Вчера трояны победили комоду

International Comodo Forums Архив / Archive
1

Чет не знаю, куда писать, напишу сюда
Был весьма обескуражен, когда во время сидения в интернете комп заблокировался и появилось окно:

Windows заблокирован! Для разблокировки необходимо отправить смс с текстом ХХХ на номер УУУ

то есть это что-то из серии Trojan.Winlock прилетело
когда после переустановки времени комп отпустило, и виндоуз загрузилась-таки, выяснилось, что комодо помер, в реестр не пускает, куда-то делись все точки восстановления. Ну и многие программы перестали работать.
Замочил все подозрительное, что замочилось, потом запустил CureIT, и он мне нашел следующий набор:
Trojan.Botnetlog
Trojan.Download
Trojan.Proxy
Adware.FieryAds

  • что-то типа Trojan.Zlob

Как же так? где справедливость? почему умер комодо? может ему Дефенса не хватило?

дело было на Win XP Pro SP3
CIS 3.8.65951.477: Firewall - Custom / Antivirus - Enabled / Defense+ - Disabled
Firefox 3.0.8

2

Просто, “Несчастный случай”.
Comodo - один из лучших, если не самый лучший!
Перепробовал на своем веку, многие.
Не буду здесь, вдаваться в подробности о взаимоотношениях и
переписках с известными производителями защиты.

Итак действуем.

Попробуйте установить новый, на русском, что очень важно для многих, я думаю:
“COMODO Internet Security V 3.9.73525.491 BETA Released!”

https://forums.comodo.com/beta_corner_cis/comodo_internet_security_3973525491_beta_released-t37725.0.html

Еще, + антивирус “Avira AntiVir Premium V 9.0.0.420”
Они вместе, очень хорошо работают.

И еще, не помешает: “ThreatFire V 4.1.0.19”

И если уж совсем хотите погрузить Вашу машину в “глубокий бункер”,
то и “RegRun Suite Platinum Edition V 6.0.6.7”.

Все эти “мероприятия”, на скорость и “ресурсоемкость”, почти не повлияют.
А вот степень защиты, увеличится.

Кстати, у меня, спустя несколько минут после окончания работы “CureIt” (Сам решил проверить, прочитав Ваше сообщение) начал резко реагировать “ThreatFire”. Не нравится мне это. Не подгружает ли чего, этот самый “CureIt”? И не выявил он ничего. Хотя антивирус Comodo, реагирует на некоторые мои файлы, благо я знаю, почему. А “CureIt” их даже, не заметил. Вот Вам, простейшее доказательство…

Успехов!

3

Дефенс+ конечно надо держать включенным, т.к. он является вторым внутренним уровнем защиты. А антивирь конечно же может ловить не все - это очевидно. И никакой другой антивирь не ловит все 100% вредоносов.

4

Полностью согласен, но все-таки гораздо надежнее, когда присутствует максимальная, и многоуровневая защита!

5
...потом запустил CureIT, и он мне нашел следующий набор: [b]Trojan.Botnetlog Trojan.Download Trojan.Proxy Adware.FieryAds[/b] + что-то типа [b]Trojan.Zlob[/b]
Для получения из интернета такого знатного набора нужно с сайта попасть под эксплойт. Так как вы используете фаерфокс 3.0.7(а актуальная 3.0.8 ) то маловероятно что такой эксплойт уже существует,хотя уязвимости, конечно, у браузера есть. Отсюда следует что вектор заражения прошел через закачанный файл, установленное предложенное левое програмное обеспечение или плагин и тд и тп... Такими типами заражений балуются порно-сайты, предлагая скачать плеер для просмотра роликов и др. Отсюда следует что зараза прошла через 80 порт(скачка) но никак не через прямую атаку, иначе фаервол (при правильной настройке и включенному D+) не пропустил бы. Мы не берем в расчет сервисы виндовс, для которых устанавливают разрешающие правила для их корректной работы и которые могут подвергнутся вирусной атаке. Это тривиально и фаер должен реагировать на такое. И если Д+ отключен-то... :-TD Кто виноват? ;)

К сожалению в базе антивируса не совсем много сигнатур вирусов рунета.И если мы будем чаще посылать вирусные семплы в вирлаб комодо обстановка может измениться к лучшему. :slight_smile:

Вы советов не спрашиваете и я,естественно, промолчу. Но в общих чертах в постах выше правильно сказано:
*Не отключайте Дефенс+, внимательно его конфигурируйте.
*Никакой антивирус не дает 100% гарантии…
От себя все таки скажу что лучше иметь в системе одно-два защитных приложения и ОЧЕНЬ ХОРОШО понимать что они делают и как правильно их настроить нежели установить с десяток и они начнут друг другу мешать и конфликтовать. Такое случается повсеместно… к сожалению.

ps: Я очень старался избегать технической стороны вопроса для прозрачности поста. Иначе пост можно разнести на километр. :slight_smile:
Поэтому если что-то заинтересует вас в вопросе безопастности-спрашивайте, форумчане с удовольствием помогут. :slight_smile: Для этого форум и есть.

