Комментарии 8
Мне кажется, само наличие обращений к Tor — уже плохой маркер, независимо от конкретного зловреда. Т.е. это может/должно быть универсальное правило
И вся эта сложная и красивая архитектура была бы просто бесполезна, если бы пользователи просто не открывали любые потенциально исполняемые файлы.
PowerShell вообще надо выламывать у всех пользоватеоей кроме админов (а может он и админам не нужен). Система без него нормально работает: нужно лишь разблокировать папку PS. Поставьте, к примеру, PeaZip и найдете у себя целый репозиторий Chocolatey, который неизвестно что делает пока вы клювом щелкаете.
Интересует реакция на такое заражение стандартных антивирусов, типа Касперский и иже с ними. Или это все руками контролируется?
Антивирусы ведут себя в таких случаях по-разному, в зависимости от включённых механизмов детектирования. Sfx архив с 4 файлами, два из которых абсолютно чистые ( и ещё скачивают тоже чистые файлы), скорее всего пройдут радары антивирусов. Но вот дальнейшая активность, например запуск powershell от wmic вполне может быть обнаружена каким нибудь механизмом современного антивируса, который отслеживает всю активность на ОС
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Чуть сложнее, чем кажется: как атакует группировка TinyScouts