Лидеры форума

Материал был представлен на ZDNet "Research: 80% of Carberp infected computers had antivirus software installed" http://www.zdnet.com/research-80-of-carber...led-7000001679/ Базируется на исследовании ботнета Carberp http://www.dailysafetycheck.com/v/vspfiles...2012_Botnet.pdf Ресерчер Jim McKenney. На примере группы ботов из Carberp, географически расположенных в Канзасе, Миссури, Оклахоме и Небраске (всего около 600 pc) удалось получить следующую статистику. 1. На подавляющем большинстве (80%) ботов были установлены AV. 2. Шкала показывает соотношение по каждому такому AV, который находился в состояниях отключенный/"хакнутый" (воздействие малвари). Синий - некоторые фичи AV были отключены (защита и обновления), Красный - основные фичи были доступны, но не работали как следует. При этом указываются возможности версии Carberp, к которой принадлежит ресерч: - Отключение real-time сканеров, используя идентификацию запущенных процессов - "Crippling"/"хак" защиты (через bh апдейты) - Отключение обновлений ... Еще один LOL - шкала показывает пропорции версий NT, на которых работали боты. Ориг

Я в сотнях раз на практике вычищал всякую заразу из больших сетей (1000+ ПК) описанным образом, поэтому знаю, что говорю ... особенно смешно слушать в таком случае админа, рассказувающего, как он сканирует есть продуктами от Positive Technologies (как правило конечно ворованными - он дорогой), или разовыми антивирусными сканерами Допустим, на ПК "условно-легитимная" закладка (коммерческий кейлоггер например, или удаленная управлялка, заботливо поименнованная как svchost.exe ИТ-шником инсайдером) или малварь, не детектируемая сигнатурно (например, заказной троянчик, или что-то самодельное). И толку от указанных программ будет ... ну в общем ровно нуль Так как сигнатурного детекта не будет, равно как не будет явной уязвимости. насмотреться на такое мне пришлось, и много - например: - Remote Admin и ему подобные клоны (условие - чтобы не детектировался сигнатурно большинством антивирей, и ставился как можно проще ... в последнее время TeamView попадается) - батники в планировщике, создающие левые учетки по расписанию (и готово - черный ход на ПК), или передающие заданные файлы "кому надо" (обычное копирование по сети), или открывающие папки на чтение в заданное время (админ наивно сканирует - все чисто)... кстати менеджер планировщика появился именно в ходе одной такой "зачистки", и дал любопытный результат - нетипичное использование легитимных программ, например Punto, заботливо поставленные на ПК с включенным журналом (а это попросту делает его кейлоггером, причем визуально ничего не видно ... остается наладить отправку собранного журнала). Или например видел я я как-то SnagIt и его аналоги в роли скриншоттеров - немного доработанные Интернет-пейджеры (видел я как-то один, доработан всего чуть - никто не детектил его сигнатурно и все считали его белым и пушистым, пока я не заметил в нем небольшую аномалию всего 30 байт патченного кода, зато эффект ... ) и почтовые программы Перечисленные методы просты и при умном применении пробивают даже эшелонированную оборону, если применяются с умом (по понятным причинам я намекнул, как это делается, без деталей).