Конференция VBStreets

[jangle]

Вот тут писал о дырявости IE. Но проблема-то оказывается намного шире. За последние 3 дня, на работе пара компов заражена SMS-блокерами, вчера звонила знакомая, у нее комп заражен SMS трояном, просила помочь. А сейчас мать по аське написала, наш домашний комп тоже заражен. Причем она работает под своим пользователем, у которого максимально задавлены права, и пользуется исключительно Мозиллой, обновленный KIS тоже включен разумеется. И все равно эта дрянь, как-то сумела зацепится в системе.
Троян вроде новый, не обычный порно-баннер, грозится уничтожить данные на жестком диске, написал ей чтобы срочно отключала комп. Приеду домой буду разбираться.

Кстати, тот троян который я послылал на сайт Касперского в базы не попал, KIS с сегодняшними базами его не обнаруживает. Сейчас еще раз пошлю, с трехэтажным матом в придачу. Толи Кашпер окончательно положил болт на борьбу с SMS блокерами, толи они в доле с троянописателями

Но самое главное, эту проблему надо решать на государственном уровне. Вся эта гигантская афера возможна только по одной причине - ОП`сос получает 50% от стоимости отправленного SMS. За каждую SMS юзер отдает 500-900 рублей. Половину получает сотовый оператор. В интернетах пишут, что чистый доход в месяц это сотни миллионов рублей!
Поэтому опсосу просто невыгодно бороться с мошенниками, это все равно что резать курицу несущую золотые яйца.
В итоге, получаем ситуацию когда опсос и троянописатели - одна команда, делящая доходы пополам. И что делать в такой ситуации непонятно.

[Денис]

Вроде как в думе подготавливают проект закона, с помощью которого обяжут лиц, регистрирующихся в смс-системах предъявлять скан паспорта и вообще. Это по идее должно помочь. Но мы-то знаем...

[Amed]

На прошлой неделе, отключив на полчаса антивирус, поймал "новую" модификацию такого блокиратора.

Коды разблокировки в базу ещё не внесены, блокирует всё, что можно, стандартными средствами не убивается. Через час после убийства снова восстановил себя (видимо, из резервного места). Пришлось бросить старую систему и работать в новой.
Я так и не нашёл, откуда он запускается, все первоочередные места чисты.

[jangle]

Вроде как в думе подготавливают проект закона, с помощью которого обяжут лиц, регистрирующихся в смс-системах предъявлять скан паспорта и вообще. Это по идее должно помочь. Но мы-то знаем...

Это ничего не решит. Уже сейчас можно легко отследить финансовые потоки от SMS-блокинга и найти конкретного получателя денег. Проблема в том, что троянописателей крышуют ОП`сосы. А наехать на опсоса даже силовики не могут. У многих первых лиц в Кремле свои бизнес интересы в сфере мобильной связи. К примеру тот же Егор Гайдар, который был одним из совладельцев Билайна...
Так что пока в стране существует гнилая, коррумпированная система ничего хорошего здесь не будет.

[jangle]

Я так и не нашёл, откуда он запускается, все первоочередные места чисты.

Winlogon с путем к запускаемому экзешнику троянца, они практически все так стартуют

[iGrok]

Вся эта гигантская афера возможна только по одной причине - ОП`сос получает 50% от стоимости отправленного SMS. За каждую SMS юзер отдает 500-900 рублей. Половину получает сотовый оператор.

Ну, не 500-900, а максимум 10$, т.е. 300. Но это всё равно не мало.
Да и ОпСОС получает с такой смс не 50%, а где-то примерно 15-20, но всё равно это бешенейшее бабло, если умножить на объём.

Мне вообще странно это слышать. Вроде как, пик эпидемии приходился на конец прошлого года, с тех пор опсосы уже серьёзно ужесточили условия, и штрафуют агрегаторов (опсос -> агрегатор -> контент-провайдер (он же, смс-мошенник)), причём штрафуют на весьма нехилые суммы.

А бороться с этим со стороны антивирусов бесполезно, там сидит команда специально обученных людей, чья работа целиком и полностью направлена на борьбу с детектированием. Новые версии выходят по нескольку раз в сутки..

А бороться с ним.. Я как-то раз тоже поймал. Полтора часа борьбы ничего не дали, слил образ, слил важные данные, загрузившись в убунту, и переставил ОС.. (

[Joo]

Сталкивался с таким, часто просят почистить, больше 10 минут такая зараза не уживается со мной, были и порно, и как в твоем случае грозящих пришибить всю инфу, рассчитаны на ламера. На домашнем компе KIS 2010 срубает такое на раз.
1. Берем ProcessExplorer Марка Руссиновича, и выявляем подозрительные процессы, смотрим пути к ним и замораживаем все.
2. Удаляем все подозрительные записи в автозагрузке, и прочих местах откуда возможен автозапуск.
3. Берем Unlocker и пришибаем всю заразу.

