Pull to refresh

Comments 41

Будучи админом, неоднократно сталкивался с этой пакостью.
Продуманность сего творения у меня вызывает чувство уважения.
Очень интересно было почитать. Если есть сводки по другим вирусаям, с удовольствием бы почитал.
Спасибо за статью!
Планируются еще статьи по всем основным и значимым «зверушкам»
Познавательная статья. Пишите еще. Спасибо!
Да, три статьи, одного автора, на одну тему, все в лучшем за сутки — достойно уважения (и продолжения)
Статья крутая, только разработчики все это делали далеко не в исследовательских целях. Трафикконвертер заработал на fakeav десятки миллионов долларов
а если точнее, то 72 миллиона по официальным данным, на которые ссылается Брайан Кребс
Ему бы я точно не стал доверять, пишет что попало ничего не проверяя… причем ещё и личные данные людей выкладывает афишируя дыры в вебмани…
Но заработали много, это точно…
Ну эта цифра мелькала в официальных отчетах по расследованию
А есть информация, какую выручку приблизительно сделал Conficker? И потом — могли бы просто функционал нарастить, а не использовать сторонний продукт — Waledac.
Насчет других цифр по выручке — я найти не смог, к сожалению.
А вот насчет waledac — возможно, это вообще не трафикконвертера придумка, а бонус кого-то из их адвертов. Дополнительная монетизация, так сказать. Но это исключительно мое предположение.
Я думаю — это основная монетизация была, просто получили деньги за установку Waledac и FakeAV, и не заморачивались по мелочам. Принцип Malware as Service.
Мне кажется, что функции самозащиты для вирусов создавать теперь нецелесообразно. Прошли те времена, когда админ боролся с вирусом на живой машине. Гораздо проще и надежнее подсоединить жесткий диск к заведомо чистому компу и оттуда обработать его антивирусом. Я и знакомые админы только так всегда и поступают, чтобы бить сразу и наверняка.

Блокировки таск-менеджера и других функций ОС, перезапуск завершаемых процессов, руткиты… Компьютер, контролируемый ВПО, теоретически может препятствовать любым попыткам его вылечить во время работы. Казалось бы, вирусы выигрывают это сражение. Но толку? Какой же админ оставляет попытки вылечить компьютер, столкнувшись с противодействием? Выиграв сражение на работающем компьютере, вирусу все равно не устоять против усилий человека, имеющего к компьютеру физический доступ.
Сколько у вас пользовательских машин в компании? Это я к тому, что имея несколько филиалов в разных странах и число компов более нескольких тысяч метод «отключил винт — почистил — включил» становится нереальным для практического применения.
А чем не утраивает Live CD? Ничего отключать не нужно. Достаточно загрузить чистую систему и запустить проверку HDD,
Или можно прийти к компу с админским ноутбуком, открыть системный блок, подключиться к винту USB-адаптером, с ноута почистить вирусы и вернуть провода на место. Не нужно даже ждать загрузки ОС на ноуте. Это уж точно не займет больше времени, чем борьба с живым вирусом, если он умело обороняется. Даже если удастся установить обновления и антивирус на зараженный комп до лечения — не факт, что последующее лечение окажется эффективным. Например, если вирус вмешается в работу антивируса незаметным образом — то антивирус сообщит об успешном лечении, а на самом деле вирус останется в системе. Так что альтернативы «In Vitro» варианту лечения я просто не вижу.
Удобней делать загрузку из сети (bootp), которая по умолчанию грузит систему с жёсткого диска, но в случае чего можно и запустить из сети систему с автоматическим антивирусом с последующей перезаливкой системы и переход на hardened linux с grsecurity.^h^h
Сканирование винта занимает очень много времени… поэтому гораздо проще и эффективнее использовать точки восстановления, а в очень запущенных случаях быстрое развертывание образа системы и восстановление данных из резервной копии, в крайнем случае переустановка системы, занимает меньше времени чем сканирование целого винта, для примера 1 ТБ винт забитый на 70% может сканироваться несколько суток.
Многие модели фирменных системников и ноутов, которые обычно закупают корпоративщики имеют встроенную систему восстановления, обычно вшитые в БИОС функции, + скрытые системные разделы на винтах для восстановления, а также функция загрузки и установки системы через сеть (LAN Boot).
Последнее время очень многие компании организовывают всю работу так чтобы приложения на компьютерах-клиентах работали в клиент-серверном режиме, и без проблем могли быстро восстановить работу при любых проблемах как программных так и аппаратных.
Основная задача антивирусов препятствовать проникновению, лечение очень часто бывает просто невозможным, кроме того ни один антивирус не защитит от новейших вирусов, самообновляемых и др…
И конечно же обновления, пользовательский режим и UAC (контроль учетных записей) в большинстве случаев не дадут заразить систему даже если не установлен антивирус.
Да, к сожалению, все на что способный антивирусы — предотвращать атаки уже известных угроз. Ну и плюс база сигнатур не может расти бесконечно, может случится так, что большую часть процессорного времени будет занимать сканирование.
С этим согласен. Такой метод лечения еще надежнее, чем сканирование системы антивирусами. Я слышал, что в некоторых фирмах админы полностью переставляют компы, на которых было выявлено заражение (путем развертывания образа или иным способом) — из соображений безопасности, так как вы верно заметили, что сканирование диска антивирусами — не гарантия того, что все вредоносное ПО будет обезврежено.

