Комментарии 59
НЛО прилетело и опубликовало эту надпись здесь
Шифровать он начинает в случае попыток анализа, чтобы нагадить, я пологаю. Основной его функционал все таки — перехват пост-запросов из браузеров.
blogs.cisco.com/wp-content/uploads/wireshark-wm.png
blogs.cisco.com/wp-content/uploads/wireshark-wm.png
Сам анализ от Циско blogs.cisco.com/security/talos/rombertik
Мастерство заголовка.
Так и представляется окно с эррором: «Компьютер не обнаружен. Вирусная атака будет прервана!» Ну и `( A )bort/( R )echeck/( I )gnore`, конечно же.
Так и представляется окно с эррором: «Компьютер не обнаружен. Вирусная атака будет прервана!» Ну и `( A )bort/( R )echeck/( I )gnore`, конечно же.
В чём новость-то? Из глубины веков всплыл зловред, который не просто включает машину в ботнет, но и агрессивно пакостит?
НЛО прилетело и опубликовало эту надпись здесь
Я тоже думаю, что оно не настолько страшное, как его господин Кирк и др. малюют.
В вирусах вообще, кстати, самое интересное — не то что он делает попав на комп, это для меня всегда вторично было. Более интересен загрузчик или проще говоря способ попадания на комп. Все остальное же, ну да — дрянь завелась, ну да — время потратишь на восстановление и/или чистку — кому как нравится (один ли он завелся и всё ли нашли, что загрузилось и т.д. и т.п.).
А тенденция «научных» и около-научных статей последнее время мне и вовсе не нравится:
Ну вот не интересуют меня вирусы (чтобы они не делали) которые через вконтактик глупенькая домохозяйка скачала, запустила да еще и админские права ему дала, когда оно попросило. От слова совсем.
И почему то как раз часть про появление / распространение остается как правило за кадром, или вскользь упомянут или не правда вовсе. А это имхо — самое вкусное + таким людям как я, принципиально не пользующих «антивирусы», чрезвычайно интересно, какую дверь и где бы еще прикрыть.
В итоге ощущение: то ли двери все уже «позакрывали» (что вряд ли), то ли клепают одну вирусню для таких-вот домохозяек…
В вирусах вообще, кстати, самое интересное — не то что он делает попав на комп, это для меня всегда вторично было. Более интересен загрузчик или проще говоря способ попадания на комп. Все остальное же, ну да — дрянь завелась, ну да — время потратишь на восстановление и/или чистку — кому как нравится (один ли он завелся и всё ли нашли, что загрузилось и т.д. и т.п.).
А тенденция «научных» и около-научных статей последнее время мне и вовсе не нравится:
Ну вот не интересуют меня вирусы (чтобы они не делали) которые через вконтактик глупенькая домохозяйка скачала, запустила да еще и админские права ему дала, когда оно попросило. От слова совсем.
И почему то как раз часть про появление / распространение остается как правило за кадром, или вскользь упомянут или не правда вовсе. А это имхо — самое вкусное + таким людям как я, принципиально не пользующих «антивирусы», чрезвычайно интересно, какую дверь и где бы еще прикрыть.
В итоге ощущение: то ли двери все уже «позакрывали» (что вряд ли), то ли клепают одну вирусню для таких-вот домохозяек…
а где бы посмотреть список дверей которые на данный момент нужно/можно запереть?
google?
вы вот сисадминили я вижу, сможете мне в одном комменте списочек для настройки по пунктам ну скажем сетевого сегмента?
вы вот сисадминили я вижу, сможете мне в одном комменте списочек для настройки по пунктам ну скажем сетевого сегмента?
давно это было… больше 10 лет назад…
но вот у себя на компе я кое какие двери прикрыл
— отнял права даже у себя на изменение системных файлов, типа explorer, ctfmon и етс т.е. те которые блокеры заражать любят.
— запретил доступ к некоторым ветвям в риестре типа ...\Winlogon
— одна папка темп, и она полностью очищается при старте системы.
антивирус не использую, только раз-два в месяц сканирую в защищенном режиме хорошим сканером.