[Proxy]

По собственной глупости пускают троянов, а потом орут "сделай нам комп, мы ничё не делали - он сам". Задолбали, даже родственников уже посылаю куда подальше, т.к. переустанавливать ОС криворуким юзерам можно до бесконечности, тем более если норовят иметь права админа и лезть куда попало. А вот когда в сервисе заплатят пару раз по 300-400р - начнут думать.
Сам пользуюсь Ubuntu, но даже тут предпочитаю использовать Firefox + WOT Plugin + No Script plugin + ABP Block plugin (последнее скорей для удобства, чем для безопасности). И ни у одного вируса в жизни не будет шанса что-либо сделать тут без моего ведома. Ну и софт естественно использую весь по возможности открытый, поддерживаемый Canonical.
ЗЫ. Не, это не холивар linux vs windows, это я к тому, что идея антивирусных программ вообще ущербна. Всё, что делает антивирус - исправляет голимость ОС и криворукость пользователя. У Windows 7 с ограничениями доступа тоже уже довольно неплохо всё. В XP даже гостевая учётка любую живность не ограничивала в свободе. И исполнимый файл вообще любой пользователь мог запустить в меру своей криворукости.

[Хакер]

Где вы их берёте?

[iGrok]

1. Берем ProcessExplorer Марка Руссиновича, и выявляем подозрительные процессы, смотрим пути к ним и замораживаем все.

И при запуске PE получаем завершение сеанса винды.
Даже в безопасном режиме.

Видимо, ты не сталкивался с серьёзными модификациями.

[jangle]

1. Берем ProcessExplorer Марка Руссиновича, и выявляем подозрительные процессы, смотрим пути к ним и замораживаем все.
2. Удаляем все подозрительные записи в автозагрузке, и прочих местах откуда возможен автозапуск.
3. Берем Unlocker и пришибаем всю заразу.

Если бы все так просто было... Нет там подозрительных процессов, вредоносный код инжектится в какой-то системный процесс. Возможно с использованием руткитов.

[jangle]

А бороться с ним.. Я как-то раз тоже поймал. Полтора часа борьбы ничего не дали, слил образ, слил важные данные, загрузившись в убунту, и переставил ОС.. (

У большинства так и не получается победить, троян сам отрубается через несколько часов или юзеры переставляют винду. Мне интересен механизм заражения, ясно что в винде есть какая-то дыра в системе безопасности, позволяющая любому желающему запускать бинарный код на удаленной машине. Но как ее закрыть? Где она? Понятно что протроянивание происходит через браузер, причем без разницы IE8 или Мозилла. Наверное трояны используют уязвимости сразу обоих браузеров. Второе как работает процесс трояна? Куда инжектится? Почему его нельзя убить?

[iGrok]

Вообще я пока не сталкивался с заражением через дырки.
Все те разы, что я видел его вживую, "умные" юзеры сами скачивали и устанавливали "Новую версию флеш-плеера", или "Обновление безопасности для браузера", или "Новейшее средство борьбы с вирусами"..

[VVitafresh]

А винду какую он заражает XP, Vista, Win7 ?
Или этим троянам все подвержены?

P.S. Ни разу еще не сталкивался, но на всякий случай хотелось бы быть в курсе что делать и к чему быть готовым.

[iGrok]

Всех троих. Плюс, кажись, w2k.

[Antonariy]

1. Берем ProcessExplorer Марка Руссиновича, и выявляем подозрительные процессы, смотрим пути к ним и замораживаем все.

И при запуске PE получаем завершение сеанса винды.
Даже в безопасном режиме.

Или завершение процесса. А так же завершение процессов, пытающихся получить доступ к автозагрузочным веткам реестра. Или к процедурам RegEnum*.

У большинства так и не получается победить

Из пяти или шести случаев, с которыми пришлось иметь дело, не получилось один раз. К сожалению, на тот раз это был мой комп.

Мне интересен механизм заражения, ясно что в винде есть какая-то дыра в системе безопасности, позволяющая любому желающему запускать бинарный код на удаленной машине.

Я словил через дыру под названием IE8. Можно словить через флеш. А вообще механизмов много.
Обычно на комп первым попадает дроппер, не несущий функционала, который расценивался бы антивирусной эвристикой как опасный. Он скачивает троян, запускает и самоликвидируется.

[jangle]

Вообще я пока не сталкивался с заражением через дырки.
Все те разы, что я видел его вживую, "умные" юзеры сами скачивали и устанавливали "Новую версию флеш-плеера", или "Обновление безопасности для браузера", или "Новейшее средство борьбы с вирусами"..

Я поймал как раз через дыру в IE8, вот тут это описал. Просто зашел на сайт, и у меня выскочило консольное окошко, запустился батник, который в свою очередь запустил какой-то экзешник. И эта дрянь проинсталлировалась. Вот тебе и хваленная "безопастность" от Микрософт, зашел на сайт и получил "подарочек"

[VVitafresh]

Я поймал как раз через дыру в IE8, вот тут это описал. Просто зашел на сайт, и у меня выскочило консольное окошко, запустился батник, который в свою очередь запустил какой-то экзешник. И эта дрянь проинсталлировалась. Вот тебе и хваленная "безопастность" от Микрософт, зашел на сайт и получил "подарочек"

Если и дальше с безопасностью будут такие проблемы, то придется в инет выходить с виртуальной машины (VMWare к примеру, а в ней Линукс)

[jangle]

Обычно на комп первым попадает дроппер, не несущий функционала, который расценивался бы антивирусной эвристикой как опасный. Он скачивает троян, запускает и самоликвидируется.

