Help - Search - Members
Full Version: Новый ТРОЯН использует КАВ
Kaspersky Lab Forum > Для русскоязычных пользователей > Задай вопрос Евгению Касперскому
Michel
23.10.2006 18:02
Сегодня на сайте MIGnews.com (Технологии >> В мире) прочитал:

QUOTE
Сотрудники компьютерной службы безопасности, исследующие новую вредоносную программу, были поражены, обнаружив, что она использует, а не повреждает антивирусное программное обеспечение.

Новый "червь", получивший название SpamThru, используется для рассылок спама по электронной почте. Он способен взламывать и загружать копию антивируса Касперского. Исследователи полагают, что вирусная программа использует антивирус для поиска в системе конкурирующих вирусов и троянов. Обнаруженные файлы затем уничтожаются.

SpamThru также использует технологию P2P, чтобы загрузить спам и списки адресатов с сервера. Если сервер закрыт, он может настроить новый сервер и использовать сеть P2P, чтобы связать зараженный компьютер с новым местоположением сервера.


Источник: 23.10 14:21 MIGnews.com
Ссылка: http://www.mignews.com/news/technology/wor...2123_08831.html

Хотелось бы официальных комментов, что это и как будет правиться, если конечно это не "утка".
codelancer
23.10.2006 18:25
лучше читать тут:
http://www.eweek.com/article2/0,1895,2034680,00.asp
более понятно

p.s. backdoor.win32.agent.uu
Michel
23.10.2006 18:32
Спасибо за ссылку.
Я так понимаю, что все обойдется сигнатурой, никаких хотфиксов и т.п. не будет?
codelancer
23.10.2006 18:38
QUOTE(Michel @ 23.10.2006 18:32)
Спасибо за ссылку.
Я так понимаю, что все обойдется сигнатурой, никаких хотфиксов и т.п. не будет?
*


Ммм, а что там хотфиксить ? smile.gif
плагин для wingate ?
codelancer
23.10.2006 18:49
http://www.secureworks.com/analysis/spamthru/

самое подробное
fp_post
24.10.2006 02:28
QUOTE(codelancer @ 23.10.2006 19:38)
Ммм, а что там хотфиксить ? smile.gif
плагин для wingate ?


1.) А как с его помощью осуществляется
QUOTE(eweek.com)
it begins to scan the system for malware, skipping files which it detects are part of its own installation
...
Any other malware found on the system is then set up to be deleted by Windows at the next reboot.

Он что запускает сканер в режиме "LogOnly", а потом логи парсит?

2.) Интересно также насчет:
QUOTE(securitylab.ru)
Ведущие антивирусные компании уже добавили процедуры защиты от этой программы в базы данных своих продуктов.

Что, и Kav for WinGate убивают? smile.gif
Или так далеко дело не заходит?

3.) Было бы еще интереснее использовать Kav для удаления установленных Av-продуктов


Сорри: создал аналогичную тему в "Борьба с вирусами", потом заметил эту...
Ivan Krasnov
24.10.2006 09:49
QUOTE(Michel @ 23.10.2006 18:02)
Сегодня на сайте MIGnews.com (Технологии >> В мире) прочитал:
Источник: 23.10 14:21  MIGnews.com
Ссылка: http://www.mignews.com/news/technology/wor...2123_08831.html

Хотелось бы официальных комментов, что это и как будет правиться, если конечно это не "утка".
*


Официальное заявление тут.
Peskind
24.10.2006 12:39
QUOTE(Ivan Krasnov @ 24.10.2006 08:49)
Официальное заявление тут.
*