Такой под ход тем более делает нецелесообразным наличие в вирусах функций самозащиты. Есть она или нет — неважно, когда происходит полное удаление исполняемых файлов с зараженного компьютера.

Другой вопрос, что пользовательские данные обычно подлежат восстановлению с зараженной машины. Если вирус каким-то образом заразил эти данные (например, документы) — то переустановка ОС не спасет, возможно повторное заражение. Можно даже пофантазировать на тему того, чтобы вирус внедрял свой код в исходники программ на компьютерах программистов :) Раз это возможно в принципе — то когда-нибудь кто-нибудь это сделает, хотя бы для целей точечных атак на конкретные конторы с целью промышленного шпионажа и т.д.

Также слабым местом процедуры полной перезаписи диска является то, что некоторые вирусы внедряются в БИОС, а возможно — и в прошивки других периферийных устройств. Мне кажется, что тут должны дать ответ производители оборудования, сделав загрузчики встроенного ПО с применением шифрования и/или ЭЦП. Лично я применяю такие загрузчики в разрабатываемых устройствах. Не хочу, чтобы кто попало копался в коде для МК или менял его. Хотя и тут остается опасность в виде уязвимостей штатного встроенного ПО.
Насчет «чтобы вирус внедрял свой код в исходники» — есть такой образец, заражает исходники программ на Delphi. Ну а в Linux это вообще просто, вот станет она чуток популярнее, и количество ВПО стремительно пойдет вверх.
Можно вопрос?
Существует пять основных модификаций Conficker, обозначаемых буквами A (21 ноября 2008), B (29 декабря 2008), C (20 февраля 2009), D (4 марта 2009), E (7 апреля 2009).

D… Была устранена ошибка в реализации MD6 типа «переполнение буфера», допущенная разработчиком алгоритма Рональдом Ривестом и обнародованная 19 февраля 2012 года.

Как это удалось автору? Автор вируса что, обнаружил ошибку еще до опубликования ее автором?

Просто возможно я не понял, что эти даты в скобках показывают…
Тоже задумался над этим.
Что-то сейчас подумал-подумал… Ну действительно, СПЕЦУ (а как иначе?) по компьютерной безопасности (пусть и в темном плаще), находившему уязвимости в том числе переполнения буфера в разных протоколах в машинном коде, я думаю не составило бы труда исправить такую же в реализации ( скорее всего в исходниках). Так что ничего странного.
Прошу прощения дата неправильная — год не 2012, а 2009 — поправил.
Эх, такую красивую легенду сорвали… а я в следующий раз буду тщательнее думать над выбором комментарий или личка.
Да ладно =) Это хорошо, что люди вдумчиво читают — меньше ошибок.
Цифры в скобках показывают дату обнаружения: A (21 ноября 2008), B (29 декабря 2008), C (20 февраля 2009), D (4 марта 2009), E (7 апреля 2009)
да с учетом вашей поправки, я уже понял что изначально понял правильно) все хорошо же, расслабьтесь…
Похожий документ находил, назывался как-то вроде «Список вирусов, детектируемых Dr.Web». Возможно, это он и есть.
Да, он и есть. С первой страницы: «Каталог вирусов, определяемых и обезвреживаемых Dr. Web 4.00». Скорей всего к этому антивирусу и прилагалось.
Был такой антивирус — Panda Antivirus, так вот в него была встроена энциклопедия вирусов. Довольно интересно, кстати.
На самом деле она и была написана пару лет назад, все руки не доходили запостить куда-нибудь.
Ах, а вдруг сейчас разработчик конфикера сидит на хабре, читает эту статью и коварно ухмыляется…
Более того, он может быть кем то из нас
Only those users with full accounts are able to leave comments. Log in, please.