Ladomir Опубликовано 18 июля, 2011 Жалоба Share Опубликовано 18 июля, 2011 Что же дальше будет?: Компания «Доктор Веб» обращает внимание пользователей на рост распространения троянской программы Trojan.DownLoad2.29598, предназначенной для скрытой загрузки и установки на зараженный компьютер вредоносных программ и драйверов. Троянец использует алгоритмы защиты от анализа с помощью отладчика и запуска на виртуальных машинах. Запустившись на инфицированном компьютере, Trojan.DownLoad2.29598 прописывается в отвечающей за автозагрузку приложений ветке системного реестра, после чего выделяет для своих нужд оперативную память и копирует в нее необходимые для своего функционирования системные библиотеки. Иными словами, троянец обладает собственным загрузчиком библиотек, благодаря которому может успешно обходить перехваты, расставляемые используемым для обеспечения безопасности ПО. Как следствие, большинство отладчиков не в состоянии определить имена используемых им функций, что нередко затрудняет исследование подобных угроз. Также с помощью специального алгоритма троянец проверяет, не запущен ли он в виртуальной машине. Таким образом, в данной вредоносной программе реализован механизм защиты от анализа с помощью вспомогательного инструментария, которым обычно пользуются разработчики антивирусных программ. После загрузки на компьютер жертвы Trojan.DownLoad2.29598 проверяет наличие соединения с Интернетом, отправляя запрос серверу smtp16.mail.ru. Затем троянец пытается связаться с командным сервером и отправляет на него шифрованный запрос, в ответ на который получает команду либо на скачивание с удаленного узла вредоносного файла и запуск его в качестве фонового процесса, либо на встраивание его в один из уже загруженных в память сервисов, либо на запуск драйвера. Т.е. этот зловред натурально защищается от антивирусов. И где же эти командные сервера, интересно? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 18 июля, 2011 Жалоба Share Опубликовано 18 июля, 2011 С 1 июля 2011 года закон № 152 «О персональных данных» обязателен к исполнению в полном объеме В области антивирусной защиты федеральный закон № 152-ФЗ требует: - внедрения средств антивирусной защиты на всех серверах и рабочих станциях, где осуществляется обработка персональных данных; - обеспечения необходимого уровня доступа только к необходимым ресурсам (офисный контроль); - защиты каналов доступа в Интернет — как на уровне рабочих станций, так и на уровне почтовых серверов и интернет-шлюзов; - использования централизованно управляемой защиты. Ссылка на комментарий Поделиться на другие сайты More sharing options...
niftiak Опубликовано 19 июля, 2011 Жалоба Share Опубликовано 19 июля, 2011 В области антивирусной защиты федеральный закон № 152-ФЗ требует: - внедрения средств антивирусной защиты на всех серверах и рабочих станциях, где осуществляется обработка персональных данных; - обеспечения необходимого уровня доступа только к необходимым ресурсам (офисный контроль); - защиты каналов доступа в Интернет — как на уровне рабочих станций, так и на уровне почтовых серверов и интернет-шлюзов; - использования централизованно управляемой защиты. Что-то подсказывает мне, что все это будет бестолку Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 19 июля, 2011 Жалоба Share Опубликовано 19 июля, 2011 Будем ждать прихода проверяющих из Роскомнадзора. Все будут ждать Ссылка на комментарий Поделиться на другие сайты More sharing options...
quick Опубликовано 19 июля, 2011 Жалоба Share Опубликовано 19 июля, 2011 Будем ждать прихода проверяющих из Роскомнадзора. Все будут ждать Готовьте денежки для обязательной сертификации рабочих мест и сетевого оборудования. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ДДТ Опубликовано 19 июля, 2011 Автор Жалоба Share Опубликовано 19 июля, 2011 Готовьте денежки для обязательной сертификации рабочих мест и сетевого оборудования. Или срочно переходите на *unix системы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
S10 Опубликовано 19 июля, 2011 Жалоба Share Опубликовано 19 июля, 2011 Линух тоже требует сертификата при обработке ПД. Ссылка на комментарий Поделиться на другие сайты More sharing options...
quick Опубликовано 19 июля, 2011 Жалоба Share Опубликовано 19 июля, 2011 Линух тоже требует сертификата при обработке ПД. Да, хоть это и прискорбно... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 20 июля, 2011 Жалоба Share Опубликовано 20 июля, 2011 Троянцы-блокировщики перебрались за границу. Мда... Как бы это не закончилось международным скандалом. Троянец для иностранцев записывает ссылку на себя в HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit Но вместо привычного окна о блокировке Windows на экране появляется сообщение о сбое некоего системного процесса по адресу 0x3BC3. Для его устранения пользователю предлагается позвонить по одному из указанных телефонных номеров и ввести код разблокировки в соответствующее поле. Звонок на эти номера, естественно, является платным. В ресурсах троянца содержится несколько языковых версий блокирующего компьютер окна для различных локализаций Windows. Как минимум имеются варианты сообщения на английском, французском и русском языках. Для разблокировки операционной системы, пострадавшей от действий троянца Trojan.Winlock.3846 можно воспользоваться следующим кодом: 754-896-324-589-742 p.s. А что-то правда, у нас эпидемия блокировок кажется стихла Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 29 июля, 2011 Жалоба Share Опубликовано 29 июля, 2011 Ссылка на комментарий Поделиться на другие сайты More sharing options...
