Trojan.Winlock - защита и лечение

[Илья Рабинович 521]

  demkd сказал:

Да, тем кто хочет именно купить всегда рекомендую KIS он тоже еще та глючная заноза, но в совокупности функций обеспечивает удовлетворительную защиту инет серферу.

http://virusinfo.info/showpost.php?p=574060&postcount=39

[demkd 622]

  Илья Рабинович сказал:

http://virusinfo.info/showpost.php?p=574060&postcount=39

Вот потому я и пишу что "удовлетворительная" А песочница вещь конечно полезная особенно применительно к браузерам и п.н. песочницы в том или ином виде будут встроены во все ведущие фаеры уже в ближайший год, а может даже и в KIS-е ее углубят и до конца оформят, но и песочница не панацея трудно учесть ВСЕ и всегда есть вероятность того что в доверенных окажется милый троян под видом розового блокнота в прикольный зеленый горошек, который будет тихо ждать пока его сделают доверенным или просто выпустят в инет "обновиться" или просто скопируют с болванки или с подключенного в usb-док/e-sata/sata/ide/1394/хз_чего_еще_придумают винта/и_прочего_несъемного_по_мнению_песочницы/системы_устройства... Даже если фаеры, антивирусы и песочницы станут едины все равно до 100% защиты будет как до Китая пешком И с каждым годом будет все веселей, а совсем весело станет когда сформируется Единая Беспроводная Сеть и каждый цветочный горшок (не говоря уже про людей) будет on-line 24/7

[Андрей-001 1099]

А вот и подробная статистика подоспела: http://news.drweb.com/show/?i=898&c=5

Стоило лишь подождать.

[Сергей Ильин 1538]

  svh сказал:

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer)

Очень интересный момент, который как-то все пропустили. А что конкретно за уязвимость то Internet Explorer используется и к какой конкретно версии? Вообще в таких случаях принято писать ее код в нумерации Microsoft.

А то получается пропиарились, а как защититься людям не сказали ... некрасиво.

[vaber 350]

  Сергей Ильин сказал:

А что конкретно за уязвимость то Internet Explorer используется и к какой конкретно версии?

Ничего нового, основной эксплоит во всех тулкитах MDAC (ms06-014) - на его долю приходится основная часть пробива. + плагины к IE, Java.

В качестве примера в аттаче скрины с распространенного сейчас сплоет-тулкита - Liberty.

Очевидно, что заражаются через эксплоиты в браузере все те, кто не утруждает себя обновлением ОС и приложений, наиболее подверженным атаки и используемых браузерами.

  Сергей Ильин сказал:

А то получается пропиарились, а как защититься людям не сказали ... некрасиво.

Они как бэ намекнули - DrWeb решит все Ваши проблемы =))

[Harmonic 0]

  grex сказал:

Да проблема-то большей частью наблюдается у Др.Веб, наверное поэтому предпочитают напирать на призывы к властям, а не на собственные технологии. Жаль.

У других вендоров в борьбе с этой заразой ХИПСЫ и т.п. помогает, даже у Нода, и то эвристика часто на новые Винлоки срабатывает, а от Др.Веб

только призывы и слышатся. Неужели никакого честолюбия не осталось? Где же ваша эвристика, Ориджины, хоть что-нибудь?

Почему не видно результатов работы по предотвращению заражений пользователей еще не известными Винлоками?

Не надо все валить на одного Доктора и восхвалять навороченные проактивки. Точно знаю случаи за последние месяцы, когда блокеры валили ПК, защищенные Dr.Web 4.44, KIS 2009, Avast 4.8, Symantec. Так что, проблема есть как минимум у всех перечисленных производителей. Про миллионы конечно не знаю, но как человек, к которому часто обращаются знакомые за лечением и консультацией могу сказать, что блокеры нынче злобствуют, и на эпидемию это все действительно похоже. Кстати, в последнем случае с Symantec проблема с разблокировкой ПК была решена за пару минут именно благодаря сервису http://www.drweb.com/unlocker/ . Спасибо Доктору, что не только о своих юзерах позаботился.

Сотовые операторы тоже реагируют.

Из рассылки уральского Мегафона от 27.01.2010:

""Мобильный прайс" поможет узнать стоимость коротких номеров

Теперь, чтобы выяснить точную стоимость SMS или звонка на неизвестный короткий номер телефона, который вы увидели по телевизору, в газете или услышали по радио, не нужно будет тратить время на поиск данных в Интернете или звонить в контактный центр оператора! МегаФон представляет абонентам на Урале бесплатную услугу "Мобильный прайс", которая станет хорошим помощником для получения информации по стоимости запросов на короткие номера. Новый сервис сэкономит время и значительно облегчит поиск необходимых сведений! Набрав на дисплее мобильного телефона USSD-запрос *106# и клавишу вызова, любой абонент сможет легко и просто узнать название контент-провайдера и цену отправки SMS-сообщения, USSD-запроса или звонка на интересующий короткий номер от 2-х до 6-ти цифр."

