Jump to content

Virut и Sality - информация и почистване


Препоръчан пост

А някой може ли да ми каже какви методи използват тези вируса за да избегнат виртуалните машини.

Виж пост 69

FakeAPI е метод, чрез който се заобикалят виртуалните машини и емулаторите.
Link to comment
Сподели другаде

  • Отговори 90
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Това далеч не е единственият метод. Има и други.

Някои са простички, като:

- засичане на специфични процеси/услуги, които са налични само във виртуална машина (да речем процесите на допълненията на виртуалната машина);

- засичане на специфични хардуерни устройства, които дадени виртуални машини виртуализират (да речем твърдия диск, чието име винаги е едно и също);

- засичане на използване на предсказуеми MAC адреси за виртуалните мрежови контролери;

- засичане на файлове или редове в системния регистър, които са специфични за дадена виртуална машина;

- и др.

Други са по-сложни и могат използват Interrupt Descriptor, Global Descriptor и Local Descriptor таблиците. Освен това всяка съвременна програма за виртуални машини има свой метод за комуникация между операционната система домакин (т.е. реалната) и операционната система гост (т.е. виртуалната). При изучаване на различните методи на комуникация на различните програми, могат да се открият специфични елементи, които стоят по един начин, ако виртуалната машина е активна, и по друг начин, ако не е активна.

Не съм чак толкова навътре, за да навляза в детайли повече.

Link to comment
Сподели другаде

  • 5 months later...

Дадоха ми компютър и ми казаха че е заразен с някакъв Троянски кон. Инсталирам аз разбира се COMODO Antivirus обновявам го , пускам сканиране и що да видя започна да засича и трие Sality. Спрях сканирането на системния дял и пуснах сканиране на несистемните дялове да разчисти заразените файлове ( отне му около пет минути ). След това метнах Live CD-то с ХР , изтрих само "С" , създадох отново "С" , бърз формат и накрая инсталация на ОС. Сега системата работи перфектно. На практика установих че не е задължително да се трият всички дялове при заразяване със Sality или пък сканиране с Live CD-та които да почистят несистемните дялове от заразените файлове , преди да се форматира само "С" и да се инсталира ОС.

Съмнявам се че друга антивирусна програма ще се справи по подобен начин със Sality.

Link to comment
Сподели другаде

1. Никой не е казал, че е задължително винаги да се трият всички дялове. Просто това е единственият наистина сигурен начин за отърване от вируса.

2. Стига с тия сънища за Comodo Antivirus.

Link to comment
Сподели другаде

1. Никой не е казал, че е задължително винаги да се трият всички дялове. Просто това е единственият наистина сигурен начин за отърване от вируса.

2. Стига с тия сънища за Comodo Antivirus.

 

Ще направя опит да инсталирам и други антивирусни на заразена ОС със Sality та да видим.

Link to comment
Сподели другаде

  • 2 weeks later...

Ако само този файл се засича като опасен и то само и единствено Comodo Antivirus го засича, то трябва да е фалшива тревога.

И аз така мисля пратих им го като фалшиво засичане.

Link to comment
Сподели другаде

  • 5 months later...

Sality strikes again!

 

NOD 32 засече 35 файла на компютър в службата като вероятно заразени със Sality.NAR/NAQ.

 

NOD 32 постави всички заразени файлове под карантина. файловете ест. са *.ехе, сред които Неро, Адоби рийдър - все инсталирани програми.

 

от темата разбрах, че преинсталацията няма да ми се размине ако искам да се оттърва от бацила.

 

това което ме притеснява е че под карантина е и счетоводната програма на фирмата. NOD 32 не ми позволява да извадя счетоводната програма от карантината и не мога да работя с нея.

има ли начин да спася файловете от програмата и ще мога ли да работя с тях след преинсталация?

Link to comment
Сподели другаде

това което ме притеснява е че под карантина е и счетоводната програма на фирмата. NOD 32 не ми позволява да извадя счетоводната програма от карантината и не мога да работя с нея.

има ли начин да спася файловете от програмата и ще мога ли да работя с тях след преинсталация?

 

Ако вируса е направен да променя файлове с разширение като на базата ви данни най-малко няма да можеш да работиш с тях , ще трябва да се обърнете към човек който многократно се е занимавал с такива проблеми иначе рискувате да загубите базата данни завинаги. Работя със складова програма и ежедневно си качвам базата данни в пощенска кутия и на флаш памет , като превенция точно заради този тип вируси и евентуална кражба на компютъра. Разбира се базата данни е криптирана.

Link to comment
Сподели другаде

Ако вируса е направен да променя файлове с разширение като на базата ви данни най-малко няма да можеш да работиш с тях , ще трябва да се обърнете към човек който многократно се е занимавал с такива проблеми иначе рискувате да загубите базата данни завинаги. Работя със складова програма и ежедневно си качвам базата данни в пощенска кутия и на флаш памет , като превенция точно заради този тип вируси и евентуална кражба на компютъра. Разбира се базата данни е криптирана.

 

Благодаря, Мохикан.

съвета на ИТ техника, който поканихме за справка, бе "архивирайте си файловете, ще преинсталираме".

нямам идея как може да се уточни с каква цел е вируса.

 

интересно: компютърът със Sallity е без достъп до интернет. флашокът който се използва за него служи за пренасяне на файлове до НАП и единствено за това. мога ли да имам повод да се притеснявам от това?

Link to comment
Сподели другаде

Благодаря, Мохикан.

съвета на ИТ техника, който поканихме за справка, бе "архивирайте си файловете, ще преинсталираме".

нямам идея как може да се уточни с каква цел е вируса.

 

интересно: компютърът със Sallity е без достъп до интернет. флашокът който се използва за него служи за пренасяне на файлове до НАП и единствено за това. мога ли да имам повод да се притеснявам от това?

Той хубаво ще преинсталира , но преди това трябва да почисти несистемния дял с Live CD , в противен случай усилията му ще са напразни.

Питай тези в НАП какво правят защитните им програми когато поставят флаш паметта ти в компютрите им , защото тя също е заразена ! Въпросната флаш памет поставяна ли е в други компютри , освен на вашия и тези на НАП ?!

Link to comment
Сподели другаде

Той хубаво ще преинсталира , но преди това трябва да почисти несистемния дял с Live CD , в противен случай усилията му ще са напразни.

Питай тези в НАП какво правят защитните им програми когато поставят флаш паметта ти в компютрите им , защото тя също е заразена ! Въпросната флаш памет поставяна ли е в други компютри , освен на вашия и тези на НАП ?!

 

Започвам от зад напред: счетоводителката ни твърди че флашката е поставяна само на служебния комп. и в тези на НАП, но съм склонна да не повярвам, тъй като толкова стриктен човек не познавам.

 

НАП ще бъдат попитани какво правят с флашките.

 

ИТ техникът твърди че ние сами сме си бъгнали компа след като сме си пуснали антивирусната да сканира и НОД е пратил всички заразени *.ехе-та в забвение. Интересно ми е дали може да не се стига до преинсталация (може да го пише в темата, но да не съм обърнала внимание), и ако да - как се хващат заразени файлове без антивирусна.

 

А това как ще се третира РС при преинсталация и дали несистемния дял ще бъде почистен, в понеделник ще разберем =]].

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...