Jump to content
Sign in to follow this  
goliafz

KIS 2014 - Trojan-Ransom.Win32.PornoAsset.cjid

Recommended Posts

Если скрипт запускает вирус - то скрипт это тоже вирус.

Edited by kasperskynutzer

Share this post


Link to post
Если скрипт запускает вирус - то скрипт это тоже вирус.

Не-а :)

Share this post


Link to post
Не-а :)

Если файловый скрипт запускает вирус, то скрипт вредоносный? Dropper ?

Edited by kasperskynutzer

Share this post


Link to post

Нет.

Подозрительный - да. На основе подозрений его можно задетектить, а можно и пропустить ;)

 

Share this post


Link to post
Тем интереснее, почему антивирус должен блокировать "может и не вирус"?

Ну вот с какого перепугу?

Тема про то, что KAV и KIS могут не блокировать вирусы в автозагрузке, а не про то, что они не блокируют непонятные скрипты. Непонятные скрипты антивирус блокировать не должен, блокировать скрипт при записи в автозагрузку тоже. А вот когда скрипт распаковал известный вирус, который в базах, уже должен сработать антивирус.

Тут писалось, что компьютер не может быть заражён при включённом антивирусе и вирус не может быть прописаться в автозагрузку, но я вроде продемонстрировал, что это не так. Можно конечно всё свалить на пользователя, но лично я сталкивался, когда надо запускать подозрительные файлы (когда перепрошивал телефон, к примеру) и нужно нажимать Allow в диалогах антивируса. А так естественно любое заражение вина пользователя.

 

И одно дело, когда антивирус не блокирует непонятный скрипт, а другое дело, когда антивирус не блокирует, распакованный этим скриптом известный вирус. Я думаю, если пользователь получить сообщение о том, что скрипт распаковывает известный вирус, он его немедленно захочет завершить и проверить свой комп. Но если он получит сообщение, что это просто непонятный скрипт, то он его может и запустить и скорей всего запустит.

Edited by WhKitten

Share this post


Link to post
Тема про то, что KAV и KIS могут не блокировать вирусы в автозагрузке, а не про то, что они не блокируют непонятные скрипты.

А где вирус? Его нет. Есть какой-то там скрипт, который блокируется HIPS'ом при попытке влезть в автозагрузку.

Share this post


Link to post
Тут писалось, что компьютер не может быть заражён при включённом антивирусе и вирус не может быть прописаться в автозагрузку, но я вроде продемонстрировал, что это не так.

Не продемонстрировали.

Ваш скрипт - не вирус. Сигнатурно не детектируется. С точки зрения именно антивируса - чистейшая программа.

Share this post


Link to post
Не продемонстрировали.

Ваш скрипт - не вирус. Сигнатурно не детектируется. С точки зрения именно антивируса - чистейшая программа.

 

Выполните эти безобидные четыре команды в Пуск\Выполнить\cmd при включённом антивирусе увидите вирус.

set VIRUS_EXE="%Temp%\AVTest.exe"
echo X5O^!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE^!$H+H* > %VIRUS_EXE%
echo   * starting virus
%VIRUS_EXE%

Edited by WhKitten

Share this post


Link to post
Выполните эти безобидные четыре команды в Пуск\Выполнить\cmd при включённом антивирусе увидите вирус.

set VIRUS_EXE="%Temp%\AVTest.exe"
echo X5O^!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE^!$H+H* > %VIRUS_EXE%
echo   * starting virus
%VIRUS_EXE%

Хде мой вирус? ;)

post-3720-1382541986_thumb.jpg

Share this post


Link to post
Хде мой вирус? ;)

post-3720-1382541986_thumb.jpg

Сейчас да, но скрипт прописывается в автозагрузку вообще-то и этот код выполняется только после перезагрузки компьютера и антивирус вирус в этом случае не всегда обнаруживает.

Edited by WhKitten

Share this post


Link to post
echo X5O^!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE^!$H+H* > %VIRUS_EXE%

Нереальные условия ... но:

Запустил батник из Доверенной группы (иначе с моими правилами HIPS ...)

После команды создания exe c содержимым

X5O^!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE^!$H+H*

Мгновенно срабатывает сигнатурный детект

КИС 2012

Edited by kasperskynutzer

Share this post


Link to post
но скрипт прописывается в автозагрузку вообще-то

?????? :blink:

А можно указать строку при помощи которой он прописывается в автозагрузку?

Share this post


Link to post

:russian:

C:\Users\Вадим\AppData\Local\Temp>reg add %KEY_AUTORUN% /v %VIRUS_NAME% /t REG_SZ /d "\"%~0\" StartEicar" /f
Ошибка. Недопустимое имя раздела.
Введите "REG ADD /?" для получения справки по использованию.

Теперь что надо сделать, что бы файл появился в автозагрузке ?