В этом случае опять же виноват Кашпер, который позволят запускаться дропперу. Понятно, что невозможно занести в базу все сигнатуры. Но хотя бы элементарную эвристику включите, если процесс запускается, потом сразу начинает скачивать, что-то исполняемое из сети, используя функции IE, хотябы окошко с предупреждением о подозрительной активности покажите.

[jangle]

Если и дальше с безопасностью будут такие проблемы, то придется в инет выходить с виртуальной машины (VMWare к примеру, а в ней Линукс)

Проблемы потому что, антивирусная индустрия деградировала полностью. Они последние 10 лет только сетевых червей вылавливали. При этом сам Касперский, с умным видом вещал, что дескать стелс-монстров использовавших виртуальные режимы 486-ых процессоров (как было во времена DOS), больше никогда не будет. Типо вирмейкеры отупели окончательно...
И в итоге эпидемия SMS-блокеров 2009-2010 годов застала их врасплох. Вот такие сайты: http://support.kaspersky.ru/viruses/deblocker это полная капитуляция антивирусников. Получается, что антивирус за который люди платитили деньги, не способен справится с заразой.

[Nazarey]

NOD32 лучше Касперского,о преимуществах этого антивируса можно почитать инфу на форумах.
А как происходит процесс заражения компьютеров-www.hackzone.ru/.
Думаю здесь можно найти информацию,ну или на подобном сайте.
Но туда без защиты лезть не стоит.

[Хакер]

Nazarey, пиши нормально.

[Nazarey]

Хорошо-извините.

[iGrok]

И в итоге эпидемия SMS-блокеров 2009-2010 годов застала их врасплох. Вот такие сайты: http://support.kaspersky.ru/viruses/deblocker это полная капитуляция антивирусников. Получается, что антивирус за который люди платитили деньги, не способен справится с заразой.

Прости, а что они могут сделать, если новые версии вирусов выходят чаще, чем обновления антивируса?
Отвечу сам. Совершенствовать эвристику. Но это, в свою очередь, сильно грузит систему.. Замкнутый круг.

[Proxy]

NOD32 лучше Касперского,о преимуществах этого антивируса можно почитать инфу на форумах.
А как происходит процесс заражения компьютеров-www.hackzone.ru/.
Думаю здесь можно найти информацию,ну или на подобном сайте.
Но туда без защиты лезть не стоит.

Фиолетовый лучше зелёного,о преимуществах этого цвета можно почитать инфу на форумах.
ЗЫ. Не обосновано и тянет на пиар и холивар.

Я вообще пользовался Avira free antivirus. Просто не юзал голимый софт, кейгены на основной ОС и т.п. И браузеру не разрешал скрипты с неизвестных источников исполнять. А вирус всего один был за всё время, когда по собственному недосмотру с заражённого компа exe запустил. Потом в проводнике невозможно было посмотреть скрытые файлы... Потом юзал Virtual PC с откатывающимся образом HDD, чтобы потенциально опасные exe запускать, кейгены там всякие... А потом вообще перешёл на открытый софт и доволен как слон. Никаких антивирусов. Для потенциально опасных и мастдайных исполнимых файлов Virtual Box использую.

[Хакер]

Хорошо-извените.

И ты специально обещание писать хорошо написал плохо?

[Proxy]

Это мозговой слизень... Не первый раз встречаю слово "извените" или "извени".

[Viper]

Где вы их берёте?

Золотые слова! Где берут? Как умудряются?

[Alec]

Где вы их берёте?

+1
За более чем 10 лет активного использования Интернета дома, словил всего один "дозвонщик" во времена dal-up'а (номер был, кажется австралийский).

1. Берем ProcessExplorer Марка Руссиновича, и выявляем подозрительные процессы, смотрим пути к ним и замораживаем все.И при запуске PE получаем завершение сеанса винды.Даже в безопасном режиме.Или завершение процесса. А так же завершение процессов, пытающихся получить доступ к автозагрузочным веткам реестра. Или к процедурам RegEnum*.

Или тупо удаление PE - было и такое! На работе вычислял "блокера" с, извиняюсь, жопами. Причем до вылета успел увидеть имя файла твари!

[jangle]

Я с домашнего компа. Ситуация намного хуже чем думал. Даже в safe-моде невозможно запустить восстановление системы, таск-менеджеры умирают при запуске, запуск regedit заблокирован, доступа в сеть нет. Хорошо что еще установлена вторая копия XP на машине, с нее сейчас и работаю. Что делать непонятно.

P.S. Каспер убит трояном.