Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса - Страница 4 - Общий форум по информационной безопасности - Форумы Anti-Malware.ru Перейти к содержанию
radioelectron

Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса

Recommended Posts

Виталий Я.
Простите, а что в этом черве такого выдающегося, что для него аж пришлось создавать правила в проактивке ?

Запись в ключ автозапуска реестра ? регистрация себя как сервис ? попытка доступа к персональным данным ?

эти все эти действия ваш _продукт_ ловить не в состоянии и теперь впервые столкнулся с необходимостью ?

бррр

Более чем в состоянии. Я ж говорю, для перестраховки - наши пользователи любят отдельные модули переконфигурировать под себя.

В No-alert mode, например, настройки могут быть ой какие разные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Более чем в состоянии. Я ж говорю, для перестраховки - наши пользователи любят отдельные модули переконфигурировать под себя.

Виталий, просто расскажите, пожалуйста, подробней о функционале вашего продукта.

что каким модулем и как ловилось до выпуска специального проактивного правила.

что изменилось после добавления проактивного правила.

и зачем было выпущено проактивное правило, если ловилось и без него.

только подробно и по шагам

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Вот вам скрин с дефолтными настройками:

oss_HIPS_options_control.JPG

Виталий, просто расскажите, пожалуйста, подробней о функционале вашего продукта.

что каким модулем и как ловилось до выпуска специального проактивного правила.

что изменилось после добавления проактивного правила.

и зачем было выпущено проактивное правило, если ловилось и без него.

только подробно и по шагам

Подробный рассказ вне моей компетенции. Добро пожаловать в support.

Иван и А., для образца подробно расскажите, почему ЛК выпустила обновления для антивируса, не надеясь на поведенческий блокиратор в своих продуктах. Только подробно по шагам.

post-3728-1211709446_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Иван, для образца подробно расскажите, почему ЛК выпустила обновления для антивируса, не надеясь на поведенческий блокиратор. Подробно по шагам - для образца сойдет.

Виталий, ну это же ребенку ясно. заражение могло произойти когда антивирус был выключен, или его вообще не было на компьютере, или на компьютере в момент заражения был нод32, который долго не ловил этого зловреда, или аваст, который до сих пор его не ловит.

а раз так то случившееся заражение надо лечить и поведенческий блокиратор в этом никак не поможет.

я прекрасно знаю, что вы палите зловреда поведенческим, если в момент заражения стоите на компе - я просто просил вас подробней рассказать аудитории какими методами вы это делаете и зачем нужно было дополнительное правило - это все

Кстати давайте я вам дам сампл и вы нам продемонстрируете как вы его сигнатурами Anti-Spyware модуля палите? Заодно узнаем как вы зловреда назвали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Я ж говорю, для перестраховки - наши пользователи любят отдельные модули переконфигурировать под себя.

В No-alert mode, например, настройки могут быть ой какие разные.

Не задумывались - почему ?

И да - вопрос. Вы что, всем юзерам своим что ли пользовательские настройки посшибали ?

Мозг есть ?

Иван и А., для образца подробно расскажите, почему ЛК выпустила обновления для антивируса, не надеясь на поведенческий блокиратор в своих продуктах. Только подробно по шагам.

Товарищ опять забыл, что кроме своего продукта - ЛК поставляет базы еще сотне технологических партнеров ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Вы что, всем юзерам своим что ли пользовательские настройки посшибали ?

да не, этого быть не может.

я вот чтоб таких вопросов не было и просил Виталия рассказать подробнее :(

моя догадка, что агнитумовцы могли накатить правило, которое вне зависимости от того стоит у пользователей показанная Виталием на скриншоте галка или нет все равно не давало бы прописываться в реестр этому зловреду

но это только моя догадка - надо проверять

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
моя догадка, что агнитумовцы могли накатить правило, которое вне зависимости от того стоит у пользователей показанная Виталием на скриншоте галка или нет все равно не давало бы прописываться в реестр этому зловреду

Вот этому конкретному зловреду ? Это теперь у них называется проактивная защита ? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Вот этому конкретному зловреду ? Это теперь у них называется проактивная защита ? :lol:

нет это называется подстраховка на случай, если пользователь убрал галку в интерфейсе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
нет это называется подстраховка на случай, если пользователь убрал галку в интерфейсе

Еще раз - от конкретного вируса или вообще ?

Если вообще, то это и называется "сбить пользовательские настройки".

Если от конкретного, то

а) зачем, ведь есть же детект ?

б) почему именно только для данного червя? а как же тысячи других? а какое дело иностранным пользователям агнитума до какого-то там "chervya vkontakte"?

