Jump to content

Virut и Sality - информация и почистване


Препоръчан пост

Нека аз ви споделя нещо за Sality, че е гадинка гадинка е но и е елементарна за сега забелязвам, че най-разпространен от невория "род" е Sality aa версията точно тази която забранява task maganer-a regedit-a и ред други неща. Изцяло Sality се маха вече лесно и напълно ето с това можете лесно и бързо да го почистите а ако сте попаднали на горе-посочената от мен "разновидност" можете лесно да си позволите task manager-a и всичко с това

 

Надявам се да съм бил полезен :)

Link to comment
Сподели другаде

  • Отговори 90
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

То има и други инструменти, като този PCMAV Express for Sality, но личното ми мение е, че няма полза от опитите за борба с него, защото оставя остатъчни поражения по Операционната Система, които за да се възстановят така или иначе трябва да се направи поне поправителна преинсталация за възстановяване на оригиналния вид на системните файлове. Честно...започването на чистo специално при този гад е много по-лесен, удачен и сигурен вариант, който лично аз бих избрал за своята система (като се има напредвид, че аз изключително рядко се предавам и преинсталирам).
Link to comment
Сподели другаде

  • 6 months later...

Моят въпрос е дали може да излезе извън тестова виртуална система.Чел съм за вируси който могат.

 

Вероятността е много малка но...

 

http://www.download....=open&id=581926

Как работи полиморфният генератор на код

FakeAPI е метод, чрез който се заобикалят виртуалните машини и емулаторите. Най-често се извиква произволна API-функция и се следи дали виртуалната машина поддържа импортна таблица и дали изпълнява съвършено точно съответната функция.Обикновено се тестват функциите GetModuleHandleA, FindFirstFile, FindClose и други, като се използва списък със разликите на връщаните параметри между виртуални и реална машина.

Link to comment
Сподели другаде

Не съм сигурен, че "заобикалят" е точната дума. Може би "засичат" е. Въпросната техника не се използва за "излизане" извън виртуалната среда, а просто да се засече дали се стартира във емулатор/виртуална среда, за да "прецени" дали да си изпълни кода или да остане кротък.

Подобни техники не се отнасят за всичкия зловреден код, а само за по-сложните и кадърно написани бацили. А от вирусите това са основно полиморфните, но пък не всички вируси са полиморфни, макар че най-разпространените в момента са точно такива.

 

Колкото до разбиване на виртуалната машина и заразяване на реалната, това е възможно, но е изключително рядко явление, защото се изискват доста познания, за да се открие и/или използва уязвимост в софтуера за виртуализация и/или някоя технологиите на виртуализация на процесорите.

Няма и много полза да се влагат усилия в подобно начинание, защото много малък процент от потребителите използват виртуални машини, за да тестват гадинки, а тези, които го правят, се предполага, че са поне малко напреднали и биха били подготвени с допълнителни защити (освен виртуалната машина). Т.е. дори и зловредният код да излезе извън виртуалната среда (което, както споменах, е трудно нещо), ще бъде спрян/неутрализиран от друга защита или потребителят ще се усети бързо и няма да даде шанс на бацила да направи много поразии и да си свърши пълноценно работата. Затова авторите на зловреден код не си дават зор в тази насока - много усилия и труд, но без реална полза/печалба за тях.

Link to comment
Сподели другаде

А средства от рода на Sandboxie могат ли реално да спрат изпълнението на вируса.

Изпълнението - не. Да предотвратят заразяването обаче да. По мой тест Sandboxie се справя със Sality и не позволява заразяване.

 

Архиви защитени с парола могат ли да бъдат заразени?

Не. Или поне не би трябвало.

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...