Лаболатория Касперского

[Ar3s]

OFFTOP
Сегодня читая хабр наткнулся на следующую статью, специально придержанную для хабра в качестве пиар хода. После прочтения был, мягко говоря, разочарован уровнем статьи и описываемым материалом. Сложилось впечатление абсолютного тупизма.
И после этого возникает вопрос, если эта малваря для них веселая и интересная, то какой же уровень у их спецов?
Я понимаю, что где-то там могут сидеть очень качественные специалисты своего дела, не умеющие писать и толково разъясняться, но не до такой же степени...
Ну и не могу не вспомнить Мыщъх-а. Жаль что они не родственники.

 

[demien]

Тройной инфектор... =D
такое впечатление как будто обзорчик писался лет 5 назад а о методе заражения PE файлов дописыванием зашифрованного кода и декриптора в .text секцию ехе и смены oep на эту секцию я вообще молчу
ну и конечно нульдей вовсе не обьязателен, ведь это и так палится даже замыми тупоголовыми ав продуктами...
причем написано что изначально вирь в оффисе будет лочится, НО елси пользователь сам разрешит запск, то вирь запустится дибилизм
а про технологию распространения через autorun.inf вообще молчу
Или это они пользователей Хабра так любят, что специально для них такой обзор подготовили.
Улыбнуло конечно)

 

[TrueUser]

Зловред дропает на диск три файла: dll-библиотека, отвечающая за бэкдорную часть (Backdoor.Win32.IRCNite.clf), dll-библиотека, ответственная за создание файлов autorun.inf (Worm.Win32.Agent.adz), и, наконец, третья библиотека — непосредственный лаунчер (Trojan.Win32.Starter.yy) предыдущих двух.

Ну тут ваще ржака написана - бот дропающий дллки это не современно как то
При этом работающий чере IRC тем более. То же подчеркнул demien выше об алгоритме инфицирования exe.

Подобные зловреды еще раз показывают: совсем необязательно применять 0-day эксплойты для своего распространения.

Ну конечно, все будут рассылать свой кэш браузера друзьям с просьбой просмотреть его, таблицы экселя подозрительного содержания С КИТАЙСКИМИ ИЕРОГЛИФАМИ непонятно откуда на их компе взявшийся и тыкать флешки куда попало. Сплойты тут нахер не нужны. Причем заметьте что автор сего продукта долже все эти манипуляции проделать САМ самым первым

Кроме того, следует отключить автоматический запуск autorun.inf при подключении внешних носителей.

Давай выключи автозапуск на хрюшке домашней

Какая то бредятина а не статья.

 

[DASM32]

Давай выключи автозапуск на хрюшке домашней

Ну, можно же в реестр залезть

 

[TrueUser]

Ну, можно же в реестр залезть smile.gif

Да конечно... создать пару новых ключей... объясни это 90% пользователей :swoon2:

 

[greenzy]