Благодаря этому сервису удалось узнать точную сумму, которая списывается авторам блокера.

[Harmonic 0]

  Сергей Ильин сказал:

А то получается пропиарились, а как защититься людям не сказали ... некрасиво.

А Касперский, получается, тоже пропиарился ( http://www.kaspersky.ru/news?id=207733163 ), сказал как лечиться, но как защищаться тоже не сказал, не так ли?

Вот vaber сказал, спасибо, но простой пользователь мало поймет из того, чего он там сказал, кроме того, что надо чего-то обновлять. Для спецов же и продвинутых пользователей необходимость обновлений и так известна.

[Umnik 997]

  Harmonic сказал:

А Касперский, получается, тоже пропиарился ( http://www.kaspersky.ru/news?id=207733163 )

Это новость-уведомление, а не пиар.

[Cooller 20]

А как у Исет'а Нод 32 этот винлок определяется, кто знает?

И как простому пользователю ПК от этого винлока защитится, какие правила надо соблюдать?

[Denis Lipnicky 110]

Конечно, как Касперский так новость , как Dr.Web так пиар.

[Harmonic 0]

  Cooller сказал:

И как простому пользователю ПК от этого винлока защитится, какие правила надо соблюдать?

Рекомендации типичные: ставить обновления от Microsoft, обновлять браузеры и плагины к ним (особенно Adobe Flash Player и Adobe Reader), не вестись на подозрительные предложения установить лже-кодеки, лже-антивири и другие чудо-проги, не работать в Windows с правами админа, ну и конечно же регулярно обновлять антивирь.

[K_Mikhail 807]

  Denis Lipnicky сказал:

Конечно, как Касперский так новость , как Dr.Web так пиар.

Денис, любая новость от любого %vendorname%, так или иначе, преследует своей конечной целью пиар... Эмоции -- они необъективны.

[Denis Lipnicky 110]

  K_Mikhail сказал:

Денис, любая новость от любого %vendorname%, так или иначе, преследует своей конечной целью пиар... Эмоции -- они необъективны.

я не опровергал то ,что это может быть пиаром , мне не понравилось то , что кто-то одно считает пиаром и такое же но у кого-то другого невинной новостью.

[Сергей Ильин 1538]

  Harmonic сказал:

Вот vaber сказал, спасибо, но простой пользователь мало поймет из того, чего он там сказал, кроме того, что надо чего-то обновлять.

Вот в том то и дело! Я все понимаю, пиар есть пиар, не подмажешь - не продашь, но не надо забывать, что миссия антивирусных компаний - защита пользователей. Надо было четко указать о необходимости установки конкретных апдейтов.

  Harmonic сказал:

А Касперский, получается, тоже пропиарился ( http://www.kaspersky.ru/news?id=207733163 ), сказал как лечиться, но как защищаться тоже не сказал, не так ли?

Да, по сути ничем не отличается. Так же не сказали как реально защититься.

Складывается впечатление, что антивирусные вендоры как-то стесняются что ли говорить о том, что апдейты могут защитить от заражения ... видимо логика такая, что а зачем тогда мы?

  K_Mikhail сказал:

Денис, любая новость от любого %vendorname%, так или иначе, преследует своей конечной целью пиар... Эмоции -- они необъективны.

Согласен, иначе зачем тогда новости писать и рассылать по СМИ?

Илья Рабинович, а DefenseWall, кстати, предотвращает заражение Winlock'ом?

[Harmonic 0]

  kvit.v сказал:

к сожалению у alexgr явно чуствуется полное отрицание и глобальный негатив в душе к компании Доктора...

конструктива в общении, где присутствует Доктор от него не замечал, что не радует...

Да, тоже заметил такое.

[K_Mikhail 807]

  Denis Lipnicky сказал:

я не опровергал то ,что это может быть пиаром , мне не понравилось то , что кто-то одно считает пиаром и такое же но у кого-то другого невинной новостью.

Вопрос терминологии, на самом деле. Просто, когда знаешь аксиому -- "новость от %vendorname%" == пиар", то любая сопутствующая "игра слов" в исполнении вольной трактовкой терминологии (вот это -- новость, а это -- пиар) -- есть пустой звук. Ибо -- см. аксиому.

[Denis Lipnicky 110]

  K_Mikhail сказал:

Вопрос терминологии, на самом деле. Просто, когда знаешь аксиому -- "новость от %vendorname%" == пиар", то любая сопутствующая "игра слов" в исполнении вольной трактовкой терминологии (вот это -- новость, а это -- пиар) -- есть пустой звук. Ибо -- см. аксиому.

Вы меня всерьез заставили обдумать ваше высказывание , интересная мысль , в чем-то согласен , но для меня объективность это не пустой звук .

