Author Topic: Про баннеры.  (Read 70761 times)

0 Members and 1 Guest are viewing this topic.

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Про баннеры.
« on: May 28, 2012, 02:39:38 PM »
Нашёл сайтик, на котором баннер xxx_video_ХХХХ.avi обновляется каждый день или даже каждых пол дня, вот приходится мне его каждый раз отправлять в лабораторию, такой фигнёй занимаюсь уже 5-ый день, к счастью баннеры добавляют в базу на след. день.

Вот ссылка на вирусскан: http://virusscan.jotti.org/ru/scanresult/a27f4ff292931bfe1a60e8549fd8ad5dbaee6a23/478d80f63bbfc9ef6765b3ee7d74ddff04eaeff3

Вопрос вот в чём, в вирусскане всегда в первую очередь определяют такие антивирусы как: F-Secure, G Data и Bit Defender. У них какая то особая защита на них автоматическая по первому коду или есть такие же умельцы как я, просто их тупо отправляют в лабораторию? Может быть есть какой то начальный код в баннере, чтобы антивирус сразу его обнаруживал бы, без всяких отправок в лабораторию? Буквально в баннере меняется пару килобайт и антивирус уже его не видит. Объясните суть пожалуйста. По какому принципу работают F-Secure, G Data и Bit Defender?
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #1 on: May 28, 2012, 04:12:11 PM »
Да, Вы ба сказали, просто добавить этот сайт в чёрный список, но дело вот в чём, есть другой сайт, и на этот сайт, где баннер, делается редирект, то есть, URL всегда меняется, а сам сайт остаётся в том же оформлении. В полне возможно баннер не только там обновляется, он распространяется на многие другие сайты.
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline military

  • Sr. Member
  • ****
  • Posts: 284
Re: Про баннеры.
« Reply #2 on: May 29, 2012, 11:04:42 AM »
обычная баннерорезка не срубает его?

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #3 on: May 29, 2012, 01:11:31 PM »
обычная баннерорезка не срубает его?
при чем тут баннерорезка
тут речь о порнобаннере блокер виндовс.
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline military

  • Sr. Member
  • ****
  • Posts: 284
Re: Про баннеры.
« Reply #4 on: May 29, 2012, 01:38:50 PM »
обычная баннерорезка не срубает его?
при чем тут баннерорезка
тут речь о порнобаннере блокер виндовс.
при том, что они чаще всего цепляются при отсутствии баннерорезки, через всплывающие окна типа "нажми сюда, ты выиграл миллион"  и прочею муть. 
« Last Edit: May 29, 2012, 01:55:55 PM by military »

Offline military

  • Sr. Member
  • ****
  • Posts: 284
Re: Про баннеры.
« Reply #5 on: May 29, 2012, 01:42:18 PM »
а поповоду аваста и винлока. нет детекта и да ладно, не смертельно. Он их хорошо мочит экраном поведения.

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 940
Re: Про баннеры.
« Reply #6 on: May 29, 2012, 02:23:26 PM »
а поповоду аваста и винлока. нет детекта и да ладно, не смертельно. Он их хорошо мочит экраном поведения.

На скриншоте: Ненадежная программа пытается изменить защищенный ресурс.
                         Целевой объект - \Registry\User\...\Shell
http://virusscan.jotti.org/ru/scanresult/a27f4ff292931bfe1a60e8549fd8ad5dbaee6a23/478d80f63bbfc9ef6765b3ee7d74ddff04eaeff3
DrWeb-Trojan.MBRlock.6
Вопрос: MBR является для Аваста защищаемым ресурсом, как ключи реестра?
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/
« Last Edit: May 29, 2012, 02:36:00 PM by j.bonzo »

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #7 on: May 29, 2012, 02:40:21 PM »
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
p.s. завтра отпишу по поводу нового баннера в песочнице, сейчас не дома пока.
« Last Edit: May 29, 2012, 02:48:06 PM by makcunknown »
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 940
Re: Про баннеры.
« Reply #8 on: May 29, 2012, 02:46:41 PM »
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
Если речь идет о mbrlock, то скорее всего компьютер тут же перезагрузиться и ...
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/