Э-э-э, а пятерка как?
>Исправленная версия драйвера Klin.sys доступна пользователям >перечисленных выше продуктов компании через стандартный модуль >обновления антивирусных баз. Для ликвидации описанной компанией iDefence >Labs уязвимости достаточно один раз обновить антивирусные базы продукта с >включённой опцией «Обновлять сетевые драйвера и сигнатуры атак» после 12 >октября текущего года и перезагрузить защищенный Антивирусом Касперского >компьютер.
У пятерки никаких таких опций нет, есть флажок "обновлять программные модули", но он по умолчанию выключен sad.gif
Maratka
24.10.2006 16:08
QUOTE(Peskind @ 24.10.2006 05:39)
Э-э-э, а пятерка как?
>Исправленная версия драйвера Klin.sys доступна пользователям >перечисленных выше продуктов компании через стандартный модуль >обновления антивирусных баз. Для ликвидации описанной компанией iDefence >Labs уязвимости достаточно один раз обновить антивирусные базы продукта с >включённой опцией «Обновлять сетевые драйвера и сигнатуры атак» после 12 >октября текущего года и перезагрузить защищенный Антивирусом Касперского >компьютер.
У пятерки никаких таких опций нет, есть флажок "обновлять программные модули", но он по умолчанию выключен sad.gif
*



Оно и есть... ставте галку, если после обновления будет затребована перезагрузка - значит все нормально....
Ну и для верности ручками проверьте этот файл - что он действительно "свежий"

Удачи!
Peskind
24.10.2006 17:23
QUOTE(Maratka @ 24.10.2006 15:08)
Оно и есть... ставте галку, если после обновления будет затребована перезагрузка - значит все нормально....
Ну и для верности ручками проверьте этот файл - что он действительно "свежий"

Удачи!
*

Никаких вопросов мне никто не задавал (у меня-то стоит обновление модулей!),
klif 6.12.10.163
klic 2.0.0.278
WKS 5.0.712
codelancer
28.10.2006 12:49
QUOTE(Ivan Krasnov @ 24.10.2006 09:49)
Официальное заявление тут.
*



А это тут вообще при чем ?
Иван, не путайте народ!
Michel
28.10.2006 22:48
QUOTE(codelancer @ 28.10.2006 11:49)
А это тут вообще при чем ?
Иван, не путайте народ!
*


Значит это все-таки не из этой оперы. А я-то долго сомневался, точно ли это (на что дал ссылку Ivan Krasnov) заявление к данной проблеме (той, что обсуждается здесь).

Спасибо за уточнение.
the-punisher
2.11.2006 14:00
хотя надо выпускать новый релиз 6.0ки. потому что фикс может проломаться а релиз новый и свежий и который не имеет фиксов взломать труднее. жду нового релиза 6.0ки если такого будет
Michel
3.11.2006 01:15
QUOTE(the-punisher @ 2.11.2006 13:00)
хотя надо выпускать новый релиз 6.0ки. потому что фикс может проломаться а релиз новый и свежий и который не имеет фиксов взломать труднее. жду нового релиза 6.0ки если такого будет
*


Сорри, но вы очем вообще?
Назовите параметры, по которым вы определили: "потому что фикс может проломаться а релиз новый и свежий и который не имеет фиксов взломать труднее". А мне, наивному, казалось, что между установкой фикса и сразу установкой новой версии никакого различия нету.

Какая разница между тем, что залатанный модуль установится сразу с КИС или по средством обновления баз? Если не успели взломать до установки патча, то уже разницы никакой.

И потом, как уже сказал codelancer - а что там хотфиксить? плагин для wingate? wink.gif

Проблема была не в продукте ЛК, просто загружалась изначально крякнутая версия КАВ, никто ломать КАВ в реальном времени и не пытался в данной ситуации!

Решение - обновите базы.
the-punisher
3.11.2006 09:32
я говорю потому что у друга ломанули КАВ с последним апдейтом!!! так что фикс уже ломанули.
Michel
4.11.2006 01:17
QUOTE(the-punisher @ 3.11.2006 08:32)
я говорю потому что у друга ломанули КАВ с последним апдейтом!!! так что фикс уже ломанули.
*


Какая версия? Была ли включена самозащита?
Было ли включено обновление собственных модулей?

Как именно был обнаружен взлом КАВ? Может он использовал левую версию КАВ - скачал ее с сомнительных сайтов и/или патчил отдельные модули...
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2009 Invision Power Services, Inc.