Автор Тема: Касперский KIS 2011г  (Прочитано 30962 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
» Касперский KIS 2011г
« Ответ #75 : 17 Марта 2012, 20:45:18 »
"Бестелесный" бот атакует посетителей новостных ресурсов
 16 мар 2012
 ******************************************************************

Цитировать (выделенное)
1. "Бестелесный" бот атакует посетителей новостных ресурсов
2. Правила безопасности

 ******************************************************************

 1. "Бестелесный" бот атакует посетителей новостных ресурсов

Эксперты "Лаборатории Касперского" обнаружили уникальную атаку, в ходе которой злоумышленники использовали вредоносную программу, способную функционировать без создания файлов на зараженной системе. Для распространения вредоносного кода была задействована тизерная сеть, включающая в себя ряд популярных российских новостных ресурсов.

В ходе проведенного экспертами "Лаборатории Касперского" исследования было установлено, что заражению подвергались посетители сайтов некоторых российских онлайн-СМИ, использующих на своих страницах тизеры сети, организованной при помощи технологий AdFox. При загрузке одного из тизеров новостей браузер пользователя скрытно перенаправлялся на вредоносный сайт, содержащий Java-эксплойт. Однако в отличие от стандартных drive-by атак вредоносная программа не загружалась на жесткий диск, а функционировала исключительно в оперативной памяти компьютера.

Действуя как бот, зловред посылал на сервер злоумышленников запросы и данные об истории посещения сайтов из браузера пользователя. Если в переданных данных содержалась информация об использовании системы дистанционного банковского обслуживания, на зараженный компьютер устанавливался троянец Lurk, предназначенный для хищения
конфиденциальной информации пользователей для доступа к системам онлайн-банкинга ряда крупных российских банков.

Однако в ходе расследования было установлено, что сама сеть AdFox не является источником заражения. Изменения в код баннеров анонсов новостей путем добавления к ним ссылки на вредоносный сайт были внесены злоумышленниками с аккаунта одного из клиентов AdFox. Таким образом, они получили возможность атаковать посетителей не только одного новостного сайта, но и прочих ресурсов, которые используют у себя аналогичную систему. В результате, количество потенциально атакованных пользователей
 может достигать десятков тысяч.

"Мы имеем дело с уникальной атакой. Использование злоумышленниками тизерной сети, является одним из самых эффективных способов установки вредоносного кода, ввиду наличия на него ссылок с большого количества популярных ресурсов, - комментирует Александр Гостев, главный антивирусный эксперт "Лаборатории Касперского". - Кроме того, мы впервые за несколько последних лет столкнулись с редкой разновидностью зловредов - так называемыми "бестелесными" вредоносными программами, которые не
существуют в виде файла на диске, а функционируют исключительно в оперативной памяти зараженного компьютера, что значительно усложняет процесс его обнаружения с помощью антивируса".

Несмотря на то, что "бестелесные" программы способны работать только до перезагрузки операционной системы, вероятность того,
что пользователь вновь попадет на зараженный новостной сайт, достаточно высока. Эксперты "Лаборатории Касперского" предупреждают, что единственным надежным способом защиты от вредоносных программ, использующих уязвимости, является своевременная установка обновлений. В данном случае для устранения уязвимости CVE-2011-3544 в Java рекомендуется установка патча от Oracle, который можно скачать по ссылкеwww.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html.\
 
Подробные результаты исследования экспертов "Лаборатории Касперского" доступны на сайте www.securelist.com/ru.

2. Правила безопасности

Для предотвращения попыток рассылки фальшивых писем, маскирующихся под новости "Лаборатории Касперского", сообщаем, что оригинальные сообщения поставляются исключительно в формате plain text и никогда не содержат вложенных файлов. Если вы получили письмо, не удовлетворяющее этим условиям, пожалуйста, ни в коем случае не открывайте его и перешлите в антивирусную лабораторию компании (newvirus@kaspersky.com) на экспертизу.

