Comments 41
Будучи админом, неоднократно сталкивался с этой пакостью.
Продуманность сего творения у меня вызывает чувство уважения.
Очень интересно было почитать. Если есть сводки по другим вирусаям, с удовольствием бы почитал.
Спасибо за статью!
Продуманность сего творения у меня вызывает чувство уважения.
Очень интересно было почитать. Если есть сводки по другим вирусаям, с удовольствием бы почитал.
Спасибо за статью!
Познавательная статья. Пишите еще. Спасибо!
Эту бы энергию, да в мирное русло…
Статья крутая, только разработчики все это делали далеко не в исследовательских целях. Трафикконвертер заработал на fakeav десятки миллионов долларов
а если точнее, то 72 миллиона по официальным данным, на которые ссылается Брайан Кребс
Ему бы я точно не стал доверять, пишет что попало ничего не проверяя… причем ещё и личные данные людей выкладывает афишируя дыры в вебмани…
Но заработали много, это точно…
Но заработали много, это точно…
Ну эта цифра мелькала в официальных отчетах по расследованию
А есть информация, какую выручку приблизительно сделал Conficker? И потом — могли бы просто функционал нарастить, а не использовать сторонний продукт — Waledac.
Мне кажется, что функции самозащиты для вирусов создавать теперь нецелесообразно. Прошли те времена, когда админ боролся с вирусом на живой машине. Гораздо проще и надежнее подсоединить жесткий диск к заведомо чистому компу и оттуда обработать его антивирусом. Я и знакомые админы только так всегда и поступают, чтобы бить сразу и наверняка.
Блокировки таск-менеджера и других функций ОС, перезапуск завершаемых процессов, руткиты… Компьютер, контролируемый ВПО, теоретически может препятствовать любым попыткам его вылечить во время работы. Казалось бы, вирусы выигрывают это сражение. Но толку? Какой же админ оставляет попытки вылечить компьютер, столкнувшись с противодействием? Выиграв сражение на работающем компьютере, вирусу все равно не устоять против усилий человека, имеющего к компьютеру физический доступ.
Блокировки таск-менеджера и других функций ОС, перезапуск завершаемых процессов, руткиты… Компьютер, контролируемый ВПО, теоретически может препятствовать любым попыткам его вылечить во время работы. Казалось бы, вирусы выигрывают это сражение. Но толку? Какой же админ оставляет попытки вылечить компьютер, столкнувшись с противодействием? Выиграв сражение на работающем компьютере, вирусу все равно не устоять против усилий человека, имеющего к компьютеру физический доступ.
Сколько у вас пользовательских машин в компании? Это я к тому, что имея несколько филиалов в разных странах и число компов более нескольких тысяч метод «отключил винт — почистил — включил» становится нереальным для практического применения.
А чем не утраивает Live CD? Ничего отключать не нужно. Достаточно загрузить чистую систему и запустить проверку HDD,
Или можно прийти к компу с админским ноутбуком, открыть системный блок, подключиться к винту USB-адаптером, с ноута почистить вирусы и вернуть провода на место. Не нужно даже ждать загрузки ОС на ноуте. Это уж точно не займет больше времени, чем борьба с живым вирусом, если он умело обороняется. Даже если удастся установить обновления и антивирус на зараженный комп до лечения — не факт, что последующее лечение окажется эффективным. Например, если вирус вмешается в работу антивируса незаметным образом — то антивирус сообщит об успешном лечении, а на самом деле вирус останется в системе. Так что альтернативы «In Vitro» варианту лечения я просто не вижу.
Сканирование винта занимает очень много времени… поэтому гораздо проще и эффективнее использовать точки восстановления, а в очень запущенных случаях быстрое развертывание образа системы и восстановление данных из резервной копии, в крайнем случае переустановка системы, занимает меньше времени чем сканирование целого винта, для примера 1 ТБ винт забитый на 70% может сканироваться несколько суток.
Многие модели фирменных системников и ноутов, которые обычно закупают корпоративщики имеют встроенную систему восстановления, обычно вшитые в БИОС функции, + скрытые системные разделы на винтах для восстановления, а также функция загрузки и установки системы через сеть (LAN Boot).
Последнее время очень многие компании организовывают всю работу так чтобы приложения на компьютерах-клиентах работали в клиент-серверном режиме, и без проблем могли быстро восстановить работу при любых проблемах как программных так и аппаратных.
Основная задача антивирусов препятствовать проникновению, лечение очень часто бывает просто невозможным, кроме того ни один антивирус не защитит от новейших вирусов, самообновляемых и др…
И конечно же обновления, пользовательский режим и UAC (контроль учетных записей) в большинстве случаев не дадут заразить систему даже если не установлен антивирус.
Многие модели фирменных системников и ноутов, которые обычно закупают корпоративщики имеют встроенную систему восстановления, обычно вшитые в БИОС функции, + скрытые системные разделы на винтах для восстановления, а также функция загрузки и установки системы через сеть (LAN Boot).
Последнее время очень многие компании организовывают всю работу так чтобы приложения на компьютерах-клиентах работали в клиент-серверном режиме, и без проблем могли быстро восстановить работу при любых проблемах как программных так и аппаратных.