вот думал может есть более широкий и обстоятельный список дверей…
но вот у себя на компе я кое какие двери прикрыл
— отнял права даже у себя на изменение системных файлов, типа explorer, ctfmon и етс т.е. те которые блокеры заражать любят.
— запретил доступ к некоторым ветвям в риестре типа ...\Winlogon
— одна папка темп, и она полностью очищается при старте системы.
антивирус не использую, только раз-два в месяц сканирую в защищенном режиме хорошим сканером.
вот думал может есть более широкий и обстоятельный список дверей…
Недавно случай был, сотруднице пришло письмо с вложением — rar архив, а нем файл с расширением scr, она конечно же запустила. Итог — зашифрованы все изображения и документы, никаких прав на изменение системных параметров или файлов вирусы не понадобилось, как защититься без антивируса, в базах которого будут записи о зловреде?
НЛО прилетело и опубликовало эту надпись здесь
1) Запретить исполнять из temp чего либо.
2) «в базах которого будут записи о зловреде» доставило отдельно… Т.е. полагаться на случай? Толковая защита…
2) «в базах которого будут записи о зловреде» доставило отдельно… Т.е. полагаться на случай? Толковая защита…
1. Ладно, допустим она не сразу запустила его из почтовой программы, а предварительно сохранила архив в папку на рабочем столе и распаковала там же :)
2. Имелось ввиду, что при таком сценарии помочь может только антивирус, и то только в том случае, если в его базах будет содержаться информация о конкретном вирусе конкретной версии и модификации. К слову, в течение суток антивирус Касперского абсолютно никак не реагировал на зараженный файл, и только после обновления баз он детектировал наличие вредоносного кода в файле.
2. Имелось ввиду, что при таком сценарии помочь может только антивирус, и то только в том случае, если в его базах будет содержаться информация о конкретном вирусе конкретной версии и модификации. К слову, в течение суток антивирус Касперского абсолютно никак не реагировал на зараженный файл, и только после обновления баз он детектировал наличие вредоносного кода в файле.
1. Допустим, у группы «Чайники» не должно быть прав исполнения отовсюду, куда она может писать…
2. Я и говорю, что это просто «великолепная» защита…
О чем я все время говорю — если бы «антивирусы» делали бы как раз это, т.е. были бы умной надстройкой над полиси и ко., например не давали бы исполнять откуда хочешь, и т.д. и т.п. (в общем стена, а не собака наоборот) — я бы сразу поставил у себя и рекомендовал бы его везде где можно.
А так, имхо, яйца выеденного не стоит такая антивирусная защита.
2. Я и говорю, что это просто «великолепная» защита…
при таком сценарии помочь может только антивирусВовсе нет, правильно настроенные полиси и права спасают здесь в гораздо большем числе случаев.
О чем я все время говорю — если бы «антивирусы» делали бы как раз это, т.е. были бы умной надстройкой над полиси и ко., например не давали бы исполнять откуда хочешь, и т.д. и т.п. (в общем стена, а не собака наоборот) — я бы сразу поставил у себя и рекомендовал бы его везде где можно.
А так, имхо, яйца выеденного не стоит такая антивирусная защита.
1. Вот хоть убейте, в все равно не пойму о чем вы. Запретить запуск exe из любых мест, кроме Windows и program files? Так он не exe, он scr.
Слышали когда-нибудь про "Software Restriction Policies"?
В GPO можно, через списки (белый или черный), ограничить каталоги, типы и т.д.
В GPO можно, через списки (белый или черный), ограничить каталоги, типы и т.д.
Это позволит запретить ворду открывать файлы? Или флешу? Или запускалке vbs/js?
Не все так просто, но если коротко — да, вы можете настроить полиси так, что вордовские файлы открываться будут только из my documents.
А можно настроить так, что открываться будут отовсюду, но исполнение макро там не коим образом не навредит (юзер без прав).
Кроме того вы утрируете…
А можно настроить так, что открываться будут отовсюду, но исполнение макро там не коим образом не навредит (юзер без прав).
Кроме того вы утрируете…
Допустим, что пользователь имеет необходимость работать с doc/xls с поддержкой макросов.
