Кажется, это называют "проактивка". Так тоже ловят, но пинч это во многих случаях обходит (как-то перехватывает сообщения и сам "нажимает" на кнопки с разрешением).
Как я понял из обсуждений, самым действенным остаётся старый метод: получил вирус -> написал сигнатуру -> антивир умеет его находить.
Это долго, и весь вопрос упирается в скорость писателей вирусов/антивирусов с обоих сторон.
Если честно, от Вас слышу в первый раз:) Под линуксом работаю, в вин практически нет.
Так это, выходит, разные версии вируса. Лучше бы что-то хорошее делали с их головой-то...
О пинче пробежался по инету (интересно стало, как это нельзя изловить), пару ссылок собрал.
Видимо, утверждение о безнаказанности верно, пока вирус не попадёт в руки антивирусников (о чём я и говорю).
Кто находит, кто нет: http://www.anti-malware.ru/phpbb/viewtopic.php?t=1287
Что пишут на касперском (проблема-таки серьёзная): http://forum.kaspersky.com/lofiversion/index.php/t29671.html
Последние вирусы, добавленные в базу касперского (пинчи есть, за 22-23.02 - 3 штуки):
http://www.kaspersky.ru/viruswatchlite?page=1
http://www.kaspersky.ru/viruswatchlite?page=2
Вы скажете, что если сделать новый вирус (по-другому зашифровать), то его никто не найдёт - я с Вами соглашусь. :)
Это вечная борьба брони и снаряда.
Хорошо, что под *nix ещё не пишут вирусов. :)
На 9 зеркале попытался вспомнить пароль, пришло пустое письмо.
Страница написала, что всё ОК, но какой-то файл для инклюда не найден.
К сожалению, не открывается больше зеркало, более точно сказать не могу.
Ну тогда, наверное, об этом и заморачиваться не стоит.
Я так понимаю, все остальные идут по новому адресу?
А что, бывает и такое :)
В мае снял с карты СБРФ 10К рублей, а на счёте они остались. Через 2 месяца срок карты истёк (ессно, уже опустошил её), а в феврале следующего года позвонили и попросили вернуть, тк "бухгалтеру придётся выплачивать". Тоже вернул. :)
Он запарится это делать, хотя не знаю, может и есть такие.
Например, дрвеб сканирует память при запуске, перед началом проверки.
Вообще, основная мысль - это не то, какие вирусы умные (Andreyka), а то, что их можно отловить (например, по блоку дешифрующему).
Это тоже уже не раз написал. :)
А какой %% таких заходов?
И можно ли как-то ограничить кеширование ДНС, чтобы чаще спрашивали наши сервера? Так можно было бы выдавать корректные адреса.
Тут, простите, не понял. Не расшифровывается кем? Как минимум сам вирус себя должен уметь расшифровать, иначе можно просто случайный код в себе нести. А если он это делать умеет, то это должно быть реализовано в блоке расшифровки, алгоритм можно руками вытащить и тоже расшифровать тело.
Возможно, но не совсем безобидным, ведь ему надо не просто распаковать/дешифровать тело, но и перенести управление на начало распакованного участка в памяти, такого архиваторы не делают, и уже поэтому блок расшифровки не будет похож на "безобидный код".
На самом деле, всё равно сложно его определить, но уже по другой причине - такой код по сравнению с телом вируса может быть очень мал, и внести в него изменения (чтобы не совпадали сигнатуры) намного проще, чем изменять код самого вируса. Так, можно выпустить дюжину версий с немного отличающимся кодом дешифратора, и для каждого надо составить сигнатуру.
Открытый код вируса - это уже половина победы, неважно сколько частей.
Никто ведь не обещал, что будет легко. :)
Тема началась про сайты, а перешла в область безопасности ОС и вредоносных программ. :)
Киньте кто-нибудь адрес зеркала, плиз.🙄
Может, проясните, каким образом процессор понимает зашифрованные команды?
Перед выполнением любой, самый крутой и неоднозначный, шифр надо расшифровать, чтобы дать его на выполнение процессору. Причём расшифровать его надо именно однозначно. То есть в памяти наш друг будет практически всегда один и тот же.
А вот зашифрованным, да, он может быть по-разному (смена ключей или алгоритмов шифрования).
Но расшифровку должен выполнять код, который заведомо не зашифрован (он ведь выполняется). Хоть какой-то участок кода такого вируса должен быть незашифрованным, который запустится и вытащит остальное тело. По этому участку его и можно отловить.
UPD. Сначала не заметил, но об этом уже написали раньше:
