1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn More.
  2. Колесо Йорм Поэзия Календарь Гильдия Дайджест Календарь событий в Aion

руткит

Discussion in 'Архив' started by Cofeeeeen, Oct 3, 2011.

Thread Status:
Not open for further replies.
  1. Cofeeeeen

    Cofeeeeen User

    Joined:
    14.09.11
    Messages:
    10
    Likes Received:
    0
    от службы поддержки тишина посему спрашиваю тут копией запроса в службе поддержки

    сообщение от вас на 01.10.2011 02:37:32
    здравствуйте

    сегодня аваст мне пожаловался на скрытый руткит в файле aion.bin
    по запросу сразу было произведено удаление и последущая полная проверка компьютера.(в режиме дозапуска виндоус)
    после всех процедур айон перестал запускаться помогла переустановка запускатора, заново скачаного с сайта. после игры в айон около 10-15 минут аваст снова пожаловался на, тот же самый, руткит, в том же самом файле

    там действительно есть что-то подозрительное и мне необходимо поставить в исключения, или же это реальное повторное заражение в течении 15 минут ?

    2 сообщение от вас на 03.10.2011 03:22:14
    да скорость обработки вопросов конечно убивает, но рискну добавить

    что на протяжении 2х дней сей руткит все также привязывается к конкретному файлу,

    именно к конкретному! был произведен опыт: после очередного заражения аваст вырезал по запросу файл aion.bin, позже файл был перекачен запускатором сызнова, я специально дублировал файл айон.бин на рабочий стол, и проверил авастом файл был чист как на рабочем столе так и оригинал в дистрибутиве клиента.

    но после запуска игры аваст снова пожаловался на зараженность файла: временной промежуток от запуска до момента заражения всегда разный от 15 минут до 2х часов, но в день заражается раз по 5

    при этом файл дубликат на рабочем столе- все также чист


    комп проверялся антивирусом в режиме до загрузки виндоус первый раз в папке темп он нашел тот же самый руткит и зараженный файл aion.bin в клиенте игры, на 2й раз не нашел ничего(aion.bin в клиенте был вырезан до проверки)

    какнить бы избавится от сей напасти а то уже запарило
     
  2. Effigies

    Effigies User

    Joined:
    29.04.10
    Messages:
    5,097
    Likes Received:
    216
    попробуйте настроить антивирус - https://forum.4game.ru/showthread.php?t=288074
    служба поддержки по выходным не работает. регламент службы поддержки вы можете посмотреть тут.
     
  3. Cofeeeeen

    Cofeeeeen User

    Joined:
    14.09.11
    Messages:
    10
    Likes Received:
    0
    а причем тут настройки?

    тут руткит привязывается, не всегда же он так привязывался, а только последнюю неделю

    меня безпокоит факт самого вируса, и то что он для воровства пороля, а не то как работает антивирус

    ведь свежескачаный файл то чист, а подозрения он вызывает, во время игры
     
    Last edited by a moderator: Oct 3, 2011
  4. Radix

    Radix Innova Group

    Joined:
    10.02.10
    Messages:
    6,061
    Likes Received:
    224
    cofeeeeen, если он будет "не чист", модифицирован чем-либо вредоносным, то проверка контрольной суммы не пройдет это раз (антивирус начнет ругаться на "необычную упаковку файла", т.к. он зашифрован ncsoft с помощью протектора themida). а во-вторых, с модифицированным файлом на выборе сервера будет дисконнект. так что не заметить файлового заражения крайне сложно!

    но дело не в этом. не знаю, что вы слышали про руткиты, но руткит по своей сути пароли не ворует (не его это задача). руткит - это набор механизмов, техник и методов поддержания скрытности в системе, захвата контроля над процессами, мониторинг активности в системе и т.п. это как бы вспомогательное средство для осуществления какой-то задачи. в нашем с вами случае - это задача минимальной защиты процесса игры (aion.bin). т.е. мы говорим уже не про файл (забудьте про него), а про его копию в памяти вашей машины в момент игры. вот именно эта копия "прячется" системой frost от стандартных и самых-самых простых методов обнаружения клиента игры, открытия его процесса и вторжения в клиент игры извне (т.е. от других процессов). так часто делают чит-программы.

    соответственно из-за того, что frost прячет процесс aion.bin от пользователя и от программ мониторинга (диспетчер задач, process explorer и т.п.), антивирус и выдает предупреждения. антивирус использует более совершенные техники контроля системы, поэтому спрятанный клиент он легко видит и это вызывает у него подозрения. хотя на самом деле поводом для беспокойства это не является. но настроить антивирус лояльно к клиенту все таки нужно.

    p.s. безусловно, это верно если только антивирус поддерживает достаточный уровень контроля за вашей системой. т.е. про меры защиты и профилактики я напоминать не буду - сами наверное знаете все отлично.

    p.p.s. мы еще раз напомним ответственным на необходимость наличия цифровой подписи на файле aion.bin. так будет и нам проще, и вам - безопаснее. пока подписи нет (куда то дели в nc)
     
    Last edited by a moderator: Oct 3, 2011
  5. Cofeeeeen

    Cofeeeeen User

    Joined:
    14.09.11
    Messages:
    10
    Likes Received:
    0
    все понятно, спасибо за разъяснение
     
  6. Radix

    Radix Innova Group

    Joined:
    10.02.10
    Messages:
    6,061
    Likes Received:
    224
    вам спасибо кстати за то, что напомнили об отсутствии цифровой подписи на aion.bin. еще раз подняли данный вопрос.
    топик пока закрою, но если вопросы возникнут еще - пишите в лс.
     
Thread Status:
Not open for further replies.