Если что, все вопросы к Касперу....
« Последнее редактирование: 17 Марта 2012, 20:48:18 от RAØZHM »

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Касперский KIS 2011г
« Ответ #76 : 30 Мая 2012, 21:11:37 »
Редкостную тварюгу сегодня я поймал на своем рабочем компе...  под названием "Virus.Win32.Neshta.a"
Не успел глазом моргнуть как, сукота бла, начал мне все *.exe бить по полной программе. Но как всегда уважаемый Касперыч его схватил за правое яй.о и замачил.  :lol: И это с базами от 12.12.11
Хвала Касперу... :beer:
//
А сука живучая падла попалась!!! Шли вторые сутки боя, за живучесть эекзешников. Редкостный вирус. Сидит в данный момент в сети СКТВ, я оттуда инфу качал, а потом на работе обнаружил эту гадость. Мочит файлы EXE и соответственно ничего не запускается и работать попросту невозможно.
Вот способ борьбы с ним.

Вот может кому и пригодится данная информация. Искал себе на просторах Интернета дефрагментатор и ...нашел с кряком:). Мой антивирус Comodo сразу взвыл - вирус win32.neshta.a , но я не принял его доводы во внимание и разрешил ему установиться.

Вот что известно о нем: Neshta — зловредный код ( в дальнейшем вирус) появившился в Беларуси в конце 2005г. Имя вирус получил возможно  от транслитерации белорусского слова «не́шта», означающего «нечто», «что-то», а возможно по названию города. Neshta относится к категории файловых вирусов— в настоящее время не сильно популярных среди вирусных программ.

В базах антивирусных программ Neshta известен, как Virus.Win32.NeshtaWin32.HLLP.Neshta (Dr. Web), Win32.NeshtaWin32.Neshuta («Symantec Antivirus»), Win32:Trojan-gen («avast!»).

 («Антивирус Касперского»), (NOD32),

При запуске зараженной программы на «чистой» машине, вирус копирует своё тело в файл svchost.com (размер — 41 472 байта) в директории Windows. После этого регистрирует этот файл в системном реестре по адресу HKCR\exefile\shell\open\command, в результате чего запуск любого exe-файла на зараженной машине будет предваряться запуском файла вируса. Затем, вирус сканирует доступные логические диски компьютера и заражает exe файлы, удовлетворяющее некоторым критериям (как правило, это подавляющее большинство exe-файлов). После заражения работа компьютера не нарушается.

Для восстановления работоспособности компьютера после удаления Neshta антивирусом может понадобиться изменить значение ключа в реестре по адресу HKCR\exefile\shell\open\command с «%Windows%\svchost.com „%1" %*»«„%1" %*» — БЕЗ упоминаний о windows\svchost.com на

Выявлен факт, что при невозможности скопировать свое тело в папку Windows, вирус пытается копировать себя в профиль учетной записи administrator. И прописывает свой запуск в реестр оттуда.

Скачал утилиту от Касперского и запустил - вирус не находит. Скачал утилиту от Доктора Веб и запустил - вирус не находит. Очень неприятный момент. Пришлось действовать головой).

Способ лечения вируса win32.neshta.a :

Первый - переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:


REGEDIT4


[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Примечание: пустая строка после REGEDIT4 - обязательна.

Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение - прискорбно. Ну продолжим ... На предложения типа «лечить» соглашаемся «да для всех».

//
Вот еще способ:
В настоящее время эффективны две стратегии лечения файловых вирусов:

 1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.

 Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере.

 2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

 Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.

Скачать программу: http://www.dr-web.ru/skachat/cureit.html и http://www.comss.ru/page.php?id=67
//

« Последнее редактирование: 31 Мая 2012, 22:29:41 от RAØZHM »

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Касперский KIS 2011г
« Ответ #77 : 11 Января 2016, 16:16:41 »
После установки Касперского версии 2016 года, стала появляться вот такая ошибка!!! DRIVER_POWER_STATE_FAILURE

Компьютер, при включении, перезагружается примерно через 7-8 минут, после работы. Времени мало, да же на переустановку драйверов...
Пришлось заходить в безопасный режим и корректировать работу системы...

DRIVER_POWER_STATE_FAILURE
Описание ошибки:   The DRIVER_POWER_STATE_FAILURE bug check has a value of 0x0000009F. This bug check indicates that the driver is in an inconsistent or invalid power state.
Шестнадцатеричный код:   0x0000009F

Ссылки:

http://freshnotes.ru/oshibka-driver_power_state_failure-windows-7-8-8-1-chto-delat/
http://www.solvusoft.com/ru/errors/ошибки-синий-экран/microsoft-corporation/windows-operating-system/bug-check-0x9f-driver-power-state-failure/
http://www.reviversoft.com/ru/blog/2013/03/driver-power-state-failure/

Пришлось сносить новую версию Касперского и устанавливать более старую!!!