Далее через какую-нибудь уязвимость движка vba атакующий может получить возможность исполнить нативный код в адресном пространстве word/excel, запущенном от имени пользователя.
В итоге, такой же вектор атаки, как использовался ранее.
Не все так просто, но если коротко — да, вы можете настроить полиси так, что вордовские файлы открываться будут только из my documents.Пользователь для исполнения рабочих обязанностей будет иметь право на запись туда. И сможет записать туда документ полученный по почте. И открыть.
Далее через какую-нибудь уязвимость движка vba атакующий может получить возможность исполнить нативный код в адресном пространстве word/excel, запущенном от имени пользователя.
исполнение макро там не коим образом не навредит (юзер без прав).Далее берется очередная уязвимость, дарующая повышение привилегий и получены права локального администратора.
В итоге, такой же вектор атаки, как использовался ранее.
Иии...? Как от всего этого спасет антивирус?
Т.е. уязвимость движка vba неизвестна… уязвимость повышающая привилегии тоже… Но антивирус — он все знает-может.
Т.е. уязвимость движка vba неизвестна… уязвимость повышающая привилегии тоже… Но антивирус — он все знает-может.
Причём здесь антивирус? Мы говорили про SRP и я утверждал, что SRP не закрывает стандартные вектора атаки по документам и скриптам.
Они (SRP) могут закрыть вектора по бинарным файлам. Интересно, позволяют ли закрыть возможность использования аналога dlopen (загрузки динамических библиотек) по неразрешенным путям (т. е. можно ли запретить пользователю загружать dll из недоверенных мест).
Кроме того антивирусный сканер работает на сигнатуры и сигнатурные эвристики, а не на уязвимости. И запросто может пропускать не-0day (а я нигде не утверждал, что необходимо использовать 0day). И не пропускать их известные реализации (эти случаи закрываются антивирусом, но остаются доступными при использовании только SRP).
Резюмируя, SRP+антивирус лучше чем просто антивирус или SRP, что в свою очередь лучше, чем ничего. Лучше в плане защиты, но не удобства, естественно.
Они (SRP) могут закрыть вектора по бинарным файлам. Интересно, позволяют ли закрыть возможность использования аналога dlopen (загрузки динамических библиотек) по неразрешенным путям (т. е. можно ли запретить пользователю загружать dll из недоверенных мест).
Кроме того антивирусный сканер работает на сигнатуры и сигнатурные эвристики, а не на уязвимости. И запросто может пропускать не-0day (а я нигде не утверждал, что необходимо использовать 0day). И не пропускать их известные реализации (эти случаи закрываются антивирусом, но остаются доступными при использовании только SRP).
Резюмируя, SRP+антивирус лучше чем просто антивирус или SRP, что в свою очередь лучше, чем ничего. Лучше в плане защиты, но не удобства, естественно.
Причём здесь антивирус?Вы ветку-то гляньте, куда влезали…
Мой ответ про SRP был всего лишь на вопрос как быть с тем «scr» файлом.
Кроме того антивирусный сканер работает на сигнатуры и сигнатурные эвристики, а не на уязвимости.Прописные истины, и кстати, про эвристики и сигнатуры я бы не стал так громко тут… Я вам простой пример приведу: выловил как-то у знакомца зловред (типа локальной прокси), антивир его не видел, да и по определению не мог бы, потому что видимо его downloader (кстати по логам судя тоже не вычищенный, но я его не нашел) специально для этой машинки собрал, ну или упаковал. Взял домой, он в виртуалке подвисал в смерть. А в softice доковылял до самораспаковки по разным uid + еще чего-то там. После уже год спустя проверял его virustotal-ем — ни один так и не сказал что вирус.
Ну а про то, что сегодня любой школьник на коленке может написать чудо, некоторое, иногда довольно долгое время, ни одним антивирусом не детектирующееся, я устал уже говорить.
Резюмируя, SRP+антивирус лучше чем просто антивирус или SRPС этим трудно поспорить (хотя мог бы), тем более в рамках комментария — скорее это тема отдельной статьи.
