Нашествие Carberp напоминает прошлогоднюю атаку Spy.Shiz

RSS
С чем связан такой всплеск активности Carberp и количество пропусков (или пост_детектов) ESET NOD32?

Ответы

Цитата
santy пишет:
Опять же, его можно достать только через Live.CD если он там есть.
Ну...
Если, там ничего нет - то, что - то же там должно быть?

Должен же он быть в вир.лабе.
Если NOD его определяет ?
Если пушистого зверя нет в России - то!
Запад нам Поможет !  :(

Была теоретическая мысль, что зверь может прописать загрузчик на съёмный носитель, например USB.
Подключили флешку...
Перезагрузили PC вместе с ней, и = " Гуляй Поле ".
Но, пака вируса - писатели до этого не додумались, видимо.  ;)

*В принципе тело вируса, можно найти при работе с Live CD + добавление файлов каталогов.
Изменено: RP55 RP55 - 18.11.2011 00:16:09
Цитата
RP55 RP55 пишет:
зверь может прописать загрузчик на съёмный носитель, например USB
для этого приоритет загрузки в биосе сменить надо для начала. просто воткнутая флешка с таким вирем ничего не сделает при загрузке
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
для этого приоритет загрузки в биосе сменить надо для начала. просто воткнутая флешка с таким вирем ничего не сделает при загрузке

На некоторых Нетбуках/ноутбуках так и есть.
Когда систему с usb ставят, часто забывают сбросить настройку.
Но в принципе - это больше теоретический аспект.  ;)

Сделать может и не сделает - но прописаться может.
Цитата
RP55 RP55 пишет:
*В принципе тело вируса, можно найти при работе с Live CD + добавление файлов каталогов.
все остальное - от лукавого.
---------
пока есть две (известные) материальные причины присутствия Carberp в оперативной памяти:
1. IGFXTRAY.EXE стартует из папки автозапуска
2. зараженный IPL, в котором (сигнатурами и проверкой на VT) определяется в uVS как Rt.Cidox, который ESET принимает за Carberp в оперативной памяти, т.е. после перезаписи VBR в uVS симптом в оперативной памяти исчезает.
--
Изменено: santy - 18.11.2011 07:29:14
Это нормально, что при входе в эту тему антивирус ругается?
Правильно заданный вопрос - это уже половина ответа
Цитата
Арвид пишет:
Это нормально, что при входе в эту тему антивирус ругается?
Да. Это происходит из-за наличия ссылок на заблокированный сайт.
ESET Technical Support
Здравствуйте. почему на форумах др вёба и касперского на порядок меньше обращений чем у есет?Они что лучше защищают? Почему файервол пропускает? И зачем вы собираете зараженные файлы после лечения?


dura lex, sed lex
закон суров, но это - закон
Цитата
vir пишет:
Здравствуйте. почему на форумах др вёба и касперского на порядок меньше обращений чем у есет?Они что лучше защищают? Почему файервол пропускает?
Про Dr.Web - у него популярность гораздо меньше, чем у ESET или Касперского.
Касперский тоже пропускает, у них обращений меньше, т.к. их перенесли на другой форум.
Фаерволл не пропускает! Поставьте интерактивный режим в настройках.
Цитата
И зачем вы собираете зараженные файлы после лечения?
Любая антивирусная компания это делает, после того, как вылечит компьютер клиента.
Windows 7 x64 SP1, Google Chrome, ESET Smart Security 5.2
судя по темам заражений на разных форумах: либо ДрВеб и Касперский оперативнее обновляют базы по Carberp, либо слабее его детектируют.
дело не в детекте а в том почему нод не может его удалить? что это очистка невозможна? почему malwarebytes удаляет а нод нет?


dura lex, sed lex
закон суров, но это - закон
Читают тему (гостей: 1)