P.S. Компьютер, может работать в безопасном режиме!!!

Оффлайн UA0ZFO

  • Постоялец
  • ***
  • Пол: Мужской
  • люблю радио
Re: Касперский KIS 2011г
« Ответ #78 : 11 Января 2016, 17:10:05 »
Не устанавливай этот антивирус и будет тебе счастье!

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Касперский KIS 2011г
« Ответ #79 : 11 Января 2016, 17:35:05 »
Да не могу я, постоянно меня выручает... А тут такая фигня...
Напишу им депешу... пусть мозг ломают...

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Re: Касперский KIS 2011г
« Ответ #80 : 11 Января 2016, 18:58:53 »
Не устанавливай этот антивирус и будет тебе счастье!
Почти 100 рабочих станций под Касперским работают. Что с ним не так?

После установки Касперского версии 2016 года, стала появляться вот такая ошибка!!! DRIVER_POWER_STATE_FAILURE

Компьютер, при включении, перезагружается примерно через 7-8 минут, после работы. Времени мало, да же на переустановку драйверов...
Пришлось заходить в безопасный режим и корректировать работу системы...
http://forum.kaspersky.com/index.php?s=1857ea0dcf6ec94b736e7bc35e5f5cba&showtopic=266845&st=0&p=2051508&#entry2051508
Вот похожий случай, правда ни к чему не приведший.
Я бы попробовал сделать следующее: обновить все драйверы, что б ОС сама из интернета выкачала то, что ей нужно, а затем взял бы самый последний билд версии АВ Касперского, с обновлениями конечно же. И наблюдал бы.

И ещё на тостере про ошибку пишут
« Последнее редактирование: 12 Января 2016, 19:40:21 от RAØZHX »

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Касперский KIS 2011г
« Ответ #81 : 06 Марта 2016, 20:43:09 »
В общем, все закончилось переустановкой системы....

Оффлайн UA0ZFO

  • Постоялец
  • ***
  • Пол: Мужской
  • люблю радио
Re: Касперский KIS 2011г
« Ответ #82 : 07 Марта 2016, 01:17:28 »
Жаль, что на работе требуют использовать только касп. Тормоза ещё те..., и не факт, что куча вирусов уже воруют мои документы... Жаль что он существует...  >:(

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Re: Касперский KIS 2011г
« Ответ #83 : 07 Марта 2016, 01:31:18 »
Хз, тормоза от Касперского встречал на действительно старых машинах, где система годами стоит и копится в ней разное,  и винчестеры совсем уставшие. На более-менее нормальных компьютерах каспер работе не мешает

Оффлайн RAØZHM

  • Репа: 144.325/435.325 тон 100
  • Ветеран
  • *****
  • Пол: Мужской
  • Магазин РАДИОИМПУЛЬС
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Re: Касперский KIS 2011г
« Ответ #84 : 07 Марта 2016, 07:09:07 »
Цитировать (выделенное)
Жаль, что на работе требуют использовать только касп. Тормоза ещё те..., и не факт, что куча вирусов уже воруют мои документы... Жаль что он существует...
Не соглашусь...
Все работает и не тормозит, а вот то, что он много раз выручал, есть такое...
Особенно, от  всяких авторанов и прочие вирусов, которые разносятся на флешках....

Оффлайн UA0ZFO

  • Постоялец
  • ***
  • Пол: Мужской
  • люблю радио
Re: Касперский KIS 2011г
« Ответ #85 : 07 Марта 2016, 09:12:49 »
Кому что нравится. Сколько не пытался касп пользоваться - не то. Поставил доктора веба и вылечил комп. Но и доктор забирает много ресурсов, поэтому использую дома AVG, за три года использования ни одного заражения и машину не так сильно грузит. Скоро забуду понятие вирус... Но лучше доктора веба в мире ни чего не придумали.

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Re: Касперский KIS 2011г
« Ответ #86 : 08 Марта 2016, 22:43:14 »
ребята, а кто слышал про новый вымогатель под Apple? А про их Ос говорили, что самая защищённая  :(