Свое же отношение к (современным) антивирусам неоднократно уже высказывал, ну хотя бы тут или тут. Двумя словами — «распиаренное барахло».
Был аналогичный случай на предыдущей работе (после моего увольнения). Внутри архива был архив с scr файлом, текст письма — что-то про FAX на английском. Все файлы, в т.ч. и в дропбоксе, оказались зашифрованы.
Все давно расписано:
1. исполнение неразрешенных файлов
2. разрешение на доступ туда, где пользователю делать нечего
3. не работать под рутом
4. по возможности использовать не самые распространенные продукты (хотя это палка о двух концах)
5. запрет на посещение сайтов с рабочих машин
А вот что действительно проблема — список рисков по вероятности заражаемых мест. Чего не видел, того не видел
1. исполнение неразрешенных файлов
2. разрешение на доступ туда, где пользователю делать нечего
3. не работать под рутом
4. по возможности использовать не самые распространенные продукты (хотя это палка о двух концах)
5. запрет на посещение сайтов с рабочих машин
А вот что действительно проблема — список рисков по вероятности заражаемых мест. Чего не видел, того не видел
Была как-то статистика, что 25% вирусов делают люди до 14 лет. А с распространением плохо потому, что на анализ приходит не только с ловушек фирмы, но и по обмену или от пользователей по типу «вот нашли». А как оно к ним попало… Причем зачастую от пользователей и поступают самые интересные образцы. В итоге новость делать нужно, а как проникло — не ясно. А уже потом, когда продукт все ловит — никто не смотрит, каким компонентом перехватывается. Да и в силу наличия линейки продуктов статистика будет смазанная
А как оно к ним попало…при активном антивирусе…
Вот поэтому я и говорю, что антивирус — собака наоборот («не пускает» только тех кого знает, что он плохой, а все остальные белые и пушистые).
Имхо, в корне неверная позиция. Я про то, что если бы вместо такой «неправильной» собаки была бы крепостная стена, а те кто прыгают через стену, с великого позволения админа, или под микроскоп и слежка на все время жизни. Или политиками, да в песочницу. Что так, что так не панацея, но работы и проблем админам меньше, да и спать будут спокойней. А собака — пусть будет, но как и в жизни пускать только известных как «свой» или «хороший».
Меня вот всегда ужасно интересовал вопрос — если вдруг какая компания создаст таки такого действительно «умного» антивируса, как долго (на одном маркетинге) протянут остальные?
Оно как-то вроде движется в том направлении, но то не совсем туда завернем, то упор не там сделаем. В общем стены как не было так и нет.
Например, эвристика (у кого-то ну дрянь же — дрянью). Я вот год назад микро дэ-эль-эль-ку (dll) одну скомпилировал, hook для app-servera позволяющий упростить удаленную отладку и профайлинг скриптового языка.
Во первых, при попытке загрузки ее в приложение, антивирус ругнулся на какой-то там (забыл уже, но что-то из эвристического анализа), и dll была удалена. Во вторых, она уже больше не собиралась vc (кстати даже дебажная версия).
Что имеем (почему таки, дрянь эвристика была):
- та же dll, скомпилированная bcc или gcc из тех же исходников, прекрасно создавалась и грузилась в приложение;
- указав линкеру vc создавать hook.bpl вместо hook.dll все тоже прекрасно вылечилось (даже загрузка ее в апп-сервер);
- сама dll тупа до ужаса и использовала исключительно api из application server (который по понятиям эвристики хороший).
- по линку из антивирусной базы узнал, что эта конкретная эвристика должна отрабатывать только файлы, юзающие winsocks. Эта же dll ничиго такого не делала, она по реакции на определенные события грузила другую большую dll (которая хоть и с winsocks, но была достаточно хороша, для той эвристики т.е. не удалялась);
- ну и до кучи — все это происходило в каталоге, судя по установкам, исключенном из real time scanning
Какого хрена, спрашивается…
Эвристика знает только то, что знает. Известное поведение, известные типы и тд. Именно поэтому тесты на эвристику — профанация. Против действительно новых вирусов эвристика не спасет
А 100% антивирус… С учетом, КАКИЕ деньги крутятся в криминальном бизнесе — я думаю их отстрелят или засудят
А 100% антивирус… С учетом, КАКИЕ деньги крутятся в криминальном бизнесе — я думаю их отстрелят или засудят
У меня во времена оны был супер-пупер файл reboot.com из пяти байт. На него постоянно срабатывала эвристика.