melifaro Опубликовано 29 июля, 2011 Жалоба Share Опубликовано 29 июля, 2011 p.s. А что-то правда, у нас эпидемия блокировок кажется стихла Мне в начале недели притаскивали ноут со зверем, ругался на расшаривание материалов порнографического содержания, просил на билайновский номер 500 р, подменил shell и userinit, ничего интересного, все стандартно. Ссылка на комментарий Поделиться на другие сайты More sharing options...
quick Опубликовано 29 июля, 2011 Жалоба Share Опубликовано 29 июля, 2011 вчера ковырял машину, подмена userinit, taskmgr, explorer... Оригинальные экзешники были аккуратно выпилены. Ссылка на комментарий Поделиться на другие сайты More sharing options...
izzorg Опубликовано 29 июля, 2011 Жалоба Share Опубликовано 29 июля, 2011 Cижу мучаю ноут с вин7, на Др.Вебе и Каспере инфа отсутствует, стандартными методами с восстановлением юзверь.инит и шел ничего добиться не удалось. Хотя раньше всегда помогало. Скачал последний дистриб кур.ит. - что то нашел, но пока не понятно - поможет или нет. Сносить винду не хочется, стоит всякая лицензионная хрень с 1С и консультаном.... Буду мучить дальше. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Trahtenberg Опубликовано 30 июля, 2011 Жалоба Share Опубликовано 30 июля, 2011 Cижу мучаю ноут с вин7, на Др.Вебе и Каспере инфа отсутствует, стандартными методами с восстановлением юзверь.инит и шел ничего добиться не удалось. Хотя раньше всегда помогало. Скачал последний дистриб кур.ит. - что то нашел, но пока не понятно - поможет или нет. Сносить винду не хочется, стоит всякая лицензионная хрень с 1С и консультаном.... Буду мучить дальше. офтоп вот все думал, чем бухгалтера занимаюца на работе Ссылка на комментарий Поделиться на другие сайты More sharing options...
Preslilvs Опубликовано 30 июля, 2011 Жалоба Share Опубликовано 30 июля, 2011 Практика показывает что можно ничего не скачав подхватить заразу, достаточно зайти на некий сайт и при следующей загрузке машины наблюдаем картину выше Ссылка на комментарий Поделиться на другие сайты More sharing options...
S10 Опубликовано 30 июля, 2011 Жалоба Share Опубликовано 30 июля, 2011 Preslilvs Drive-by download? Ну так не хрен пользоваться уязвимыми версиями программ. Лучшее решение - полная изоляция машины от сетей. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 2 августа, 2011 Жалоба Share Опубликовано 2 августа, 2011 Новый троянец: ... зафиксирована волна заражений, в ходе которой пользователи неожиданно столкнулись с невозможностью выйти в Интернет: вместо запрашиваемых ими сайтов в окне браузера демонстрировалось сообщение: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если пользователь следовал указаниям злоумышленников и вводил свой телефонный номер в соответствующую форму, а затем отвечал на входящее СМС, с его счета незамедлительно списывались средства. Ссылка на комментарий Поделиться на другие сайты More sharing options...
scorcer Опубликовано 2 августа, 2011 Жалоба Share Опубликовано 2 августа, 2011 Линух тоже требует сертификата при обработке ПД. причем цена у него становится ппц просто! Ссылка на комментарий Поделиться на другие сайты More sharing options...
друпаж Опубликовано 3 августа, 2011 Жалоба Share Опубликовано 3 августа, 2011 Вчера принесли комп зараженный. Ни один антивирус его не узнал, нашелся методом поиска самого свежего по дате ехе-шника. Также пришлось в реестре поправить записи shell= и userinit= Сёдня каспер его уже знает, а в аваст, авиру, комоду, аутпост я отправил образец. Ссылка на комментарий Поделиться на другие сайты More sharing options...
makeda Опубликовано 18 августа, 2011 Жалоба Share Опубликовано 18 августа, 2011 да а еще новые зловредные банеры просто переименовывают userinit.exe в что нить такое 30356В45.exe а свое тело обзывают userinit.exe и усе, но эт считай что уже старенькие ща пару тройку раз встречал они загружаются перед виндой, а убить эту гадючку ваще детсад как оказалось, хотя первый раз было до ужаса интересно убить час на то чтоб понять что куда и к чему Ссылка на комментарий Поделиться на другие сайты More sharing options...
32167 Опубликовано 19 августа, 2011 Жалоба Share Опубликовано 19 августа, 2011 Новый троянец: Попал такой. Переадресует с любой страницы на "эту гадость". Даже правильно указывает наименование верхнего провайдера, но... Лечится простейшим сносом осла и его переустановкой. Даже ковырять было лень. Ссылка на комментарий Поделиться на другие сайты More sharing options...
quick Опубликовано 19 августа, 2011 Жалоба Share Опубликовано 19 августа, 2011 4 дня жил у одной мадам, потом обновился НОД и загрыз эту гадость, а не торопился лечить потому как она проходила курс лечения от контактов всяких. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 22 декабря, 2011 Жалоба Share Опубликовано 22 декабря, 2011 Кому-нибудь попадался баннер, который хочет бабла на номер 89091514427? Ссылка на комментарий Поделиться на другие сайты More sharing options...
MаXXL Опубликовано 22 декабря, 2011 Жалоба Share Опубликовано 22 декабря, 2011 Кому-нибудь попадался баннер, который хочет бабла на номер 89091514427? нет, но способы лечения всех одинаковые. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Steals Опубликовано 22 декабря, 2011 Жалоба Share Опубликовано 22 декабря, 2011 Ladomir воcпользуйтесь kaspersky unlocker windows . Проведите замену файлов explorer.exe, taskmng.exe, userinit.exe. Поcле перезагрузка и проверка drweb cureit, avz, avptool Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.