Share this post


Link to post

Да... кстати ;)

 

Вот результат выполнения .cmd файла, без запуска самого эйкара

 

 Том в устройстве C имеет метку Система
Серийный номер тома: E26E-8928

Содержимое папки C:\Users\Вадим\AppData\Local\Temp

23.10.2013  18:41    <DIR>          .
23.10.2013  18:41    <DIR>          ..
23.10.2013  18:41                 0 1
10.09.2011  22:30                 0 FXSAPIDebugLogFile.txt
22.10.2013  07:01    <DIR>          mozilla-temp-files
22.10.2013  06:58            32 768 ~DF407E06ADBB4F629B.TMP
22.10.2013  06:59    <DIR>          ~G8B9KK~.~-~
               3 файлов         32 768 байт
               4 папок   7 711 002 624 байт свободно

Share this post


Link to post
Теперь что надо сделать, что бы файл появился в автозагрузке ?

http://forum.kaspersky.com/index.php?s=&am...t&p=2115463 скачайте приклеплённый скрипт, запустите (пароль на архив virus) и подтвердите добавление в автозагрузку и перезагрузку компьютера, нажав два раза любую клавишу (понятно дело, что подтверждения я добавил специально и их можно из скрипта убрать удалив команду pause).

Share this post


Link to post

Вот ведь тема (ни о чём) разрослась. Подождите, или я чего-то недопонимаю. А мыслю я так, ну не может антивирус (любой) до загрузки ловить вирусы. Ему нужны базы, а их нет. Есть драйвер, который может обеспечить защиту определённых файлов и папок и что-то ещё заблокировать. Например KIS 2014 блокирует все программы, которым запрещён запуск (поэтому не вздумайте заносить системные файлы в Недоверенные, система может просто не запустится). То есть программа заранее была заблокирована (не важно вручную или автоматически), а потом драйвер её при загрузке системы блокирует. Но я понимаю так, что драйвер не может самостоятельно распознать зловред это или нет, для этого нужны базы. А они загружаются достаточно долго. Поэтому либо надо блокировать все программы до загрузки антивируса (а это будут такие тормоза), либо проникновения вирусов в автозагрузку (фактически не допускать заражения).

Или я не прав?

Share this post


Link to post
http://forum.kaspersky.com/index.php?s=&am...t&p=2115463 скачайте приклеплённый скрипт, запустите (пароль на архив virus) и подтвердите добавление в автозагрузку и перезагрузку компьютера, нажав два раза любую клавишу (понятно дело, что подтверждения я добавил специально и их можно из скрипта убрать удалив команду pause).

У меня вот, что получилось:

post-41452-1382543297_thumb.jpg

Share this post


Link to post
http://forum.kaspersky.com/index.php?s=&am...t&p=2115463 скачайте приклеплённый скрипт, запустите (пароль на архив virus) и подтвердите добавление в автозагрузку и перезагрузку компьютера, нажав два раза любую клавишу (понятно дело, что подтверждения я добавил специально и их можно из скрипта убрать удалив команду pause).

Не прошло ;)

у меня нет автозапуска профиля...

На все профили есть пароль

 

 

Share this post


Link to post
У меня вот, что получилось:

post-41452-1382543297_thumb.jpg

Надо запускать именно батник из архива или самому создать bat файл с этими командами и когда написано "Нажмите любую клавишу" надо её нажать, первый раз для прописывание в автозагрузку и второй раз для перезагрузки компьютера.

 

Share this post


Link to post
Сейчас да, но скрипт прописывается в автозагрузку вообще-то и этот код выполняется только после перезагрузки компьютера и антивирус вирус в этом случае не всегда обнаруживает.

Походу я чуть выше как-то плохо, недоступно написал:

 

Нет в природе малвары, которая бы не стремилась запустить то что ей нужно запустить СРАЗУ.

Никто из вирусописателей никогда не ждет перезагрузки.

Share this post


Link to post
Не прошло ;)

у меня нет автозапуска профиля...

На все профили есть пароль

У меня тоже, но у меня проходит. Вирус запускается и антивирус его обнаруживает уже после запуска. В случае блока антивирусом ErrorLevel должен быть равен 5.

post-5850-1382543976_thumb.png

post-5850-1382543983_thumb.png

post-5850-1382544230_thumb.png

Edited by WhKitten

Share this post


Link to post
Никто из вирусописателей никогда не ждет перезагрузки.

Зачем ждать, скрипт сам перезагружает компьютер. Можно у пользователя даже разрешение спросить "Для продолжения установки любимой игрушки нужно перезагрузить компьютер. Перезагрузить сейчас?"

 

У меня то 2014 ;)

В ролике http://www.youtube.com/watch?v=7agUKz0AuL0 тестируют именно 2014 версию, а мой скрипт эксплуатирует именно то, что в ролике. Видимо просто комп быстрый или долго пароль вводили...

 

Edited by WhKitten

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.