Думаю, тоже случайное совпадение.
Думаю, тоже случайное совпадение.
А в чём катастрофичность-то?
Вирус уничтожает данные и систему при попытках обнаружения, чем сразу выдаёт себя.
Установил систему заново, накатил вчерашний бэкап пользовательской папки, прогнал антивирусом — делов на час-два.
Вот если бы он незаметно понемногу портил данные, которые в таком виде попадали бы в бэкап, или убивал бы BIOS/UEFI, это было бы катастрофично.
Вирус уничтожает данные и систему при попытках обнаружения, чем сразу выдаёт себя.
Установил систему заново, накатил вчерашний бэкап пользовательской папки, прогнал антивирусом — делов на час-два.
Вот если бы он незаметно понемногу портил данные, которые в таком виде попадали бы в бэкап, или убивал бы BIOS/UEFI, это было бы катастрофично.
Исключительно из любопытства поинтересуюсь: а вы забэкапили весь домашний жёсткий диск? На работе-то, понятно, проблемы не будет, а вот дома это была бы почти что катастрофа.
На работе-то, понятно, что у вируса не будет даже возможности запуститься — какой же сисадмин разрешит пользователям запускать выполнимые файлы из не защищённых от записи папок?
Дома бэкапится весь внутренний диск и внешний, когда подключен. Хотя это лишнее, на самом деле — нужно регулярно инкрементально бэкапить лишь пользовательские папки, а операционную систему и установленные программы достаточно бэкапить после установки новых программ и крупных обновлений ОС.
P.S.
Я фанат бэкапов, да :)
Однажды у меня умер диск со всеми моими наработками, так что я потерял все исходники, остались лишь бинарники у друзей и на файлопомойках. У меня и ноутбук, и смартфоны, и планшеты бэкапятся ежедневно :)
А важные папки типа семейной фотоколлекции ещё и на внешних дисках записаны, вдруг бэкапы сломаются? :)
Дома бэкапится весь внутренний диск и внешний, когда подключен. Хотя это лишнее, на самом деле — нужно регулярно инкрементально бэкапить лишь пользовательские папки, а операционную систему и установленные программы достаточно бэкапить после установки новых программ и крупных обновлений ОС.
P.S.
Я фанат бэкапов, да :)
Однажды у меня умер диск со всеми моими наработками, так что я потерял все исходники, остались лишь бинарники у друзей и на файлопомойках. У меня и ноутбук, и смартфоны, и планшеты бэкапятся ежедневно :)
А важные папки типа семейной фотоколлекции ещё и на внешних дисках записаны, вдруг бэкапы сломаются? :)
На работе я сам себе сисадмин, поэтому никто не ограничивает мои возможности выстрелить себе в ногу, гг. А вот дома… Наработки-то мои все так или иначе в интернете, программы можно переустановить (хоть и очень лениво ставить и настраивать), а вот коллекция музыки, книг, сейвы к разным играм (последнее я иногда бэкаплю, но не слишком часто)… Не буду же я бэкапить терабайты моей музыкальной коллекции? А потерять жалко.