Offline makcunknown

  • Sr. Member
  • ****
  • Posts: 383
  • New WinLock's Sender
Re: Про баннеры.
« Reply #9 on: May 29, 2012, 02:51:33 PM »
А ЕСЛИ человек в наглую откроет по мимо песочнецы7 И вообше если отключить песочнецу, как дела будут обстоять?
Если речь идет о mbrlock, то скорее всего компьютер тут же перезагрузиться и ...
http://ram32.ru/2011/07/20/lechim-trojan-ransom-boot-mbro-a-trojan-mbrlock-6/

ну вот, а как быть тем, кто по мимо песочнецы будут обходить баннер, как баннеры видят антивирусы, сказанные мною выше?
Win 7 SP1 64 bit, Avast Free 2015 -> i5 3550, 8GB DDR3, 570GTX, SSD 120Gb Samsung 840 EVO.

                                                                                            -=[Virus hunteR]=-

Offline military

  • Sr. Member
  • ****
  • Posts: 284
Re: Про баннеры.
« Reply #10 on: May 29, 2012, 02:51:55 PM »
вот что есть в запасах. но это не блокер, это "убийца mbr " , удаляет загрузочную область.
http://virusscan.jotti.org/ru/scanresult/66a2fb97495b3dcb2798c6ea27b399e06632f40a/3ea117bf9835e7f68b754e3cc37a0f794420cf21
детект есть, но hips не справился. система не запускается.

Offline military

  • Sr. Member
  • ****
  • Posts: 284
Re: Про баннеры.
« Reply #11 on: May 29, 2012, 02:54:12 PM »
Quote
ну вот, а как быть тем, кто по мимо песочнецы будут обходить баннер, как баннеры видят антивирусы, сказанные мною выше?
без разницы как они их видят. Никто не угонится за детектом свежих вирусов или конкретно винлоков. Сейчас вся надежда на HIPS (в народе именуется проактивкой). Я выбираю антивирус из ходя из этого. 
makcunknown, вы делаете очень хорошее дело, отправляя вирусы в лабораторию, за это вам большое спасибо.
« Last Edit: May 29, 2012, 02:58:08 PM by military »

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 940
Re: Про баннеры.
« Reply #12 on: May 29, 2012, 03:10:56 PM »
...Сейчас вся надежда на HIPS (в народе именуется проактивкой)...
Народу свойственно ошибаться (или заблуждаться?)...
Как раз проактивная защита в Авасте есть (экран поведения), а хипс, к большому сожалению, отсутствует.
http://forum.avast.com/index.php?topic=84963.0
« Last Edit: May 29, 2012, 03:15:27 PM by j.bonzo »

Offline military

  • Sr. Member
  • ****
  • Posts: 284
Re: Про баннеры.
« Reply #13 on: May 29, 2012, 03:23:37 PM »
...Сейчас вся надежда на HIPS (в народе именуется проактивкой)...
Народу свойственно ошибаться (или заблуждаться?)...
Как раз проактивная защита в Авасте есть (экран поведения), а хипс, к большому сожалению, отсутствует.
http://forum.avast.com/index.php?topic=84963.0
а как же? :
Quote
В силу того что HIPS является средством проактивной защиты, программы данного класса не содержат базы данных сигнатур вирусов (однако могут их задействовать, скажем HIPS в Kaspersky Internet Security блокирует запуск известных вредоносных программ независимо от включения либо отключения файлового монитора) и не осуществляет их детектирование. HIPS-продукты осуществляют анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя. Анализ активности осуществляется за счет использования перехватчиков системных функций или установке т.н. мини-фильтров. Следует отметить, что эффективность HIPS может доходить до 100%, однако большинство программ этого класса требуют от пользователя высокого уровня квалификации для грамотного управления антивирусным продуктом.
очень сильно переплетается с проактивкой. У обоих есть технологии "предсказывания " запускаемого приложения.

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 940
Re: Про баннеры.
« Reply #14 on: May 29, 2012, 03:41:56 PM »
очень сильно переплетается с проактивкой. У обоих есть технологии "предсказывания " запускаемого приложения.
Не спорю... Анализ поведения, как элемент проактивной защиты -
"...является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems)..."
« Last Edit: May 29, 2012, 03:46:24 PM by j.bonzo »