|
Лучший антивирь и вредонос в 2011
|
|
Nuke  | Дата: Суббота, 03.12.2011, 02:23 | Сообщение # 1 |
Сообщений: 807
| Лучшим АВ в 2011 лично я считаю BitDefender. Хорошая эвристика, проактивка, быстрое добавление новых вредоносов. Эвристика способна обойти трюки в виде антиэмуляции на основе Fake API, затирание секций упаковщика, очень низкий уровень ложных срабатываний. Дроппер TDL4 с затертыми секциями UPX и с добавленными Fake API эвристика видит, а на чистый файл который был упакован полиморфным пакером не реагирует. Проактивка успешно нейтрализует ShadowHook и BSoDHook которые тяжелей всего распознать и в тестах matousec стоят на последнем, 10 уровне. Также высокое предотвращение заражений.
А самым крутым и технологичным вредоносом я считаю руткит TDL4.
TDL4 первый широко распространенный руткит ядра для x64.
Тех.особенности:
Заражение MBR с сохранением оригинального в своей файловой системе.
Обход проверки цифровых подписей для драйверов ядра.
Собственная файловая система.
Ботнет построенный на базе P2P сети что делает его практически неуязвимым как для конкурентов, так и для спецслужб с мелкомягкими.
Метод загрузки очень не обычный.
После передачи BIOS'ом управления на MBR и тем самым запуская руткит, руткит извлекает свой драйвер который используется до запуска explorer.exe.
После извлечения драйвера руткит перезаписывает на место зараженного, не зараженный MBR тем самым лишая возможности найти руткит в MBR.
Драйвер же в зависимости от системы и ее разрядности(х86 или х64) загружает в скрытом режиме от системы в память один из модулей idr( всего 3 модуля: idr16,32,64)
После загрузки операционки и рабочего стола, драйвер извлекает из ФС руткита dll файл, который инжектит во все системные процессы, после инжекта dll в процессы выгружает себя из памяти.
Лечит активный руткит могут от силы 4 антивиря(Каспер, Доктор, Аваст и БитДефендер).
Трудности начинаются даже при попытке предотвратить проникновение дроппера в систему. Так как дроппер защищен очень крутым и мощным криптором(если получится покажу скрин интерфейса) который имеет анти-отладку, анти-сэндбокс, анти-виртуализацию применение песочниц становится безполезным, дроппер попросту не запустится.
Но не все так плохо, руткит TDL4 не затрагивает Россию и страны СНГ. Пользователям России и стран СНГ стоит опасаться трояна-шпиона Carberp. Позже может расскажу про этого зверя и про его фишки(их конечно меньше чем в TDL4, но от этого не становится легче) 
Писать только в жаббер [email protected]
|
| |
| |
|
| egorich | Дата: Суббота, 03.12.2011, 04:57 | Сообщение # 3 |
Титул:
OBMOROK
Сообщений: 143
| норм выкладывай дальше все что есть....)))
|
| |
| |
|
| Snat | Дата: Суббота, 03.12.2011, 05:11 | Сообщение # 5 |
Титул:
Armenian Genocide
Сообщений: 3006
| Хорошая информация и спасибо за антивирь)
Расскажи по подробней о Carberp!
|
| |
| |
AirForce  | Дата: Суббота, 03.12.2011, 06:33 | Сообщение # 6 |
Титул:
Не спорь, у меня 187ci!
Сообщений: 837
| Quote (LaPLAIN) я не понял в твоем посте ничего |
| |
| |
|
| Snat | Дата: Суббота, 03.12.2011, 07:07 | Сообщение # 8 |
Титул:
Armenian Genocide
Сообщений: 3006
| 
Сообщение отредактировал Snat - Суббота, 03.12.2011, 07:07 |
| |
| |
| Nuke | Дата: Суббота, 03.12.2011, 13:20 | Сообщение # 9 |
Сообщений: 807
| Quote (Snat) Расскажи по подробней о Carberp
Carberp это шпион, разработан предположительно российскими вирусмейкерами. Пару дней назад был обнаружен сэмпл с буткит-функционалом(проще говоря, с функционалом заражения MBR) и стал первым трояном-шпионом который инфицирует MBR. Zeus или Spy Eye копируют себя в папку Application Data. Нацелен пока на российский онлайн-банкинг, но билдер был замечен в продажах на зарубежных черных рынках.
После запуска на компьютере соединяется через 80 порт по HTTP с серверами:
66kooum.com
55echosend.com
club-world-auto.org
Ворует логины, е-мэйлы и пассы в браузерах Opera, Safari, Firefox, Chrome и IE.
Из-за поддержки плагинов может скачивать кейлоггер и всегда скачивает киллера антивирей.
Если честно, то меня список целей у киллера очень удивил. В списке нет ни каспера, ни нортона, но есть нод, аваст, докотор, авира и макафе.
В период с апреля по ноябрь 2011 был всплеск активности когда Россия вышла безоговорочно на первое место по количеству пораженных компов с долей в 70-75%, в США же заражено от 0.4 до 1%. Распространяется через IFrame(gsvsoft.ru тому подтверждение, при переходе используется уязвимости в ява для запуска произвольного кода)
Писать только в жаббер [email protected]
|
| |
| |
| Snat | Дата: Суббота, 03.12.2011, 13:29 | Сообщение # 10 |
Титул:
Armenian Genocide
Сообщений: 3006
| Nuke, D:
ничего так вирус)
Сообщение отредактировал Snat - Суббота, 03.12.2011, 13:29 |
| |
| |
| Kolyan | Дата: Суббота, 03.12.2011, 13:34 | Сообщение # 11 |
Титул:
Сообщений: 8074
| KIS 2012 лучше всех.
|
| |
| |
|
| Kolyan | Дата: Суббота, 03.12.2011, 13:38 | Сообщение # 13 |
Титул:
Сообщений: 8074
| Quote (man248) Касперский тащщит инфа 1337%
кэп :3
|
| |
| |
| Nuke | Дата: Суббота, 03.12.2011, 14:20 | Сообщение # 14 |
Сообщений: 807
| Quote (Kolyan) KIS 2012 лучше всех.
Ну если выкинуть вечно глючащие облако, слабую эвристику и отстойный ХИПС, то да каспер лучше всех 
Писать только в жаббер [email protected]
|
| |
| |
DGALIL  | Дата: Суббота, 03.12.2011, 14:26 | Сообщение # 15 |
Сообщений: 7275
| Quote (Nuke) Ну если выкинуть вечно глючащие облако, слабую эвристику и отстойный ХИПС, то да каспер лучше всех
пользуюсь каспером и пока не жалуюсь...вроде вирусы не пропускает.Добавлено (03.12.2011, 14:26)
---------------------------------------------
кстати,до него был др.Веб.Он внезапно начал гнать-я пользовался прогой одной лет 5 наверно,он её пропускал,а потом внезапно начал удалять файл запуска этой проги.Сошёл с ума.
|
| |
| |