[K_Mikhail 807]

  Denis Lipnicky сказал:

Вы меня всерьез заставили обдумать ваше высказывание , интересная мысль , в чем-то согласен , но для меня объективность это не пустой звук .

Без проблем. В чём заключаются Ваши сомнения относительно моего высказывания?

[Valery Ledovskoy 1082]

  Сергей Ильин сказал:

Надо было четко указать о необходимости установки конкретных апдейтов.

Здесь не соглашусь. Ну и что с того, что от одного вируса нужно ставить одни апдейты, а от другого - другие? Считаю, что просто нужно ставить все рекомендуемые производителем апдейты. Вы же не качаете вирусные базы к используемому антивиру только от определённых вирусов?

[Denis Lipnicky 110]

  K_Mikhail сказал:

Без проблем. В чём заключаются Ваши сомнения относительно моего высказывания?

я бы не сказал что у меня сомнения, нет , просто так называемая ''игра слов'' может вести к десяткам сотням и тысячам различным мнениям ,хотя истинная и субъективная правда одна и есть те, которые просто специально начинаю заниматься ''игрой слов'' , а это уже необъективность.

[Сергей Ильин 1538]

  Valery Ledovskoy сказал:

Здесь не соглашусь. Ну и что с того, что от одного вируса нужно ставить одни апдейты, а от другого - другие? Считаю, что просто нужно ставить все рекомендуемые производителем апдейты.

В пресс-релизе было сказано про Internet Explorer. Поэтому я бы не удивился недовольству коллег из Microsoft. Конкретика напрашивалась, если сказали А, то надо было сказать и Б. Да и про необходимость ставить апдейты тоже не было бы лишним сказать.

Я не наезжаю, а просто провожу пост-анализ. Глядишь и по ТВ бы на всю страну сказали, что надо обновляться ... кто-то бы прислушался и заражений было бы меньше.

[kvit.v 45]

  Valery Ledovskoy сказал:

Здесь не соглашусь.

здесь не соглашусь я, пользователь не всегда знает о выходе некоторых апдейтов, поэтому я только был бы рад если бы мой антиврусный вендор напоминал о выходе важных апдейтов, причем не только к программам MS.. Есть еще adobe reader, flash... вендор первый видит тенденцию использования эксплоитов, ему и карты в руки предупредить пользователя...

[K_Mikhail 807]

  Denis Lipnicky сказал:

я бы не сказал что у меня сомнения, нет , просто так называемая ''игра слов'' может вести к десяткам сотням и тысячам различным мнениям ,хотя истинная и субъективная правда одна и есть те, которые просто специально начинаю заниматься ''игрой слов'' , а это уже необъективность.

Сколько людей -- столько и мнений. Вопрос в том, мечетесь ли вы в своих оценках, в результате ознакомления со всеми этими мнениями, или не мечетесь, просто зная т.н. простую прописную истину.

  kvit.v сказал:

здесь не соглашусь я, пользователь не всегда знает о выходе некоторых апдейтов, поэтому я только был бы рад если бы мой антиврусный вендор напоминал о выходе важных апдейтов, причем не только к программам MS.. Есть еще adobe reader, flash... вендор первый видит тенденцию использования эксплоитов, ему и карты в руки предупредить пользователя...

Зачем антивирусу напоминать об апдейтах "неродных" модулей? Об этом должны напоминать соответствующие установленные программы -- MS, Adobe Reader, Flash...Разве нет?

[Valery Ledovskoy 1082]

kvit.v, в Windows по умолчанию включается автоматическое обновление. Можно поставить режим "уведомлять о новых обновлениях, но не устанавливать" (у меня так). В этом случае я вижу, что обновления появились, но закачиваю и устанавливаю их в удобное для меня время.

  Сергей Ильин сказал:

В пресс-релизе было сказано про Internet Explorer. Поэтому я бы не удивился недовольству коллег из Microsoft. Конкретика напрашивалась, если сказали А, то надо было сказать и Б. Да и про необходимость ставить апдейты тоже не было бы лишним сказать.

Если честно, не могу найти. Вирусные аналитики давали список конкретных уязвимостей для одного комментария в СМИ.

Что касается того, будут ли после указания конкретных номеров уязвимостей ставить обновления на автомате... Могу сказать, что не будут.

а. Нелегальных пользователей Windows больше легальных.

б. Была эпидемия MSBlast и везде была ссылка на конкретное обновление, которое позволяет избежать постоянных перезагрузок при атаке этой вредоносной программы. Много больше стали пользователей обновления на винду ставить?

[Илья Рабинович 521]

  Сергей Ильин сказал:

Илья Рабинович, а DefenseWall, кстати, предотвращает заражение Winlock'ом?

Да, конечно. Никаких проблем нет.

P.S. Я уже давно утверждаю, что современные антивирусные технологии не соответствуют степени угроз, а вот никто не верит. Пока winlock не подхватит, наверное...