Gdyby ktoś chciał to podaję próbkę tego spamu. W RAR cały EML z wiadomością no i downloader - zaszyfrowany JSE, więc blokada takich szkodników odpalających się przez wscript.exe jest bajecznie prosta. Jak można coś takiego uruchamiać?!
Nie żebym reklamował, ale niestety użytkownicy tego nie wiedzą, a producenci nie są skłonni od tylu LAT blokować skryptów uruchamianych przez systemowe procesy. Dlatego dla nietechnicznych użytkowników polecam Arcabit.
28.02.2018, 20:23 (Ten post był ostatnio modyfikowany: 28.02.2018, 20:23 przez ichito.)
Nie ma co już marudzić, bo mleko się wylało...jest problem i trzeba czekać na Tachiona pewnie aż coś wymyśli
BTW...pobrałem sobie pliczek do sprawdzenia
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpalcie to, a nie skanujecie... A potem roznoszą się informacje, że AV X lub Y czegoś nie wykrywa. Dopiero po uruchomieniu zobaczycie efekty. Dla Arcabit zablokowanie skryptu odpalanego przez wscript.exe, dla Bitdefendera powinna zadziałać jakaś inna ochrona real-time: zakładam, że wykrycie zagrożenia na zaporze sieciowej lub zablokowanie hosta IP, z którego byłoby pobierane malware.
W takich przypadkach skanowanie na żądanie niewiele pomoże, bo AV nie zagląda do zawartości pliku, a nawet gdyby to nie zdoła rozszyfrować kontentu. Dlatego producent musi mieć próbkę konkretnego pliku, aby wykrywał to przez sygnatury. W przeciwnym wypadku do tego są te wszystkie inne techniki wykrywania złośliwego kodu, a wy skupiacie się na archaicznych sygnaturach.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Nie. Tam mieliśmy do czynienia z plikiem XLS zawierającym makro. Pliki były załączone bez żadnego archiwum. Tutaj jest to zwykły JS i to spakowany w RAR.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpalcie to, a nie skanujecie... A potem roznoszą się informacje, że AV X lub Y czegoś nie wykrywa. Dopiero po uruchomieniu zobaczycie efekty. Dla Arcabit zablokowanie skryptu odpalanego przez wscript.exe, dla Bitdefendera powinna zadziałać jakaś inna ochrona real-time: zakładam, że wykrycie zagrożenia na zaporze sieciowej lub zablokowanie hosta IP, z którego byłoby pobierane malware.
W takich przypadkach skanowanie na żądanie niewiele pomoże, bo AV nie zagląda do zawartości pliku, a nawet gdyby to nie zdoła rozszyfrować kontentu. Dlatego producent musi mieć próbkę konkretnego pliku, aby wykrywał to przez sygnatury. W przeciwnym wypadku do tego są te wszystkie inne techniki wykrywania złośliwego kodu, a wy skupiacie się na archaicznych sygnaturach.
Ja odpaliłem. Nie liczyłem za bardzo na sygnatury. Bardziej na jakiś BB.