Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 33
Жаль, что вирус такой старый, а то уж думала вспомнить былое и посмотреть что нового-интересного придумали.
и давно девушки 18 лет занимаются реверсингом? =)
например? Что именно интересного? Разве появились какие-то новые технологии за последний год? Просто много-то много, но ничего такого особенного, что было бы интересно ковырять. Копипаст друг у друга, всякие крипторы(хорошо если не на дельфях) и прочая хрень. Есть куча старых(и не очень) баз, где реально «уковыряйся». Но ничего интересного.
Просто когда с ЛК сотрудничала, пересмотрела столько всего, что после этого какое-то естественное отвращение появилось.
Вокруг этих вирусов антивирусные компании поднимают шумиху намного более громкую, нежели те заслуживают. Так, для поддержания интереса общественности.
Так что если есть что свежее-интересное — буду благодарна за ссылки, или просто наводки.
Просто когда с ЛК сотрудничала, пересмотрела столько всего, что после этого какое-то естественное отвращение появилось.
Вокруг этих вирусов антивирусные компании поднимают шумиху намного более громкую, нежели те заслуживают. Так, для поддержания интереса общественности.
Так что если есть что свежее-интересное — буду благодарна за ссылки, или просто наводки.
достаточно интересно: www.xakep.ru/post/47379/
www.securitylab.ru/news/366736.php
его поковыряйте. хотя на неискушенный взгляд технически ничего неординарного не представляет (полиморф, хотя кто-то говорил страшное слово пермутатор, на борту драйвер). но масштабы действия реально неплохие :)
его поковыряйте. хотя на неискушенный взгляд технически ничего неординарного не представляет (полиморф, хотя кто-то говорил страшное слово пермутатор, на борту драйвер). но масштабы действия реально неплохие :)
да, спасибо фсб *правда почему на вы. знакомы, вроде*
Я посмотрела пока обзор. не искала сам вирус… Поковырять можно, вполне
Я посмотрела пока обзор. не искала сам вирус… Поковырять можно, вполне
не вижу никаких противоречий. (люди их тоже, впрочем, не видят. судя по оценке)
Тот, кто напрямую с этим сталкивался, со мной согласятся (и согласились), а те, кто напрямую не ковырял тонны этого фарша и говорят, что все «новое-интересное». Да, ковыряла в 16-17. Но наскучило.
дабы не быть голословной — приведу ссылки.
вот весьма неплохой сайт с очень хорошими обзорами. Эти обзоры действительно стоящие, человек грамотен.
а вот итоги года. Там с 05.07 по 05.08. Весьма справедливо, стоит сказать. Сайт временами лежит, но в кэше гугла присутствует.
Сейчас я слежу за этим вполглаза. И если бы появилось что-то реально стоящее — обязательно кинулась бы посмотреть. Только и всего. А вышеуказанную бяку поковыряю хотя бы просто так. Чтобы посмотреть к чему пришли, если пришли, конечно.
Так что где противоречия?
Тот, кто напрямую с этим сталкивался, со мной согласятся (и согласились), а те, кто напрямую не ковырял тонны этого фарша и говорят, что все «новое-интересное». Да, ковыряла в 16-17. Но наскучило.
дабы не быть голословной — приведу ссылки.
вот весьма неплохой сайт с очень хорошими обзорами. Эти обзоры действительно стоящие, человек грамотен.
а вот итоги года. Там с 05.07 по 05.08. Весьма справедливо, стоит сказать. Сайт временами лежит, но в кэше гугла присутствует.
Сейчас я слежу за этим вполглаза. И если бы появилось что-то реально стоящее — обязательно кинулась бы посмотреть. Только и всего. А вышеуказанную бяку поковыряю хотя бы просто так. Чтобы посмотреть к чему пришли, если пришли, конечно.
Так что где противоречия?
Нет, конечно. А вы предложите что-нибудь поинтереснее с точки зрения реверсинга.
Кстати, бяку ковырял, все-таки он. А потом уже разошлось. Опять же, у neon-а всегда появляются интересные экземпляры, если они вообще есть.
Плюс, это не только мое мнение, рано или поздно все на нем сходятся. И вы после полугода ковыряния к нему придете
Кстати, бяку ковырял, все-таки он. А потом уже разошлось. Опять же, у neon-а всегда появляются интересные экземпляры, если они вообще есть.
Плюс, это не только мое мнение, рано или поздно все на нем сходятся. И вы после полугода ковыряния к нему придете
Много-много таблеток. Как правило — от руткитов и глубинных троянов не помогают они… AVZ пользовались? KernelMode для вышеописанных таблеток — пустой звук… да и направлены они на что-то конкретное.
На каждую заразу свой антидот… зачем так мучиться… я ни сколько не хочу умалить достоинства приведенного ПО, но есть такая полезная штука как образ системы. Если имеет дело с публичным местом и типовой конфигурацией рабочей станции, то загрузка из образа при рестарте вообще то, что доктор прописал.
Антивирус это хорошо, не ну стоит забывать и о других методах защиты или быстрого восстановления.
Антивирус это хорошо, не ну стоит забывать и о других методах защиты или быстрого восстановления.
Проблема в том, что все эти штуки надо применять на зараженной системе, а под ней большинство руткитов ничего не даст с собой сделать, а под LiveCD/хард-к-другой-системе эти тулзы не помогут.
