Новый троян похититель вебманей наделал шороху в России! Антивирусы бессильны!на зараженном ПК его на сегодня не видит никто. Если же винт с зараженного компа вынуть и просканировать на другом компе, как съемный носитель, то его самого, т.е. тело или сам руткит все равно никто не опознает (полиморфный и кодированный), однако следы и дополнительные трояны, которые он подгружает, вообщем-то стандартные, уже видно, но их удаление не помогает, т.к. винт все равно остается зараженным и если его опять поставить в комп и загрузиться, то опять нчинаются непонятные процессы :-) В принципе наверняка найти можно и само тело, где-то в альтернативных потоках ntfs секьюрном сторадже и тд как exe dll sys и т.д. без цифровой подписи микрософта если заразить совсем чистую винду, в которой все исполняемые файлы подписаны цифровой подписью микрософта. Но лично я не осилил... Как проникает, на сегодня были сообщения о дырках в флэш плеере, акробат-ридере, офисе, эксплорере, лисе, опере, медиа плеере и море других менее известных программ. Кстати тут же вопрос - 64 битная винда при работе из под ограниченного юзера не есть ли тот ж самый HIPS ? Там вроде неподписанные дрова поставить невозможно, отчего на хакерских форумах полно запросов на покупку цифровой подписи на подставное лицо, за любые деньги, однако проблема в том что эту подпись под дрова дают только юридич. лицу, что хоть и проблема, но решаемая, к сожалению... так что закончиться все тем, что СНГ что юдям и фирмам из СНГ цифровые подписи ни под каким соусом ни за какие деньги микрософт давать не будет, но оно может и к лучшему. Так же еще впросе, вдруг ту профи читаю, политками безопсности в виндах ХР нельзя ли запретить исполнение и загрузку неподписанных исполняемых файлов? |