Virut и Sality - информация и почистване

[tanganika]

А някой може ли да ми каже какви методи използват тези вируса за да избегнат виртуалните машини.

Виж пост 69

FakeAPI е метод, чрез който се заобикалят виртуалните машини и емулаторите.

[Night_Raven]

Това далеч не е единственият метод. Има и други.

Някои са простички, като:

- засичане на специфични процеси/услуги, които са налични само във виртуална машина (да речем процесите на допълненията на виртуалната машина);

- засичане на специфични хардуерни устройства, които дадени виртуални машини виртуализират (да речем твърдия диск, чието име винаги е едно и също);

- засичане на използване на предсказуеми MAC адреси за виртуалните мрежови контролери;

- засичане на файлове или редове в системния регистър, които са специфични за дадена виртуална машина;

- и др.

Други са по-сложни и могат използват Interrupt Descriptor, Global Descriptor и Local Descriptor таблиците. Освен това всяка съвременна програма за виртуални машини има свой метод за комуникация между операционната система домакин (т.е. реалната) и операционната система гост (т.е. виртуалната). При изучаване на различните методи на комуникация на различните програми, могат да се открият специфични елементи, които стоят по един начин, ако виртуалната машина е активна, и по друг начин, ако не е активна.

Не съм чак толкова навътре, за да навляза в детайли повече.

[avatar1989]

А къде мога да намеря повече информация за полиморфния код,методи за защита,други подобни вируси и т.н.

[Night_Raven]

Виж тази тема. Може да ти свърши работа.

[tanganika]

Дадоха ми компютър и ми казаха че е заразен с някакъв Троянски кон. Инсталирам аз разбира се COMODO Antivirus обновявам го , пускам сканиране и що да видя започна да засича и трие Sality. Спрях сканирането на системния дял и пуснах сканиране на несистемните дялове да разчисти заразените файлове ( отне му около пет минути ). След това метнах Live CD-то с ХР , изтрих само "С" , създадох отново "С" , бърз формат и накрая инсталация на ОС. Сега системата работи перфектно. На практика установих че не е задължително да се трият всички дялове при заразяване със Sality или пък сканиране с Live CD-та които да почистят несистемните дялове от заразените файлове , преди да се форматира само "С" и да се инсталира ОС.

Съмнявам се че друга антивирусна програма ще се справи по подобен начин със Sality.

[Night_Raven]

1. Никой не е казал, че е задължително винаги да се трият всички дялове. Просто това е единственият наистина сигурен начин за отърване от вируса.

2. Стига с тия сънища за Comodo Antivirus.

[tanganika]

1. Никой не е казал, че е задължително винаги да се трият всички дялове. Просто това е единственият наистина сигурен начин за отърване от вируса.

2. Стига с тия сънища за Comodo Antivirus.

 

Ще направя опит да инсталирам и други антивирусни на заразена ОС със Sality та да видим.

[stonit]

Вярно ли е засичането на COMODO, проверих файла във вирус тотал само той го засича.

http://images.backata.com/image-7D53_4FEB1204.jpg

[Night_Raven]

Ако само този файл се засича като опасен и то само и единствено Comodo Antivirus го засича, то трябва да е фалшива тревога.

[stonit]

Ако само този файл се засича като опасен и то само и единствено Comodo Antivirus го засича, то трябва да е фалшива тревога.

И аз така мисля пратих им го като фалшиво засичане.

[baraka]

Sality strikes again!

 

NOD 32 засече 35 файла на компютър в службата като вероятно заразени със Sality.NAR/NAQ.

 

NOD 32 постави всички заразени файлове под карантина. файловете ест. са *.ехе, сред които Неро, Адоби рийдър - все инсталирани програми.

 

от темата разбрах, че преинсталацията няма да ми се размине ако искам да се оттърва от бацила.

 

това което ме притеснява е че под карантина е и счетоводната програма на фирмата. NOD 32 не ми позволява да извадя счетоводната програма от карантината и не мога да работя с нея.

има ли начин да спася файловете от програмата и ще мога ли да работя с тях след преинсталация?

[tanganika]

това което ме притеснява е че под карантина е и счетоводната програма на фирмата. NOD 32 не ми позволява да извадя счетоводната програма от карантината и не мога да работя с нея.

има ли начин да спася файловете от програмата и ще мога ли да работя с тях след преинсталация?

 

Ако вируса е направен да променя файлове с разширение като на базата ви данни най-малко няма да можеш да работиш с тях , ще трябва да се обърнете към човек който многократно се е занимавал с такива проблеми иначе рискувате да загубите базата данни завинаги. Работя със складова програма и ежедневно си качвам базата данни в пощенска кутия и на флаш памет , като превенция точно заради този тип вируси и евентуална кражба на компютъра. Разбира се базата данни е криптирана.

[baraka]

Ако вируса е направен да променя файлове с разширение като на базата ви данни най-малко няма да можеш да работиш с тях , ще трябва да се обърнете към човек който многократно се е занимавал с такива проблеми иначе рискувате да загубите базата данни завинаги. Работя със складова програма и ежедневно си качвам базата данни в пощенска кутия и на флаш памет , като превенция точно заради този тип вируси и евентуална кражба на компютъра. Разбира се базата данни е криптирана.

 

Благодаря, Мохикан.

съвета на ИТ техника, който поканихме за справка, бе "архивирайте си файловете, ще преинсталираме".

нямам идея как може да се уточни с каква цел е вируса.

 

интересно: компютърът със Sallity е без достъп до интернет. флашокът който се използва за него служи за пренасяне на файлове до НАП и единствено за това. мога ли да имам повод да се притеснявам от това?

[tanganika]

Благодаря, Мохикан.

съвета на ИТ техника, който поканихме за справка, бе "архивирайте си файловете, ще преинсталираме".

нямам идея как може да се уточни с каква цел е вируса.

 

интересно: компютърът със Sallity е без достъп до интернет. флашокът който се използва за него служи за пренасяне на файлове до НАП и единствено за това. мога ли да имам повод да се притеснявам от това?

Той хубаво ще преинсталира , но преди това трябва да почисти несистемния дял с Live CD , в противен случай усилията му ще са напразни.

Питай тези в НАП какво правят защитните им програми когато поставят флаш паметта ти в компютрите им , защото тя също е заразена ! Въпросната флаш памет поставяна ли е в други компютри , освен на вашия и тези на НАП ?!

[baraka]

Той хубаво ще преинсталира , но преди това трябва да почисти несистемния дял с Live CD , в противен случай усилията му ще са напразни.

Питай тези в НАП какво правят защитните им програми когато поставят флаш паметта ти в компютрите им , защото тя също е заразена ! Въпросната флаш памет поставяна ли е в други компютри , освен на вашия и тези на НАП ?!

 

Започвам от зад напред: счетоводителката ни твърди че флашката е поставяна само на служебния комп. и в тези на НАП, но съм склонна да не повярвам, тъй като толкова стриктен човек не познавам.

 

НАП ще бъдат попитани какво правят с флашките.

 

ИТ техникът твърди че ние сами сме си бъгнали компа след като сме си пуснали антивирусната да сканира и НОД е пратил всички заразени *.ехе-та в забвение. Интересно ми е дали може да не се стига до преинсталация (може да го пише в темата, но да не съм обърнала внимание), и ако да - как се хващат заразени файлове без антивирусна.

 

А това как ще се третира РС при преинсталация и дали несистемния дял ще бъде почистен, в понеделник ще разберем =]].