты прилетят делаем выборку по фтп аккаунтов и по новой...

Сплоит юзают против IE. Хотя возможно и на Мозилу что то есть, но детально я не смотрел.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], их гавносплоет это переписаный малоизвестный orangepack, только оранж бил тока осла а этот ещё и оперу (exp/opera.php).

-----
Shalom ebanats!

| Сообщение посчитали полезным:

SLV
Оперу они не заражают!!!
Посмотри файлик и увидишь что юзают сплоит только для IE, а остальным пустышку выдают.

if ($browser == "MSIE") { include 'exp/exps.php';}
else include "exp/nope.php";

Пытался потестить ихний сплоит под оперу, но на последней версии Оперы (9.24) не прокатило.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX], ы точно, сплоет есть а кода нет, лол))
BishopPriest, ничего, запускай и дальше всё подрят, тут на форуме както крякер инета был, советую потестить..

-----
Shalom ebanats!

| Сообщение посчитали полезным:

BishopPriest
Ты лучше раскажи фотку то посмотрел? Стоило того хоть? А то наепали наверное и даже фотку не показали... в двойне небось обидно стало?

Файл пакуй с паролем virus и кидай сюда или на шару hexcsl.com/upload/

-----
Computer Security Laboratory

| Сообщение посчитали полезным: