Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

В случае например совместной установки: Comodo Firewall  и Kaspersky AV
Важен именно порядок: вначале установить: Kaspersky AV и только после этого  Comodo Firewall

В случае с ESET я бы сделал наоборот вначале установил: Comodo Firewall  и после этого ESET A.V.
Изменено: RP55 RP55 - 20.05.2017 12:39:54
Сообщения не видел, попробовал установить Comodo Firewall к уже установленному ESET AV.
На практике, в теории они сосуществовать могут.
Но данный firewall слишком серьезно потребляет ОЗУ и не поддерживает Game Mode для игр с динамическим содержимым,
поэтому в итоге его снес. Отдельное неприятное впечатление оставило "неотменяемая" (по факту) установка их различных приблуд.
Тем не менее, все они шли с unins и в итоге без проблем были удалены.
=================================================
Есть другой интересный вопрос.
Где-то год назад, когда еще шифровальщики не были "в моде", во время серфинга на одном "доверенном" сайте внезапно выплыло окно pop-up
и попыталось загрузить некий zip-файл (антивирус вида не подал, перехватила другая утилита). Разумеется, ничего хорошего там быть по идее не могло.
На практике, изолировав его от браузера, открыл (не распаковывая) этот zip-файл WinRAR'ом. Внутри были какие-то папки с каким-то непонятным хламом
непонятного расширения (командных/скриптовых/swf файлов не было). Сложилось впечатление, что это какой-то набор эксплойтов, сайт отправил в блэк-лист,
линки в поддержку, начал смотреть за активностью системы, но ничего по факту не произошло (вообще ничего, проверял различными утилитами).

Что вообще должно было произойти? (по замыслу "писателей" того вирусного php-скрипта на том pop-up сайте)
Изменено: Axel Holsky - 22.05.2017 10:18:07
Цитата
Axel Holsky написал:
данный firewall слишком серьезно потребляет ОЗУ

А здесь нужно смотреть настройки и какие функции активны.
Цитата
Axel Holsky написал:
Что вообще должно было произойти?

По прошествии времени и не имея на руках файлов - сказать сложно.
Но сейчас в 93% случаев устанавливают различные рекламные агенты.
А файлы нужно проверять здесь: https://www.virustotal.com/
( желательно недели через две там же  делать повторную проверку файла )
Цитата
Axel Holsky написал:
Где-то год назад, когда еще шифровальщики не были "в моде"

Шифровальщики в моде уже лет пять.
Смотрите даты создания тем: http://forum.esetnod32.ru/forum35/?PAGEN_1=1
Цитата
А здесь нужно смотреть настройки и какие функции активны.

Даже если многие отключить - все равно достаточно потребляет.
Хотя если ОЗУ на компе 8+ Гб, то там это не будет так заметно, но это не мой случай.

Цитата
Шифровальщики в моде уже лет пять.
Смотрите даты создания тем: http://forum.esetnod32.ru/forum35/?PAGEN_1=1

Хм, надо же... предполагал, что они появились лишь как смена устаревших winlock-вирусов :)

Цитата
По прошествии времени и не имея на руках файлов - сказать сложно.

Учитывая, что тогда это был первый такой странный случай, предположил, что потом может быть
следом прилетит еще какой-нибудь подарочек (дополнительная нагрузка) к этому zip-у,
поэтому и его сразу утилизовал, и IP сменил.
Но ссылку на его скачивание в поддержку отправлял.
Вообще тот сайт что-то вроде площадки для прямого распространения последних троянов.
В Касперском даже он внесен в url-блэклист (жаль, что в ESET до этого не додумались).
Цитата
Хм, надо же... предполагал, что они появились лишь как смена устаревших winlock-вирусов :)
какое то время они еще мирно существовали :), но теперь локеры существенно модернизировались.
например такие как Petja Ransomware которые и блокируют загрузку системы, и шифруют MFT.

Цитата
В Касперском даже он внесен в url-блэклист (жаль, что в ESET до этого не додумались).
(у ESET он так же есть.) а в целях безопасности вы можете добавить этот адрес в личный список блокирования URL.
https://www.anti-malware.ru/news/2017-06-19/23193

Цитата
   

«Он внедряет свой код в процесс Windows svchost.exe, а основной файл вымогателя удаляется. Это довольно мощная атака, так как после этого легитимный процесс svchost.exe осуществляет выполнение вредоносной нагрузки (шифрование файлов)»
кстати, есть полезные темы на форуме eset.com

WMI infected:
https://forum.eset.com/topic/12134-wmi-infections/

SOREBRECT "fileless" Ransomware:
https://forum.eset.com/topic/12336-sorebrect-fileless-ransomware/

автоперевод:
Цитата
Для начала, если вы не являетесь корпоративным пользователем, вы не должны устанавливать PsExec. Если вы домашний пользователь без технических знаний, а PsExec установлен в каталоге C: \ Windows \ System32, вы должны удалить его.