Для музыкальной коллекции есть облако, но на всякий случай у меня полная копия лежит ещё и на NAS-е — облакам я тоже не особо доверяю :)
Сэйвы к играм, как и книги, полезнее не бэкапить, а синхронизировать, чтобы можно было играть/читать с разных мест — часто лень идти в другую комнату ради какой-то игры или книги, проще скачать её заново не вставая с дивана :)
Сэйвы к играм, как и книги, полезнее не бэкапить, а синхронизировать, чтобы можно было играть/читать с разных мест — часто лень идти в другую комнату ради какой-то игры или книги, проще скачать её заново не вставая с дивана :)
@Godkat, уважаю таких параноиков, как Вы. Однажды тоже потерял много ценных для себя данных, с тех пор стараюсь делать пусть не автоматические, но хотя бы периодические бэкапы на внешний диск проектной или домашних директорий. Под кои кстати дополнительно хочу приобрести и парочку более надёжных чем сейчас имеются дисков, да в RAID 1 их закидать :)
на самом деле — нужно регулярно инкрементально бэкапить лишь пользовательские папки...Самое главное, что это все желательно прикрыть паролем или ключиком приватным. Или организовать блокирование записи каким-нибудь сервисом к уже однажды записанным бакапам (для бакап юзера)…
А-то ведь зловред тоже может что туда «инкрементально» написать. :)
Ну и к сожалению, от чего точно не спасет бэкап — от кражи данных, паролей и т.д. Если тот же пароль пэйпала и иже с ним (от мыла например) уведут… Тоска.
Вы серьезно? Затирание MBR == выведение ЭВМ из строя?
Я думал, он материнку сжигает или БП. Ну или пускает из системного блока «густой чёрный дымок». Заголовок, конечно, жесть. Примечателен он ещё тем, что его можно двояко трактовать.
Коллеги Хабровцы, а представьте, что такой вирус попадет в доменную сеть и обойдет все политики, ограничения и антивирусы? А домен на несколько офисов в разных городах, с тысячей компов в каждом.
Бэкапы, скажете Вы?
А просто восстановление из бэкапов сколько времени займет?
А если бэкапы будут зашифрованы случайным ключом?
Лично я, после одного шифрования, делаю три копии и храню их до года :)
Бэкапы, скажете Вы?
А просто восстановление из бэкапов сколько времени займет?
А если бэкапы будут зашифрованы случайным ключом?
Лично я, после одного шифрования, делаю три копии и храню их до года :)
<<обойдет все политики, ограничения и антивирусы..
Надо было статью назвать «Скайнет атакует».
Надо было статью назвать «Скайнет атакует».
А представьте себе вирус, который обойдёт все законы физики!
Каким образом какой-либо код сможет «обойти» доменные политики? Отсутствие RSP — может быть. Но политики… Нет.
Каким образом какой-либо код сможет «обойти» доменные политики? Отсутствие RSP — может быть. Но политики… Нет.
а представьтеХорошо. Хорошо что я программист. Жалко только что статьи об мы здесь вряд ли увидим. И лицо админа, обнаружившего такое утром.
Очередная страшилка. Уже поднадоели маркетологи с высасыванием инфоповодов из пальца.
Заголовок прочитал — испугался, прочитал статью — успокоился. Чернобыль пережили.
Кстати, какие пути распространения вируса?
Кстати, какие пути распространения вируса?
Судя по заголовку, «Новый вирус, выводящий из строя компьютер при его обнаружении» — вирус выводит ПК при обнаружении этого ПК. Понимаю, что заголовок хотелось сделать покороче, но звучит как-то… желто и неграмотно, что ли. Напишите лучше «при своем обнаружении», меньше коллизий будет.
«Проходя по мосту, с меня слетела шляпа» :))
«Проходя по мосту, с меня слетела шляпа» :))
Исправил. Кстати оригинальный заголовок гораздо желтее, что-то вроде «Этот ужасающий вирус уничтожит ваш компьютер, если будет обнаружен»
1. При всем уважении к компании Cisco Systems — она не антивирусный вендор. Ужасы от компании — неантивирусного вендора не принимаются
2. У Dr.Web это чудо называется Trojan.Rombertik.1. В связи с поднимающейся паникой будет скоро описание. Если интересно Хабровцам — закину ссылку
3. И да. Обнаруживаем и лечим. Тихо подозреваю, что ведущие антивирусы поступают также
2. У Dr.Web это чудо называется Trojan.Rombertik.1. В связи с поднимающейся паникой будет скоро описание. Если интересно Хабровцам — закину ссылку
3. И да. Обнаруживаем и лечим. Тихо подозреваю, что ведущие антивирусы поступают также
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новый вирус, выводящий из строя компьютер при своем обнаружении