# кто курил рустока?

Тема в разделе "WASM.HEAP", создана пользователем kaspersky, 14 май 2008.

Статус темы:
Закрыта.
  1. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    и как часто ты грузишься с livecd и проверяешь хеши?
    Если внешне никакой активности нет, то зачем юзеру все это?
     
  2. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    n0name
    эти вопросы несовсем к делу относятся: речь о непобедимости зверюшки:derisive: а в аверских конторах могут юзаться ловушки для сбора новых зверюшек - машины с нулевым уровнем безопасности: вовремя эпидемий на них и попадают новые образцы, особенно помогает для предупреждения скрытых эпидемий.
     
  3. AVER

    AVER New Member

    Публикаций:
    0
    Регистрация:
    24 май 2008
    Сообщения:
    1
    Бугага! Действительно никакой активности, кроме рассылки спама :)
     
  4. UTeX

    UTeX New Member

    Публикаций:
    0
    Регистрация:
    19 окт 2007
    Сообщения:
    584
  5. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    UbIvItS

    Блин, кто говорил о непобедимости-то? Сказали, что сложно, но можно. Dr.Web лечит, а щас и касперы подтянутся. Сверять хешсуммы при активном рутките бесполезно, надо грузиться с cd. И часто обычные пользователи это делают? Что за бред то вообще? Или для вас не существует разницы между advanced user и домохозяйками?
     
  6. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    sww_
    ты скоро привыкнешь :)
     
  7. sww_

    sww_ New Member

    Публикаций:
    0
    Регистрация:
    21 окт 2007
    Сообщения:
    155
    К ламеризму сложно привыкнуть ;)
     
  8. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    UTeX
    я об универсальности метода говорил - здесь универсальностью и не пахнет:derisive:)
    sww_
    просто полтора года ладить зверюшку - юморно это как-то звучит:)))))
    я б понял бы слова типа: "Зверюшка долго не проявляла активности и не заметили сразу или очередь зверюшек была длинной и руки только что дотянулись". но первый вариант - бред, ибо ботсеть - сильная активность, а вот нехватка времени наиболее правдивое объяснение, хотя тоже камень бросить можно: "почему активность ботсети не была присечена в первоочередном режиме??????":)))
    короче, работа в аверских конторах заставляет умных людей бред излагать:)
    не плюй в колодец, Еретик:derisive:
    вот пастве и излагай истину:derisive:
     
  9. blood_raven

    blood_raven New Member

    Публикаций:
    0
    Регистрация:
    10 апр 2007
    Сообщения:
    55
    UbIvItS все так хорошо начиналось, а вы привротили топик во флудотопик.
     
  10. nester7

    nester7 New Member

    Публикаций:
    0
    Регистрация:
    5 дек 2003
    Сообщения:
    720
    Адрес:
    Russia
    blood_raven
    В первый раз чтоль? Не обращай внимания )
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    blood_raven
    ок, умолкаю - пусть слава Рустока разливается по свету:)) мои поздравления команде всё же полтора года жестокой борьбы....... умолкаю:)))))
     
  12. MSoft

    MSoft New Member

    Публикаций:
    0
    Регистрация:
    16 дек 2006
    Сообщения:
    2.854
    вот интересно, ты сам-то его смотрел, чтобы делать такие оценки? Помнится, ты и гроша ломаного за РСА не давал, хотя сломать так и не смог. Тут опять начинаешь рассказывать, какая ламерская это поделка - русток, хотя сам его в глаза не видел.
     
  13. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    MSoft
    где ты видел, что я так говорил: конечно, это неламерская поделка, но как бы гениален ни был код - это всего лишь прога и чудес не бывает: супер антиотладка, супер пакер....... - пиар чистой воды. если нормально препарируешь код - зверюшка, что пациент пред хирургом - нефига она ничего не сотворит: первым делом отсекается код активной блокировки отладчиков, потом разборка с пакером, потом
    выясняются способы захода на машину, морф кода (если таковой есть).
    http://www.rootkit.com/newsread.php?newsid=879 цитата:
    Молодцы!!! - ну, что тут сказать:))) вообще, статья написана в чудесном янкобыдло стиле:)
    эх, договоритесь вы - сломаю я его нафиг [Шутка].
     
