WannaCry vs. Adylkuzz: кто кого опередил?

[KIVagant]

Стилистическое:

Благородные разработчики Adylkuzz пошли другим путём…
..., всё же сложно назвать вирусописателей благородными :-)

Сложно, но можно :)

[Idot]

А ещё можно вспомнить червя, который пачтил компьютеры защищая их от других червей.

[WaveCut]

Конкуренция за среду обитания

[steff]

Да-да, было дело: https://ru.wikipedia.org/wiki/Netsky_(червь)

[steff]

Поправил, спасибо

[BenjaminB]

Более полное исследование (но на английском, правда) с практическими выводами.
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi

[MaroccoBanana]

И как же выяснить, заражён ли компьютер?

[LoadRunner]

По аномальной нагрузке на процессор\видеокарту?

[titulusdesiderio]

пфф. так мы и svchost системный в лютые вирусы записать можем

[LoadRunner]

Я же говорю про аномальную, а не про нормальную. Если svchost системный и нагружает проц — надо смотреть по ID процесса, какие службы его задействуют. Скорее всего, это служба обновления. Реже что-либо ещё. Но в любом случае, полезно знать, какая служба даёт нагрузку, чтобы сделать что-нибудь с этим.
И мы же говорим про способы обнаружения майнера — а анализ запущенных процессов и служб вполне может дать эту информацию.

[mayorovp]

ID процесса в случае svchost много не скажет. А вот по ID потока можно найти виновника довольно точно...

[LoadRunner]

Диспетчер задач вроде не умеет в id потока? Это уже сторонний софт нужен.

[mayorovp]

Да, тут нужен Process explorer

[LoadRunner]

Ну это уже уровень знаний, когда вероятность заразиться майнером или чем ещё стремится к нулю.

[WGH]

Интересно, каким образом знания могут защитить от зеродеев в штатных функциях ОС?..

[LoadRunner]

Знания помогут не подцепить малварь. От зеродеев застрахован только Неуловимый Джо.
Ну и те, кто регулярно ставит обновления — есть шанс, что в случае эпидемий их не затронет.

[Anthrax_Beta]

Майнер проще выколупать из системы, нежели безвозвратно(в большинстве случаев) потерять инфу от шифровальщика.

[Dioxin]

Да можно его и оставить на время, за то что защитил, пусть и дальше защищает от шифровальщика.
А небольшая плата в виде майнинга вполне приемлема.

[Anthrax_Beta]

О таком варианте я даже и не подумал :)

[LoadRunner]

Довольно нелогично. Если есть навыки и возможности выколупать майнер, то почему бы попутно не пропатчить уязвимость?

[Dioxin]

Ну уж если на то пошло безопасностью надо заниматься постоянно, на всех уровнях.
Тогда не будет ни шифровальщиков, ни майнеров.
Многие же домашние пользователи даже антивирус не ставят, т.к. «ТОРМОЗИТ».
Пусть уж лучше у них тогда майнер работает, хоть файлы не зашифрует.

[ilyaplot]

Пока в метро у человека не вытащат из заднего кармана деньги, он так и будет их там носить. То же самое с безопасностью. Пока все работает и нет убытков, безопасностью занимается меньшенство.

[Dioxin]

Не согласен, все зависит от человека.
У меня кошелек не вытаскивали ни разу — а все потому что я его не ношу в заднем кармане.
Знакомый же, который поймал шифровальщика «принципиально не ставит антивирус» по каким-то своим убеждениям.

[arch-vile]

По-моему от WanaCry антивирусы не очень то спасли.

[Dioxin]

Панда утверждает что она спасает.
У меня статистики нет.
Потом — есть другие бастионы защиты, например выходить в инет через роутер с закрытыми портами и соблюдение внутренней чистоты.

[LoadRunner]

Ну теперь-то они его знают и обещают детектировать.

[Ghool]

Ну, может какие-то и спасли

[ilyaplot]

А сколько вирусов борятся за место под солнцем на твоем необновленным компе?

[Dioxin]

С чего бы? Обновы это далеко не панацея и не единственный уровень защиты.

[AxisPod]

Т.е. по ходу МС тут надо было не патчи делать, а делать вирус, который именно и закрывает дыру.

[Ghool]

10-ка тоже подвержена

[AxisPod]

1703 ужо нет.

[AxisPod]

Ну так могли впарить инсталлер Win10 таким образом.

[Ghool]

Механизм автораспространения обновлений у них и так есть.
По крайней мере у тех, кто не отключил его.

[Demon_i]

Попав на компьютер жертвы Adylkuzz сканирует компьютер на наличие своих же копий, завершает их, блокирует SMB-коммуникации

Чего то я недопонимаю. Если там есть предыдущая копия, то SMB заблокировано. Как он тогда попадает на компьютер?

[LoadRunner]

Это если упрямый пользователь снова SMB разблокировал, наверное.

[steff]

Хороший вопрос :-) Возможно, «чтобы обеспечить выживаемость» вирус в любом случае выполняет эти действия.

[sanblch]

Майнеры не влияют на капитализацию. По крайней мере в такой популярной криптовалюте, как Монеро. Просто вирусописец нашел себе хороший способ заработать на своем ремесле.