Основная задача антивирусов препятствовать проникновению, лечение очень часто бывает просто невозможным, кроме того ни один антивирус не защитит от новейших вирусов, самообновляемых и др…
И конечно же обновления, пользовательский режим и UAC (контроль учетных записей) в большинстве случаев не дадут заразить систему даже если не установлен антивирус.
Да, к сожалению, все на что способный антивирусы — предотвращать атаки уже известных угроз. Ну и плюс база сигнатур не может расти бесконечно, может случится так, что большую часть процессорного времени будет занимать сканирование.
С этим согласен. Такой метод лечения еще надежнее, чем сканирование системы антивирусами. Я слышал, что в некоторых фирмах админы полностью переставляют компы, на которых было выявлено заражение (путем развертывания образа или иным способом) — из соображений безопасности, так как вы верно заметили, что сканирование диска антивирусами — не гарантия того, что все вредоносное ПО будет обезврежено.
Такой под ход тем более делает нецелесообразным наличие в вирусах функций самозащиты. Есть она или нет — неважно, когда происходит полное удаление исполняемых файлов с зараженного компьютера.
Другой вопрос, что пользовательские данные обычно подлежат восстановлению с зараженной машины. Если вирус каким-то образом заразил эти данные (например, документы) — то переустановка ОС не спасет, возможно повторное заражение. Можно даже пофантазировать на тему того, чтобы вирус внедрял свой код в исходники программ на компьютерах программистов :) Раз это возможно в принципе — то когда-нибудь кто-нибудь это сделает, хотя бы для целей точечных атак на конкретные конторы с целью промышленного шпионажа и т.д.
Также слабым местом процедуры полной перезаписи диска является то, что некоторые вирусы внедряются в БИОС, а возможно — и в прошивки других периферийных устройств. Мне кажется, что тут должны дать ответ производители оборудования, сделав загрузчики встроенного ПО с применением шифрования и/или ЭЦП. Лично я применяю такие загрузчики в разрабатываемых устройствах. Не хочу, чтобы кто попало копался в коде для МК или менял его. Хотя и тут остается опасность в виде уязвимостей штатного встроенного ПО.
Такой под ход тем более делает нецелесообразным наличие в вирусах функций самозащиты. Есть она или нет — неважно, когда происходит полное удаление исполняемых файлов с зараженного компьютера.
Другой вопрос, что пользовательские данные обычно подлежат восстановлению с зараженной машины. Если вирус каким-то образом заразил эти данные (например, документы) — то переустановка ОС не спасет, возможно повторное заражение. Можно даже пофантазировать на тему того, чтобы вирус внедрял свой код в исходники программ на компьютерах программистов :) Раз это возможно в принципе — то когда-нибудь кто-нибудь это сделает, хотя бы для целей точечных атак на конкретные конторы с целью промышленного шпионажа и т.д.
Также слабым местом процедуры полной перезаписи диска является то, что некоторые вирусы внедряются в БИОС, а возможно — и в прошивки других периферийных устройств. Мне кажется, что тут должны дать ответ производители оборудования, сделав загрузчики встроенного ПО с применением шифрования и/или ЭЦП. Лично я применяю такие загрузчики в разрабатываемых устройствах. Не хочу, чтобы кто попало копался в коде для МК или менял его. Хотя и тут остается опасность в виде уязвимостей штатного встроенного ПО.
Можно вопрос?
Как это удалось автору? Автор вируса что, обнаружил ошибку еще до опубликования ее автором?
Просто возможно я не понял, что эти даты в скобках показывают…
Существует пять основных модификаций Conficker, обозначаемых буквами A (21 ноября 2008), B (29 декабря 2008), C (20 февраля 2009), D (4 марта 2009), E (7 апреля 2009).
D… Была устранена ошибка в реализации MD6 типа «переполнение буфера», допущенная разработчиком алгоритма Рональдом Ривестом и обнародованная 19 февраля 2012 года.
Как это удалось автору? Автор вируса что, обнаружил ошибку еще до опубликования ее автором?
Просто возможно я не понял, что эти даты в скобках показывают…
Тоже задумался над этим.
Что-то сейчас подумал-подумал… Ну действительно, СПЕЦУ (а как иначе?) по компьютерной безопасности (пусть и в темном плаще), находившему уязвимости в том числе переполнения буфера в разных протоколах в машинном коде, я думаю не составило бы труда исправить такую же в реализации ( скорее всего в исходниках). Так что ничего странного.
Прошу прощения дата неправильная — год не 2012, а 2009 — поправил.
Цифры в скобках показывают дату обнаружения: A (21 ноября 2008), B (29 декабря 2008), C (20 февраля 2009), D (4 марта 2009), E (7 апреля 2009)
[offtopic]
Напомнило описание вирусов, которое прилагалось к какому-то антивирусу. Зачитывался «в детстве» =).
[/offtopic]
Напомнило описание вирусов, которое прилагалось к какому-то антивирусу. Зачитывался «в детстве» =).
[/offtopic]
По поводу статьи. Хорошо конечно, но на пару лет раньше бы — вообще прекрасно было.
Ах, а вдруг сейчас разработчик конфикера сидит на хабре, читает эту статью и коварно ухмыляется…
Ну не с Марса же =)
Sign up to leave a comment.
Conficker — из пушки по воробьям