Наконец, PsExec требует прав администратора для запуска. Поэтому, если вы используете стандартную учетную запись пользователя, она не может работать. Если вы используете ограниченный админ, вы должны достигнуть максимального уровня UAC. Это заставит оповещение UAC, даже если PsExec попытается запустить в скрытом режиме.

Цепь атаки SOREBRECT включает в себя злоупотребление PsExec, законной утилитой командной строки Windows, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Неправильное использование PsExec для установки SOREBRECT указывает на то, что учетные данные администратора уже были скомпрометированы или удалены удаленные компьютеры или принудительно принудительно. SOREBRECT не первая семья, которая неправильно использует PsExec-SAMSAM, Petya и ее производные, PetrWrap (RANSOM_SAMSAM и RANSOM_PETYA, соответственно), например, использовать PsExec для установки ransomware на взломанных серверах или конечных точках.

+

Цитата
Скрытность SOREBRECT может создавать проблемы

Хотя шифрование файлов является эндшпилем SOREBRECT, скрытность является его основой. Процедура самоуничтожения ransomeware делает SOREBRECT файловой угрозой. Выигрыш делает это, вводя код в законный системный процесс (который выполняет процедуру шифрования) перед завершением его основного двоичного файла. SOREBRECT также прилагает усилия для удаления журналов событий затронутой системы и других артефактов, которые могут предоставить судебную информацию, такую ​​как файлы, выполняемые в системе, включая их временные метки (например, appcompat / shimcache и prefetch). Эти удаления также предотвращают анализ и предотвращают отслеживание активности SOREBRECT.

Когда мы впервые увидели SOREBRECT в дикой природе, мы наблюдали низкую базу распределения, которая изначально была сосредоточена на ближневосточных странах, таких как Кувейт и Ливан. Однако к началу мая наши датчики обнаружили SOREBRECT в Канаде, Китае, Хорватии, Италии, Японии, Мексике, России, Тайване и США. Затронутые отрасли промышленности включают производство, технологию и телекоммуникации. Учитывая потенциальное воздействие и рентабельность выкупщика, было бы неудивительно, что SOREBRECT появится в других частях мира или даже в подземном киберпреступлении, где его можно продавать как услугу.

https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/
Интересно, что в качестве шифратора в SOREBRECT используется уже известный нам шифратор AES_NI


Цитата
The Trojan appends the following string to the end of encrypted file names:

   .aes_ni_0day


Next, the Trojan drops the following file in every location where files have been encrypted:

   [PATH TO ENCRYPTED FILES]\!!! READ THIS - IMPORTANT !!!.txt


The .txt file is a ransom note demanding payment for the files to be decrypted.



или Symantec чего то путает?
https://www.symantec.com/security_response/writeup.jsp?docid=2017-061913-4515-99&tabid=2

Или SOREBRECT и AES_NI это разные названия одного и того же шифратора.
(который нам известен как AES_NI)
интересный диалог.

My question was specifically if ESET can detect and protect against this kind of threat (or even this threat specifically if a few of our other procedures and systems fail). Does ESET not detect the malicious code injection into a trusted process (where it injects it's code into svchost.exe, then encrypts files, deletes logs, adds registry keys, etc)? Even a dictionary/hash based detection?  

Обнаружит ли ESET инъекцию вредоносного кода в доверенный процесс  и защитит ли от такой угрозы(где он вводит свой код в файл svchost.exe, затем шифрует файлы, удаляет журналы, добавляет ключи реестра и т. Д.)?

Цитата
My own testing has shown the Eset HIPS is very effective against memory based reflective .dll injection that many other security products can't detect. This include process hollowing type activity. That said, the HIPS by default does not monitor system processes like svchost.exe; you have to create manual rules. Alternatively; you can set the HIPS to training mode. After the training period expires, you can switch to interactive mode which will generate an alert for any process activity for which a HIPS rule was not created during the training period.

Eset's primary detection is via reputation scanning; then sandboxing and examining the suspect process via heuristics. Eset on Win 10 through use of its ELAM driver, loads as a protected kernel mode process. This allows the Eset kernel to be able to monitor other protected processes; something only a few other security solutions can do.

Finally, Eset does have advanced memory scanning capability, a post execution mitigation, to detect suspicious memory based activity after a processes has begun execution. Eset has not published a detailed technical analysis on how AMS works but appears its primary purpose is exploit mitigation. Eset lab test scores for exploit mitigation have been consistently excellent. Additionally, Eset has scored in the top tier for ransomware detection on all recent AV Labs tests for same.
детальный отчет по Statinko


https://www.welivesecurity.com/wp-content/uploads/2017/07/Stantinko.pdf
Читают тему