Само някой да ми обясни на руткита който се тества къде му е драйвера,понеже не видях Hitman да засича .sys файл?

Само някой да ми обясни на руткита който се тества къде му е драйвера,понеже не видях Hitman да засича .sys файл?

На този клип  http://www.box.net/shared/qx1l8xxn0a се вижда че рууткита използва spoolsv.exe ( файл на майкрософт ) за тазицел. От там тръгва проблема при защитата на Касперски , защото този файл е на майкрософт , присъства в белия му списък , а щом е така има право да прави всичко възможно в случая да инсталира драйвер и да „ пише " по MBR.

Всяко нещо си има цена , колкото една защитна програма е направена по-лесна за ползване , толкова вероятността да допусне зловреден код е по-голяма. Malware Defender обаче не я интересува „ Кой кум , кой сват и кой на браснаря брат „ та вижда и пита за всичко. 

На този клип  http://www.box.net/shared/qx1l8xxn0a се вижда че рууткита използва spoolsv.exe ( файл на майкрософт ) за тазицел. От там тръгва проблема при защитата на Касперски , защото този файл е на майкрософт , присъства в белия му списък , а щом е така има право да прави всичко възможно в случая да инсталира драйвер и да „ пише " по MBR. 

Пак пишеш измислени неща що се отнася до Касперски.

1. Ти си тествал Kaspersky Antivirus 2010 версия и там нито има Хипс нито пък бели и черни списъци. Спрял си му защитата и не са обновени дефинициите.

Повторих ти теста с настройки по подразбиране,с изключена антивирусна защита и току що инсталирана програма. След обновяване на дефинициите и сканиране всички заплахи бяха отстранени.

Справка: http://www.kaldata.com/forums/index.php?showtopic=165378&view=findpost&p=1838895

2. Бели списъци съществуват в Kaspersky Internet Security. При стартиране на даден файл той се анализира и му се присвоява статут. Доверен или ограничен. Доверени са тези които съществуват в базата на KSN както и тези на Майкрософт. В случай тестваните от тебе файлове не са нито Майкрософски нито пък съществуват в базата на доверените. Точно обратното.

3. Същият руткит + още други ги пробвах на KIS 2011

Справка : http://www51.zippyshare.com/v/19314862/file.html

Какъв беше резултата:

Без антивирусна защита - клик "блок",клик "блок" ....много лесен бил бре.

4.Тествах и Comodo IS 5 =>> тука нещо май си траеш,а?

http://www26.zippyshare.com/v/89365928/file.html

<Log computer="NIKSSI-956936A9" scan="Normal" version="3.5.7.117" date="2010-11-14T02:28:42"

reboot="yes" timeSpentInSecs="313" filesProcessed="3900">

<Item type="Repair" score="0.0" status="None"><File path="$tdl3.sticky"

/></Item><Item type="Malware" malwareName="Rootkit" score="100.0" status="PendingDelete">

<Scanners><Scanner id="G Data" name="Rootkit.Tdss.AW (Engine-A)" /><Scanner id="DrWeb" name="BackDoor.Tdss.4005" />

<Scanner id="Other" name="Bootkit.TDSS" /></Scanners><File path="C:$MBR" hash="1E13B923A0771546D7D1C8F4F55B964813AA42CCAB45ED002A2B9BC237CFAA5A" /></Item></Log>

Редактирано 15 ноември 201015 г. от nikssi (преглед на промените)

URIEL

hxxp://dox.bg/files/dw?a=e1099e5335

hxxp://dox.bg/files/dw?a=47412b32b8

URIEL

Без да се заяждам Kaspersky IS 2011 напълно ъпдейтнат и снастройки по подразбиране и след бързо сканиране направи това

На горните два файла !

При мен на максимални настройки не допусна заразяване ,въпреки че антивируса не ги засичаше

http://www.box.net/shared/dvr4mbv9qq

 nikssi сега схващаш ли идеята че на дефиниции е наивно да серазчита.

При мен на максимални настройки не допусна заразяване ,въпреки че антивируса не ги засичаше

 nikssi сега схващаш ли идеята че на дефиниции е наивно да серазчита.