Я в своей работе использую такую схему: гружусь с LiveCD, прогоняю AVZ, затем Dr.Web, перезагрузка в нормальный режим, чистка реестра с помощью jv16PT. Возможны нюансы, т.к. под LiveCD само собой ключи реестра надо править ручками (система-то другая), но если сталкиваешься с такими вещами регулярно, то уже знаешь куда смотреть.
При прочих равных, всегда, подчеркиваю, всегда выгоднее переставить систему чем лечить ее. За исключением тех ситуаций, когда систему нельзя переустанавливать: изощренный софт, банки-клиенты, прочая подобная мутотень.
Единственный, с моей точки зрения, случай, когда стоит применять подобные вещи: когда затронуты пользовательские данные (например зашифрованы) или когда нужно любой ценой поднять именно ту систему.
P.S. Если кому интересно, могу набросать общие тезисы по восстановлению зараженной системы. Ничего нового, просто мой опыт.
Я в своей работе использую такую схему: гружусь с LiveCD, прогоняю AVZ, затем Dr.Web, перезагрузка в нормальный режим, чистка реестра с помощью jv16PT. Возможны нюансы, т.к. под LiveCD само собой ключи реестра надо править ручками (система-то другая), но если сталкиваешься с такими вещами регулярно, то уже знаешь куда смотреть.
При прочих равных, всегда, подчеркиваю, всегда выгоднее переставить систему чем лечить ее. За исключением тех ситуаций, когда систему нельзя переустанавливать: изощренный софт, банки-клиенты, прочая подобная мутотень.
Единственный, с моей точки зрения, случай, когда стоит применять подобные вещи: когда затронуты пользовательские данные (например зашифрованы) или когда нужно любой ценой поднять именно ту систему.
P.S. Если кому интересно, могу набросать общие тезисы по восстановлению зараженной системы. Ничего нового, просто мой опыт.
есть еще Stinger от McAfee — vil.nai.com/vil/stinger/
Мне всегда было интересна: а эта битва с вирусами теперь будет вечной? Или просто это кому-то надо, а все мы просто попадаем под раздачу?
зы. я стал маленько побаиваться за свой мак. хотя, конечно, это не винда и тут не всё так фатально.
зы. я стал маленько побаиваться за свой мак. хотя, конечно, это не винда и тут не всё так фатально.
Use Linux, Luke! :)
К списку ещё можно добавить Trend Micro Sysclean:
www.trendmicro.com/ftp/products/tsc/sysclean.com
www.trendmicro.com/ftp/products/tsc/readme.txt
Для его работы требуются свежие базы:
www.trendmicro.com/download/viruspattern.asp
www.trendmicro.com/download/spywarepattern.asp
www.trendmicro.com/ftp/products/tsc/sysclean.com
www.trendmicro.com/ftp/products/tsc/readme.txt
Для его работы требуются свежие базы:
www.trendmicro.com/download/viruspattern.asp
www.trendmicro.com/download/spywarepattern.asp
И ещё парочка к общему списку,
F-Secure Easy Clean and Removal Tools:
www.f-secure.com/en_EMEA/security/security-lab/tools-and-services/removal-tools/
NORMAN Virus removal tools:
www.norman.com/Virus/Virus_removal_tools
F-Secure Easy Clean and Removal Tools:
www.f-secure.com/en_EMEA/security/security-lab/tools-and-services/removal-tools/
NORMAN Virus removal tools:
www.norman.com/Virus/Virus_removal_tools
Как можно запустить не понятное пришедшее в письме !?
Откуда у этого файла право на запись ?!
Откуда у этого файла право на запись ?!
в мемориз
А лучше сразу «предохранятся», например, HIPS с виртуализацией. Для меня стал открытием Sandboxie (http://www.sandboxie.com/). Все изменения оседают в песочнице, а не в реальной машине.
В интернете есть статьи и примеры кода, который позволяет вырваться за пределы песочницы. Вроде даже Крис Касперский и писал об этом
Еще есть несложные проверки, которые проверяют, работает ли вирус в песочнице, или на реальной системе. Вирусописателям стоит взять их на заметку ;)
Хотя риски сокращает в разы, это верно.
Еще есть несложные проверки, которые проверяют, работает ли вирус в песочнице, или на реальной системе. Вирусописателям стоит взять их на заметку ;)
Хотя риски сокращает в разы, это верно.
ИМХО лучшего забыли указать это AVZ — поддержка на уровне!!!
Всем рекомендую отличный антивирус AVZ
Прошу обновить пост верхний с добавлением туда AVZ
Всем рекомендую отличный антивирус AVZ
Прошу обновить пост верхний с добавлением туда AVZ
И Касперского бесплатного Вы неправильно готовите *)
Правильная ссылка — http://support.kaspersky.ru/viruses/avptool?level=2
Плюс — Всегда свеж
Минус — Не все чистит автоматом
Следствие — Применять для ковровых бомбометаний на соседском компе, в котором вирусы уже начали заражать друг-друга *)
Потом ручная зачистка AVZ по ссылке выше.
Правильная ссылка — http://support.kaspersky.ru/viruses/avptool?level=2
Плюс — Всегда свеж
Минус — Не все чистит автоматом
Следствие — Применять для ковровых бомбометаний на соседском компе, в котором вирусы уже начали заражать друг-друга *)
Потом ручная зачистка AVZ по ссылке выше.
ComboFix
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Таблетки счастья