Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Информация и защита от вирусов

Модератор: YoungMax

Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Сообщение YoungMax » 11 фев 2010 23:55

К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).

Настройка - Контроль программ. Нажимаем кнопку "Настройка". На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра", как показано на изображении.
2010-01-27_1610.png
2010-01-27_1610.png (15.66 Кб) Просмотров: 11789


В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты \Winlogon\shell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 10 мест и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:

1. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
2. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
3. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
4. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
5. В поле "Ключ": *\SOFTWARE\Policies В поле "Значение": *
6. В поле "Ключ": *\SOFTWARE\Policies\*
7. В поле "Ключ": *\SOFTWARE\Policies\* В поле "Значение": *
8. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot В поле "Значение": *
9. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
10. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\* В поле "Значение": *

Пути нужно писать так, как написал их я. Каждый путь добавляется отдельно.

Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пунктах 4, 6 и 9 после * его нет.
Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ". Там жмем кнопку "Настройка правил...".

В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно. Вот что получается в итоге:
2010-02-10_1723.png
2010-02-10_1723.png (54.32 Кб) Просмотров: 11789


Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).

Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:

* Параметры безопасности Internet Explorer
* Зоны Internet Explorer
* Параметры встроенного фаервола
* Ветку политик
* ...и прочее

Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности".

После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.

(c)Мячин Дмитрий, Kaspersky Lab
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Сообщение kosarevgen » 08 мар 2010 17:51

Спасибо :good:

Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пунктах 4, 6 и 9 после * его нет.

У меня проблемка возникла. Я копипастом ключи вставляю, как сказал автор статьи. Затем навел указатель на пути этих ключей и там в 4,6 и 9 после * стоит слеш. А вот в 10 как раз нет. Так надо? просто делаю все по инструкции...
Ссылка на изображение: http://s49.radikal.ru/i123/1003/93/be4241c2d69d.jpg
Вот.

А еще нет AntiWinLock:
Ссылка на изображение: http://i081.radikal.ru/1003/45/e5f2ec664979.jpg

Что делать, подскажите, пожалуйста.
Хочешь быть оригинальным - будь самим собой. © Всеволод Михальцев
Аватара пользователя
kosarevgen
Наблюдатель
Наблюдатель
 
Сообщения: 12
Зарегистрирован:
28 фев 2010 17:08

Re: Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Сообщение Diesel » 08 мар 2010 20:43

Вам сюда!!! viewforum.php?f=191
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1535
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Сообщение kosarevgen » 08 мар 2010 21:12

Diesel

Не кипятись, понял...
Сори, просто еще не до конца разобрался в местной системе... :unknown:
Хочешь быть оригинальным - будь самим собой. © Всеволод Михальцев
Аватара пользователя
kosarevgen
Наблюдатель
Наблюдатель
 
Сообщения: 12
Зарегистрирован:
28 фев 2010 17:08

Re: Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Сообщение YoungMax » 08 мар 2010 22:17

kosarevgen
Pо первому скрину все правильно. Насчет того,что нет в "Слабых ограничениях" группы AntiWinlock:
Удалите все прописанные вами пути, сохраните изменения, перегрузите машину для уверенности,что каспер примит изменения,далее впишите снова пути,нажмите Применить. Потом уже идите в "Слабы ограничения"
P.S. У меня она есть,я делал по той же инстукции
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Сообщение kosarevgen » 09 мар 2010 00:42

Тут еще казус произошел, устанавливал K-Lite Mega Codec Pack (качал с офф сайта для надежности) и там куча файлов не устанавливалась, ибо доступ закрыт... грешу на эти настройки...

Diesel
в помогите не стал писать, думаю здесь это сообщение логичнее, не?
Хочешь быть оригинальным - будь самим собой. © Всеволод Михальцев
Аватара пользователя
kosarevgen
Наблюдатель
Наблюдатель
 
Сообщения: 12
Зарегистрирован:
28 фев 2010 17:08

Re: Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Сообщение YoungMax » 09 мар 2010 08:59

kosarevgen
Vозможно,возможно.Тогда найдите в Контроле активности программ k=Lite codec pack,присвойте ей Доверенные и сохраните изменения.
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

Re: Бессигнатурная защита от TrojanRansom (WinLock) KIS\KAV 2010

Сообщение armia741 » 03 янв 2014 07:58

Затем навел указатель на пути этих ключей и там в 4,6 и 9 после * стоит слеш. А вот в 10 как раз нет. Так надо? просто делаю все по инструкции.
armia741

 
Сообщения: 1
Зарегистрирован:
03 янв 2014 07:51


Вернуться в Защита от вирусов

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 2