пятница, 14 августа 2015 г.

Блокировка вирусных ботов

Привет. В клиент добавлена функция уничтожения ботов-разносчиков вирусов.
Предлагаю админов или операторов крупных хабов на основе PtokaX воспользоваться этим и задавить этот способ заражения наших пользователей. Проблема давняя и освещается в этой ветке http://dchublist.ru/forum/viewtopic.php?f=6&t=1010 пользователь ищет файл и получает на exe-шник с созвучным названием (я несколько раз тестировал - подобные файлы и они не опознаются 50% антивирусами из virustotal)
Данное решение избавляет менять конфигурацию хаба и уже опробовано на 3-х хабах включая мой (dchub://dc.fly-server.ru) . Нужно чтобы на хабе всегда висел клиент FlylinkDC++ с включенными галками (рис 1), пользователь при этом должен иметь права на команду кика или бана по IP












Если этого не сделать, то посмотрите что происходит на наших крупных хабах.
на рис 2 выделено число загрузок вирусов с одного из ботов:
и ведь подобное качают пользователи без подготовки
при этом 100% они бездумно запускают это!
и если их не спас локальный антивирусный монитор (50%) то эта зараза залезла в комп нашего пользователя.
А теперь смотрим сколько таких ботов на хабах (рис 3):
даже  если каждый раздает вирусни как  natali со скрина № 2 то это уже катастрофа
давайте удалим этих уродов?
Пишите свои замечания в теме или на почту  pavel.pimenov@gmail.com
кому вломы держать всегда включенным комп с флаем - это решаемо
у меня есть несколько VPS где могут крутиться роботы по убиванию этой заразы.
база данных таких ботов постоянно обновляются(спасибо RoLex) и реплицируется на все клиенты флайлинков с интервалом 30 минут т.е. мы обеспечиваем достаточную  актуальность базы данных по IP. также по наблюдениям у них маленький пул IP и они редко меняют адреса.
это очень хорошо т.к. их можно быстрее локализовать и заблокировать.

p.s.
Очень странно почему этим не занимаются антивирусные лаборатории и их базы отстают?


Отправить комментарий