Не разбирам въпроса ти? Тестовете които съм правил,са без включен антивирус.

http://www23.zippyshare.com/v/29388286/file.html

Тествайте.

Не е защитен с парола архива !

Спрете си защитата в реално време докато го свалите.

Редактирано 15 ноември 201015 г. от Burkoff (преглед на промените)

KAV 2010 http://www.box.net/shared/2jorjj3sq6

Сканирано след рестарт на ОС

Мдаа някой ми банкира информацията , що така ? !

KAV 2010 http://www.box.net/shared/2jorjj3sq6

Сканирано след рестарт на ОС

Мдаа някой ми банкира информацията , що така ? !

Брато клипа не може да се гледа!

Брато клипа не може да се гледа!

Братчет гледам клипа с GOM Player , VLC media player , Media Player Classic и Windows Media Player.

Може да ти липсват кодеци , знам ли.

Братчет гледам клипа с GOM Player , VLC media player , Media Player Classic и Windows Media Player.

Може да ти липсват кодеци , знам ли.

Аз го пускам с kmplayer.

И при мен не се отварят последните ти филмчета Кире.

В офиса с WMP 11 неще...в нас с GOM също...кодеци си имам...Даже Gom се опита да си намери такива и каза следното:

* The video file you try to open might not be a proper video/audio format.

* Your video file might be seriously damaged.

KAV 2010 http://www.box.net/shared/2jorjj3sq6

Сканирано след рестарт на ОС

Мдаа някой ми банкира информацията , що така ? !

Кире,от клипа ти не се вижда сканиране с MBAM да не би да си орязъл клипа или нещо друго?

Това ти е резултата от теста Кире

Какъв е проблема затвори браузъра,почисти си боклуците и сканирай пак.

пп. При мене видеото също не се отваря с KMPlayer но с WMP става. Ама не видях сканирането с MBAM защо така?

Редактирано 16 ноември 201015 г. от nikssi (преглед на промените)

И при мен не се отварят последните ти филмчета Кире.В офиса с WMP 11 неще...в нас с GOM също...кодеци си имам...Даже Gom се опита да си намери такива и каза следното:

Този вече трябва да може да се гледа

http://www.box.net/shared/k5m97s1r36

Nikssi , ако ставаше само с почистване на временните файлове нямаше да създават MBAM , HitmanPro и т.н.

Пак ми банкираха информацията

Nikssi , ако ставаше само с почистване на временните файлове нямаше да създават MBAM , HitmanPro и т.н.

Пак ми банкираха информацията

Единият файл засечен от Hitman Pro е временен на Opera,другият е на декстопа ти. Защо не видях да сканираш с MBAM?

Единият файл засечен от Hitman Pro е временен на Opera,другият е на декстопа ти. Защо не видях да сканираш с MBAM?

Първо гледай клипа от поста ми който цитираш и после говори.

Този Rootkit TDL3 Alureon www.skatafka.com/download.php?file=75c706132447271d198d71601893712c матира и Тwister при максимални настройки.

Ето и клипа http://www.box.net/shared/kmxuiqznzj

Първо гледай клипа от поста ми който цитираш и после говори.

Гледах оня клип дето не се гледаше при другите Аве карай....

Ето ви един садо-мазохистки тест дето му приложих на Kaspersky - ето тъй се правят тестове не като са свалени на декстопа.

RUN=>RUN=RUN

http://www27.zippyshare.com/v/29141542/file.html

пп. Че ще има спам,ще има ама я натиснете така тестваните програми да видим какво ще случи. Считайте го за предложение за тестовете.

Никакво сваляне и сканиране,с работеща на обороти програма през IE без да се крием зад Opera директно се стартира файла

На Comod-ko му спрете виртуализацията да не се крие зад нея.

Бре,бре много минусчета са ми праснали приятелчетата. Да са живи и здрави

Редактирано 16 ноември 201015 г. от nikssi (преглед на промените)

На Comod-ko му спрете виртуализацията да не се крие зад нея.

Касперски има мноооого хляб да яде докато стигне Комодо.

