Да черт с ним, с обходом. Если троян содержит функции противостояния конкретному файрволлу (или антивирусу) и он смог запустится - эти защитные программы уже не спасут. Их либо выключат, либо покорежат, либо будут управлять их работой.
Могу. За 5 месяцев непосредственной работы с вирусами, мне не попался ни один, расчитанный не только под венду. Или были, как верно замечено ниже, только для офисных пакетов. Но так как их было мало, я про них и не помню :-)
Да, это вторая волна. Утром, значит, пошло? Интересно... Сегодня около 18 по москве добавил записи для детектирования и этих файлов. А код проверьте на DrWeb-овском сайте, если не будет определен - присылайте.
Увы, не знаю :-( Мне в руки попал конец цепочки, ни HTML-страницы, ни первого скачанного файла не было. А хост к тому времени уже лежал. Ищите по имени библиотеки, оно всегда одинаковое. Ну и CureIt эту заразу знает, сегодня добавляли с коллегами.
Никогда не настраивал файрволл серьезно. Максимум перекрывал порты и мне всегда было интересно: сможет ли файрволл отслеживать скачивание EXE-файлов из браузера? И как, например, на вашем файрволле настроены правила для svchost?
Файрволл - оно хорошо. Но эффективность сильно зависит от настроек. Подавляющее большинство из всей заразы что я видел, грузилось по 80-му порту. Опять-таки, если троян нацелен на противодействие файрволлу, то файрволл не поможет... Много всяких тонкостей есть.
Чиво?! Ну вы посмешили! Лично присутствовал при "разделки" того червя. Вирус был не в картинке, а в исполняемом файле. С сервера запрашивался *.jpg, а возвращал сервер уже *.scr. Юзер его запускал, scr дропал jpg и показывал его в стандартном просмотрщике. Никаких эксплоитов. Юзер должен был САМ загрузить и САМ запустить файл.
И как часто вам встречались эти эксплоиты? ;-) Для оперы не видел ни одного. Для FF проскакивал пару раз и это была редкость. А вот для IE их десятки через мои руки прошли.
Не надо сидеть под админом. Тогда процентов этак 95--99 заразы просто не сможет нормально работать. А еще не надо пользоваться IE и аутглюком. Ну и тыкать куда ни попадя. При таких мерах можно пару лет жить без антивируса и ничего не подцепить.
Честно говоря, подобного рода "поделия" встречаются каждый день. Из интересных моментов здесь - только прием шифрованных данных, различных для каждой сессии. Остальное - ничего интересного. Честно :-)
У кого? :-)
Я не знаю какой именно антивирус не сработал, да и проблемой детектирования я мало занимаюсь. Я - вирусный аналитик всего-лишь.
Возможные варианты - не было сигнатур для вируса, не сработал поведенческий фильтр... Но это только догадки.
Выполнил сегодня по долгу службы анализ файла, который в итоге на машине юзера оказывается. А топик написать не могу, вот обидно!
Короче говоря, загрузка двух файлов с хоста, один записывается на диск и запускается, а второй инжектится в системный процесс. По ходу дела для рассылки спама все это надо. Будет карма - будут технические подробности :-)
Насчет "не засек" - это не ко мне, у меня на виртуальных машинах вообще ничего защитного не стоит :-)
Я не знаю какой именно антивирус не сработал, да и проблемой детектирования я мало занимаюсь. Я - вирусный аналитик всего-лишь.
Возможные варианты - не было сигнатур для вируса, не сработал поведенческий фильтр... Но это только догадки.
Короче говоря, загрузка двух файлов с хоста, один записывается на диск и запускается, а второй инжектится в системный процесс. По ходу дела для рассылки спама все это надо. Будет карма - будут технические подробности :-)