  14. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    # Featured Article: Rustock.C by HolaHola
    http://www.rootkit.com/newsread.php?newsid=879

    статья хорошая.
     
  15. blood_raven

    blood_raven New Member

    Публикаций:
    0
    Регистрация:
    10 апр 2007
    Сообщения:
    55
    kaspersky ммм линк уже давали на эту стотью)
     
  16. iamlamer

    iamlamer New Member

    Публикаций:
    0
    Регистрация:
    20 июн 2005
    Сообщения:
    273
    Адрес:
    Russia
    И все-таки, я продолжу свой ламерский вопрос.

    Возможен ли в 2008 г. код, который в течение 1.5 лет находится ITW, выполняет определенные действия (например, рассылает спам), скачет с машимны на машину - и никто его не видит?
    Имхо, это абсолютные сказки. Для того, чтобы его увидеть, не надо даже проверять чексуммы. Достаточно просто загрузиться с CD и увидеть 100-килобайтные приращения длин некоторых дров. Это умеет делать глазками и делает любой нормальный админ. Пусть не каждый. Пусть даже один из 10 - и этого вполне достаточно, чтобы поймать заразу через неделю после релиза. А не через 1.5 года.

    Вторая половина вопроса: ну, может быть его сразу и поймали, но 1.5 года не могли исследовать? Опять не верю. Сейчас этого рустока продвинутые личности вскрывают менее, чем за 1.5 недели. Возможно, даже, за 1.5 дня. Поэтому - в 1.5 года опять не верю.

    Вот такой вот ламеризм, к которому "трудно привыкнуть". :)
     
  17. kukuruku

    kukuruku New Member

    Публикаций:
    0
    Регистрация:
    28 апр 2008
    Сообщения:
    1
    Скажите, сколько раз за последние 1,5 гда Вы грузились с LiveCD и сверяли хэши дров в системе?

    Я например ни разу за это промежуток времени...

    Много чего можно делать в 2008 году и никакой код не спрячеться, но вопрос в другом - а пользуемся ли мы этими всеми возможностями? После драки кулаками проще махать, как и выдвинуть предположение как легко было обнаружить малварь...
     
  18. iamlamer

    iamlamer New Member

    Публикаций:
    0
    Регистрация:
    20 июн 2005
    Сообщения:
    273
    Адрес:
    Russia
    Вот лично я сам это практикую.

    Даже для обычных вирей и червей, если есть подозрения, я всегда сначала глазками смотрю в опасные каталоги и ветви реестра, а потом запускаю сканирование. Если ничего не видно, я гружусь с CD, вынимаю из бэкапа дрова и дллки, ставлю разные каталоги в тоталкомандере в правое и в левое окошко и массово выделяю - сразу видно разницу длин. Буквально неделю назад таким образом поймал очередного зверька, которого не умел ловить каспер (с кумулятивом и с викли, но без дейли, впрочем, он как раз в дейли к тому моменту уже опознавался, но речь совсем не о том).

    Вот таким манером я четко увидел бы и Рустока, и никакая руткитовость не проканала бы. И, кстати, примерно так поступаю не я один, а и многие мои знакомые.

    1.5 года, говорите?..
     
  19. blood_raven

    blood_raven New Member

    Публикаций:
    0
    Регистрация:
    10 апр 2007
    Сообщения:
    55
    пора топ закрывать, а то превратили во флудильню(несмотря на то что он в хипе находиться), вопрос был конкретно про ковыряние рустока(!!!), а не про то что его не могли сколько то там обнаружить, ну если вам так не имеца- создайте свою тему да и обсуждайте там это.
     
  20. Colibri

    Colibri New Member

    Публикаций:
    0
    Регистрация:
    8 май 2008
    Сообщения:
    117
    1,5-3к баксов?
    это не мало... даже для питера и москвы... Это очень даже немало...!

    оффтоп: а кто, по вашему мнению написал сие? ведь чел по любому должен быть граммотным (либо это комманда?) и засветиться на васме либо руткитс либо на ирц... Ну хотя бы, какие предположения?
     
Статус темы:
Закрыта.