в) для каких еще червей, когда и почему агнитум делал такие же "телодвижения" ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
2 Alex_Goodwin - смотри Сообщение #41 этой ветки

Для тех кто не в контакте, приведите пост и коммент, плиз. Спс

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Для тех кто не в контакте, приведите пост и коммент, плиз. Спс

Андрей, затрудните себя прочтением данной ветки этого форума начиная хотя бы с поста номер 41, тогда вы поймете тема странной трактовки ситуации Дуровым обсуждается уже очень давно и все его сообщения уже давно процитированы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
_Stout
Андрей, затрудните себя прочтением данной ветки этого форума начиная хотя бы с поста номер 41, тогда вы поймете тема странной трактовки ситуации Дуровым обсуждается уже очень давно и все его сообщения уже давно процитированы

Иван. спасибо за напоминание. Я внимательно слежу за событиями. но днем в воскресенье после бани грешным делом подумал. что Дуров новое что-то написал. Ан нет. или написал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Дуров ничего не написал, а вот судя по крикам по ссылке http://vkontakte.ru/blog.php?act=s&nid=82#comments многим не повезло, они то ли не поверили, то ли не услышали, уж не знаю.

не это надо всем срочно регится на вконтакте и читать, это просто киберпаноптикум какой-то

Любаня Смолий написала

25 мая 2008 в 16:21

да... у нас на одном компе нод 32 стоит - тот полетел полностью, буквально за 5 мин все похерилось((( а на 2-м касперский - там все ок

Olka Piccolo написала

25 мая 2008 в 14:25

Блин... в принципе не оч страшно.. но умерло около 20 г фоток и стока же музыки..

Сообщение

Светлана Волкова написала

25 мая 2008 в 21:06

Я что то не пойму, как может быть, например, документ Word 0 кбайт, если даже пустой он имеет 19 кбайт?

И Аваст уж очееееень меня огорчил(((((((((

Танька Бурикова написала

25 мая 2008 в 14:41

что за хрень?? у меня всё с компа удалилось!!!!!!

Сообщение

Serg Rogoza написал

25 мая 2008 в 17:06

А не могла бы адмимнистрация помоч с прогой для восстановления инфы на диске (с)

+1

Юлия Попова написала

25 мая 2008 в 17:12

+1 у меня диплом умер. :( это п...ц

Сообщение

Полька Юдина написала

25 мая 2008 в 9:30

а у меня не удаляется..Нод32 нашёл...и функции "очистить" нет..написано "троян"..это очень опасно?

Тамара Пхакадзе написала

25 мая 2008 в 17:45

блин а я эту информацию получила, после того как я перешла на эту ссылку...несколько дней комп работал..а сегодня пришло сообщение типа такого : "ваще популяронсть Вконатке не приносит доходов и мы уничтожаем ваш компьютер,если обратитесь в милицию то вы сильно пожалейте об эьтом. С Уважением Павел Дуров"....я не могу ничего открыть в моём компьтере, я щаз с компьтер а подруги!!!что мне делать??????????????????????????

Андрей Цыганов написал

25 мая 2008 в 13:41

ХЕЛП! Сегодня выскочила сообщение, я кбы от Павла Дурова, сожрал все файлы на диске Д, можно их как-то восстановить. Плиз напишите в личку!!

Горе мне((((

Андрей Грамаков написал

25 мая 2008 в 18:59

AlexxSun Sundin, я проверил nod'ом - вируса нет. Ваще похоже было, будто вирус дал какое-то системное задание и винда сама потихоньку себя стирала, хотя хз.

и так далее и так далее и так далее

Отредактировал Кирилл Керценбаум
Ненормативная лексика в цитатах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Угу, без содрогания такие строки читать невозможно:

Валерия Торопова написала

25 мая 2008 в 18:22

Падонки они, просто слов нет. Ладно музыка, пофигу, но фотки!! Это же... ценность....

А я дура, сама виновата, искала в поиске у ся и не нашла. Оказывается, надо было в скрытых искать...

Все документы на D теперь по 0 байт, хотя каталог, структура и иконки остались. Что теперь делать? Кстати, он у меня на D послелился и на C не залез.

Может кто-нить знает описание вируса. Ну я не знаю, нучтобы потом уже смотреть, что с компом, каким образом вернуть, каким образом удалилось. Может всё просто спряталось..(Я оч наивна))

Кстати, те, кому достался образец, к вам вопрос - как вирус удаляет информацию? Забивает мусором то место на диске, где были файлы? Или как-то иначе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.

ВКонтакте появилось сообщество "пострадавших от вируса".

Целей у него ровно две, как написано:

1. Победить вирус

2. Дать п&^%ы Дурову

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ell

A.

Ссылку в студию

Насчёт первого пункта-мне пофигу. У меня всё цело. пока. вроде бы =))

а насчёт второго-давно мечтаю, этот плохой человек удалял мой профиль =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
A.

Ссылку в студию

Насчёт первого пункта-мне пофигу. У меня всё цело. пока. вроде бы =))

а насчёт второго-давно мечтаю, этот плохой человек удалял мой профиль =)

Вступайте и компелируйте !

http://vkontakte.ru/club3247727

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
radioelectron
они не из-за вируса.

В описании группы: "... 25 мая мне п***а! ..."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Так ответа и не прозвучало - как вирус удаляет инфу с диска? Забивает кластеры нулями, мусором, или просто ссылки на файлы удаляет? Или образец мне в личку закиньте, я сам разберусь. А то вопросов на "Вконтакте" по восстановлению информации задают много, а чего бы им посоветовать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

личку смотри

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Так ответа и не прозвучало - как вирус удаляет инфу с диска? Забивает кластеры нулями, мусором, или просто ссылки на файлы удаляет? Или образец мне в личку закиньте, я сам разберусь. А то вопросов на "Вконтакте" по восстановлению информации задают много, а чего бы им посоветовать?

ну смеетесь что ли, какие кластеры, какими нолями - поделка школьника на Дельфи., будут они такими сложностями заморачиваться ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AlexxSun

Мне то что - могу хоть смеяться, хоть плакать... А вот пользователям, которые не прислушались к советам - далеко не смешно, многие расстались с информацией.

Анастасия Непомнящая написала

25 мая 2008 в 20:03

Собственно у меня вирус сожрал все "мои документы", а может быть что-то еще. Хотя ссылку я не грузила, зато пришла она мне в примерно 20 экз. Самое милое, что кажется диплом брата этот вирус тоже сожрал, тепреь я надеюсь, что он меня не убьет =)) А мой комп в целости и сохранности по причине того, что интернета на нем не было. Но папа меня спас =) от червей

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Мне то что - могу хоть смеяться, хоть плакать... А вот пользователям, которые не прислушались к советам - далеко не смешно, многие расстались с информацией.

я не очень понимаю ну как можно было не прислушаться, шумиха какая? во вконтакте обсуждение полным ходом...проверил нодом он ничего не нашел чтоли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Если версия системы идентичная то скорее всего подойдет, но это не точно, потому что лично я всегда пользовался бэкапом реестра, сперва ERUNT-ом, а когда он стал неактуален сделал свой ABR.
    • santy
      Вообще, в сети мало пишут про то, как восстановить работу безопасного режима, в основном после поискового запроса выводят статьи, как войти в безопасный  режим. (Видно хромает еще ИИ по этому вопросу). По данному, частному случаю как будто все уже перепробовали: точка восстановления есть но с заражением системы, со слов пользователя. Хотя по факту здесь и не нужно восстанавливать систему, достаточно только найти в этой точке файл SYSTEM, откопировать его в другое место и извлечь из него ключ SafeBoot. Возможно, что он и делал восстановление системы из точки восст., но Safe mode не заработал. Других точек восстановления нет, бэкапов реестра нет, так как не работал ранее с uVS, да, и мы вообщем редко практикуем в сложных случаях создавать бэкап реестра. Те функции восстановления ключа, что заложены в uVS, опираются на бэкап реестра. (Которого не оказалось в системе). Твик Зайцева так же не сработал, возможно основан на методе их текста, который RP55 принес сюда. Остается попытаться перенести ключ с чистой аналогичной системы. Возможно ли безболезненно взять ключ Safeboot из другой аналогичной чистой системы? Какие могут возникнуть проблемы? драйвера оборудования могут оказаться различными?  
    • demkd
      "CurrentControlSet" это виртуальный ключ, он указывает на последний рабочий CurrentControlSetXXX, потому копировать там обычно нечего потому что есть лишь CurrentControlSet001, который и есть CurrentControlSet, другое дело когда есть 001 и 002, один из них может быть живым, а может и не быть.
      Но на самом деле не нужно маяться фигней, нужно пользоваться бэкапом и восстановлением реестра, тем более что в uVS есть твик для включения системного бэкапа реестра, так же копии реестра есть в теневых копиях и точках восстановления, где гарантировано можно найти рабочую ветку реестра и восстановить ее либо руками либо через uVS->Реестр->Восстановить из копии ключ SafeBoot
    • PR55.RP55
      " Вот еще в помощь рекомендации от Зайцева Олега:   Цитата Кроме того, есть еще один метод восстановления испорченных ключей. Как известно, в самом реестре есть копии ключа SafeBoot. Они находятся в HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot и HKLM\SYSTEM\CurrentControlSet002\Control\SafeBoot. Следовательно, можно попробовать следующую операцию:
      1. Экспортировать HKLM\SYSTEM\CurrentControlSet001\Control\SafeBoot
      2. В полученном REG файле заменить "CurrentControlSet001" на "CurrentControlSet" (REG файл текстовый, поэтому заменить несложно)
      3. Импортировать модифицированный файл
      Данная операция может быть успешной сразу после запуска повреждающей ключ реестра вредоносной программы, до перезагрузки. Нарушена загрузка в защищенном режиме (SafeBoot) Изменено 6 часов назад пользователем safety " https://forum.kasperskyclub.ru/topic/466078-privetstvuju-slovil-majner-po-nazvaniem-toolbtcmine2782/page/6/#comments А, что если это будет делать uVS ? т.е. Копировать ключ > модифицировать > производить перезапись.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.1.10.
×