6

Многоуровневая зашита-вещь очень серьезная и сложная. Тем более нельзя забывать что чем больше работает приложений в системе-тем больше общих уязвимостей доступно. Ведь каждое приложение имеет свои дыры, и даже фаерволы и антивирусы. В этом вопросе за час-другой не разобраться, нужны месяцы для более-менее сносного понимания, имхо. :slight_smile:

7

To m.sco
Чертовски обидно - сижу , сижу в инете и никак не могу поймать этот новомодный вирусняк :)…
наверно не там сижу :slight_smile: …, а то только руткиты иногда побеспокоят с переменным успехом :slight_smile: , а ведь я не включаю Defense + и антивирус
не стоит в режиме монитор :frowning:
Можно, конечно, забарикадироваться так, что потом комп будет ели ползать …но есть простые вещи, которые почему то не делаются :slight_smile:
но которые серьёзно помогают простому юзеру :slight_smile: ( например, такому как я :slight_smile: )…
здесь уже писали об этом :

  1. Пропатчиться …
  2. правильный :slight_smile: браузер ( firefox без no script - не гуд :slight_smile: )
  3. софт - wwdc - закрывалка проблемных портов
    - autoruns - что там в автозагрузке ?
    - WinPatrol - кто там прётся без спроса в автозагрузку :slight_smile:
    - Ghost - сохранение своего чистого образа диска С ( на всякий пожарный :slight_smile: ) - не хочется напрягаться, что произошло - просто восстановился за 5 минут и всё :slight_smile:
    - хороший firewall - сами знаете какой - не маленькие :slight_smile: догадаетесь …и настройки правильные :slight_smile:
    4.Тумблер “голова - ж.па” хоть иногда в верхнее положение :)…
  4. Антивирусы , ad-aware se и проч. - облегчают жизнь, но к сожалению не прикрывают …скажем так тыл полностью :slight_smile:
    Удачи всем :slight_smile:
8

bativa, Avira и NOD пользовал до этого достаточно долго. Авира в последнее время совсем разонравилась. Остальные, защищалки, пожалуй, погляжу.

хорошо, если бы так - хоть бы не так обидно было. ;D Но вот беда - ничего предосудительного то не делал. Только подруга поставила флеш-игру про масяну за день до этого.
Насколько я понял, почитавши интернет, Trojan.Winlock ставится как видеокодек. Хотя странно. Никаких предупреждений ни от Комодо ни от Фаирфокса (3-0-8) не было. Просто выскочило окно и все - пипец.
А остальных троянов, подозреваю, что уже этот товарищ пригласил за компанию.

Понимаю, что с дефенсом облажался, отключал как-то, видно забыл включить :frowning:

Спасибо, господа, за рекомендации по защите!

simple user, проблемные порты вполне себе можно закрыть и в комоде. По-моему, этого более, чем достаточно

9

Делюсь ссылкой, где подцепил

среди прочего загрузилось readme.pdf (15964 байт), flash.swf (16588 байт)
приглашалось таким образом, это, видимо, фреймы

<html><head><meta http-equiv="refresh" content="0;URL=./flash.swf"></head><body></body></html>

<html><head><meta http-equiv="refresh" content="0;URL=./readme.pdf"></head><body></body></html>

readme.pdf на этот раз определился, как Unclassified Malware@15292011

10

2 m.sco
Спасибо за ссылочку - с удовольствием поковырялся :slight_smile:
Итак , что я выудил …
Начиналось всё банально - на сайте доверчивых туристов :slight_smile: прописан хитрый скрипт с помощью
которого с хитрозамаскированного сервера грузится очень хороший скрипт Sutra TDS…
с помощью его используя кучи разных фильтров на любой вкус:

* по странам (используется внутренняя база GeoIP);
* по городам / штатам (при наличии базы);
* по типу соединения (модем/локальная сеть);
* уникам по IP, уникам по COOKIE;
* прокси/не прокси;
* по поддержке cookies браузером серфера (включены/выключены);
* по наличию или отсутствию HTTP_REFERER
* по содержимому HTTP_REFERER;
* по IP сетям и отдельным IP адресам;
* по параметру в QUERY_STRING (запросе);
* по ключевым словам (с поисковиков), поддерживаются регулярные выражения;

делается заманчивое предложение послать СМС соответствующее местоположению юзера на платный сервис …
Потом гасится свет …
Афтор - жадюга :slight_smile: Даже Буркино Фасо включил в список жертв :slight_smile:
Потенциальных клиентов хочу предупредить - ответа на СМС не будет :)…
По этому поводу вспомнил весёлую историю ,как один приятель в инете решил проверить свой IQ …
После того, как он ответил на все хитрые вопросы ему для получения результата теста предложили послать СМС
Ответа не приходило , он 5 раз посылал СМС-ки …на 900 р :))) …пока не понял какой у него IQ :slight_smile:

PS : Идея с скриптами не нова - получить ссылку со свежим зловредом - запросто с любого ссайта - владелец сайта
может даже и не подозревать ,что его сайт “усовершенствовали”…
Самый простой способ борьбы - браузер Firefox с плагином noscript …
я ,к примеру, сайт для туристов спокойно грузанул ( скрипты были запрещены ) и заценил фразу :

Первое — и самое главное: страховочная система должна быть надежной!
Мы уже упоминали о требованиях к ней, разработанных Международным союзом альпинистских ассоциаций. :)))

Удачи

11

Народ создать тему не могу((( пожалуйста скажите куда комодо удаляет файлы после сканирования?? поставил 3.8.659 он начал сканировать, но у меня очень много файлов больше 600 тысяч я нажал на стоп, потом финиш и он мне на раз снес 300 какихто файлов!!! востановить можно както??? на мыло пожалуйста мне пришлите если можно чтото сделать очень нужно - xpombd@gmail.com или в асю 443126487

12

avira и comodo,2 монитора антивируса???

13

У меня нормально сосуществуют CIS и AVG Free.
Без каких либо дополнительных танцев с бубном.