Това чудо не го лови нито една антивирусна , Китаеца го хвана при опит да прави темп папки и да зарежда библиотеки

www.liangzhuchina.com/cartoon/soft/cartoonmaker_setup.exe

Видеото http://www.box.net/shared/q785xuqqs5

Като изключа матиращия ход на Rootkit TDL3 Alureon , Китаеца от 10 стартирани файла не е допуснал промени по ОС.

Касперски има мноооого хляб да яде докато стигне Комодо.

Това ще го видиме в близките дни. Всеки ден садо-мазо...всеки ден душа

Всяка програма,може да се затрие,не всяка издържа на натоварне. Авира при теста който правих се издъни на първият файл,Comodo беше най упорит - но със включена виртуализация и антивирус на максимум. Този път няма да е привелигирован,ама хииииич

Ако ще ползваме виртуализация,защо да не ползвам на Касперски? Той си я има също,дори е още по добра. Та,без сандъци ==>>> във сандъци!

Редактирано 16 ноември 201015 г. от nikssi (преглед на промените)

Касперски има мноооого хляб да яде докато стигне Комодо.

Когато е съществувал Касперски, Комодо не е бил замислен дори. Неуместно е да говориш така.

Редактирано 17 ноември 201015 г. от clonnning (преглед на промените)

Когато е съществувал Касперски, Комодо не е бил замислен дори. Неуместно е да говориш така.

Не е важен старта , а финала.

Не е важен старта , а финала.

Старта или финала(яйцето или кокошката)

Развитието в случая е по-важно.

Касперски и един троянец взет от Symantec http://dox.bg/files/dw?a=fbb0350198 MBAM и Хитман -а не го ловят ! Както видяхте имам и виртуалка ,но предпочитам да се види истината на реална машина ,че да няма ама така ама иначе !

Редактирано 17 ноември 201015 г. от Гост (преглед на промените)

Касперски и един троянец взет от Symantec

http://dox.bg/files/dw?a=fbb0350198

MBAM и Хитман -а не го ловят !

Както видяхте имам и виртуалка ,но предпочитам да се види истината на реална машина ,че да няма ама така ама иначе !

Поздравления за клипа,винаги ги гледам с голям кеф!

Единствено,което не одобрявам при Касапа е ,че файла попаднал в "малките ограничения" има достъп до startup папката на Windows/

Файла по-скоро ми прилича на rogue,бъди сигурен че няма да му се позволи да прави опасни "маневри" и ще бъде скалпиран до час два най-много!

Иначе за фатални последствия и дума да не става! В интерактивен режим до сега не ми се е случвало при Kaspersky!

P.s. Гледам,че Нод няма дефиниция и евристично засичане,би ли предоставил файла да го пробвам на момента?

От MDL-а почти нищо не мога да сваля с Nod-a ,като ротвайлера ми е ,не дава да припари на никой непознат!Много е подобрен,не мога да го позная!

От близо година и половина не го бях слагал и има голяма промяна в засичането!

Поздравления за клипа,винаги ги гледам с голям кеф!

Ами обичам да има музика -мога и да говоря но предпочитам да мълча ... Иначе при затегнати настройки съм съгласен че няма да стане -обаче аз тествам както трябва да се тества на реална машина с всички ъпдейти и тестваната програма да е по подразбиране !

Благодаря за комплимента !

Аз съм го дал тук http://www.kaldata.com/forums/index.php?showtopic=161362&view=findpost&p=1842273

Burkoff моля те предупреждавай като даваш такива файлови инфектори за тест ... Добре че бях с DefenseWall иначе щях да изгоря ...

Аз съм го дал тук http://www.kaldata.com/forums/index.php?showtopic=161362&view=findpost&p=1842273

Извинявам се за лошото качество,но в момента нямам възможността!

Ето как се представи Нод-а,също допусна "инсталация" ,но това не е инсталация,а файла само си направи папка в program files

Папката се изтрива без проблем! За сега не видях друго да прави или променя,сега ще установявам,но малко по-късно!

Download video: http://dox.bg/files/dw?a=9be069f1f3

Качвам и дропнатите файлове за пращане: http://www.skatafka.com/download.php?file=728eca67eeab2a05ad089fe898529110