Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Ватакуси, Вы писали:
В>>Здравствуйте, StandAlone, Вы писали:
SA>>>Ничего, погуляй по сети на ослике, еще насмотришься на всю эту фауну. Они на осла летят, как москиты на запах крови.)
В>>Ослик (emule?) взламывается или под его видом проникают?
KV>Под "осликом" как правило подразумевают IE, при этом почему-то считая, что он менее безопасен нежели (к примеру) firefox.
Обычно, количество вирусов на компьютере обратно пропорционально прямизне рук пользователя и прямо пропорционально его тупости и любви к порнухе и халяве.
Здравствуйте, __kain, Вы писали:
__>На днях пофиксил шпиЁна, пребываю в радостном возбуждении Хочу поделиться радостью
Ну, с полем!
__>1) в реестре себя прописывает; __>2) регистрируется службой (у меня не получилось — я под ограниченным пользователем ]:->) __>3) регистрируется СОМ-сервером; __>4) лезет в эксплорер при его запуске (при помощи хуков); __>5) регистрируется компонентом iexplore.
__>Мало того, создает сервис в зависимости от того, NT "под ногами", или нет! В общем, зачетный шпион попался!
Я конечно все понимаю, радостное возбуждение, первая добыча и все такое. Но шпион заурядненький Самые меганавороченные трояны как раз стелс, причем настолько, что обнаружить их можно только, если очень хорошо знать, куда смотреть. А обезвредить — только если точно знать, как. Например, последний, который в csrss встраивался — обнаруживался только сетевым монитором, АВЗ с Авастом молчали глухо, а удалять его пришлось осторожно за хвост, не делая резких движений... .
Ничего, погуляй по сети на ослике, еще насмотришься на всю эту фауну. Они на осла летят, как москиты на запах крови.)
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, __kain, Вы писали:
__>>Но в целом я на правильном пути
RO>С чего ты взял?
RO>На правильном пути — это поставить правильную ОС.
Здравствуйте, ibnTeo, Вы писали:
RO>>>На правильном пути — это поставить правильную ОС. SA>>И тратить время не на борьбу с вирями, а с правильной осью — выбирать дистрибутивы, курить маны и рыться по форумам.
T>А в винде одна дорога, и та терниста.
Может и терниста (кстати, это в чем?), зато к звездам ведет. А у линукса все дороги в какую-нибудь жопу уводят, когда дело десктопов и ноутбуков касается
Здравствуйте, __kain, Вы писали:
__>На днях пофиксил шпиЁна, пребываю в радостном возбуждении Хочу поделиться радостью
__>Мало того, создает сервис в зависимости от того, NT "под ногами", или нет! В общем, зачетный шпион попался!
Не думал книгу написать об этом? Сейчас это модно.
На днях пофиксил шпиЁна, пребываю в радостном возбуждении Хочу поделиться радостью
Ситуация такая. Сижу в винде на работе, с лицензионным касперским, под почти совсем бесправным пользователем. Прав хватает, разве что работу работать Аську, и ту, из-под админа запускаю (ну не работает она подо мной). И тут ко мне влез шпион....
Шпион — одно название. Орал о своем присутствии на всю Ивановскую. Запускал интернет-эксплорер со ссылкой xp-shield.com. На этом сайте меня стращали тем, что мой комп вот-вот умрет от вирусонаселености.
Не поддавшись панике, начал расследование. Во-первых, нашел запись в реестре каталога Run примерно такую запись: rundll32.exe "...\svsole.dll". Ну думаю, гадость. Удалил ветку, 0 эмоций. При перезагрузке софтина опять продолжала агитаторскую деятельность, запись в реестре восстанавливалась. Однако уверенности в том, что именно там живет вирус, не было.
Когда появилась очередная мессага о том, что мне срочно нужно заплатить N+1 баксов, вычислил процесс родителя. Родителем оказался exporer.exe. Посмотрев на используемые им dll-модули, обнаружил уже знакомую svsole.dll. Уверенность окрепла.
Перезагрузился с использованием Live CD, переименовал библиотечку. Перезагрузился в домашнюю ось. И! Никакой рекламы!!! Удалил ветку в реестре и все! Это чудо техники меня больше не беспокоит
Поковырявшись в дизасме, убедился, что прога очень интересная. Лезет в комп различными путями, в зависимости от прав пользователя. Пути, которые я выявил:
1) в реестре себя прописывает;
2) регистрируется службой (у меня не получилось — я под ограниченным пользователем ]:->)
3) регистрируется СОМ-сервером;
4) лезет в эксплорер при его запуске (при помощи хуков);
5) регистрируется компонентом iexplore.
Мало того, создает сервис в зависимости от того, NT "под ногами", или нет! В общем, зачетный шпион попался!
Здравствуйте, StandAlone, Вы писали:
SA>И тратить время не на борьбу с вирями, а с правильной осью — выбирать дистрибутивы, курить маны и рыться по форумам.
Это работа. За меня ось выбрали. А вообще я и линукс и виндовс ковыряю. Мозгу полезно знать все...
Здравствуйте, MikePetrichenko, Вы писали:
RO>>На правильном пути — это поставить правильную ОС. MP>Symbian?
Сказали же: "правильную ОС", а ты тут Symbian предлагаешь...
Здравствуйте, Cyberax, Вы писали:
RO>>>На правильном пути — это поставить правильную ОС. MP>>Symbian? C>Сказали же: "правильную ОС", а ты тут Symbian предлагаешь...
Здравствуйте, __kain, Вы писали:
__>Здравствуйте, StandAlone, Вы писали:
SA>>И тратить время не на борьбу с вирями, а с правильной осью — выбирать дистрибутивы, курить маны и рыться по форумам.
__>Это работа. За меня ось выбрали. А вообще я и линукс и виндовс ковыряю. Мозгу полезно знать все...
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, MikePetrichenko, Вы писали:
RO>>>На правильном пути — это поставить правильную ОС. MP>>Symbian? C>Сказали же: "правильную ОС", а ты тут Symbian предлагаешь...
А как давно Symbian стала End User Application? Не дадите ссылочку на сею новость?
Хотя, автор, видимо, имел ввиду Amiga OS или Mac OS X. А, может быть, Русскую Операционную Систему.. Кто его знает, что для него Правильная ОС. Для меня — та которая работает. У меня все (кроме РОС) работают без проблем — так что, могу сказать, что все они — правильные.
Здравствуйте, MikePetrichenko, Вы писали:
MP>А как давно Symbian стала End User Application? Не дадите ссылочку на сею новость?
MP>Хотя, автор, видимо, имел ввиду Amiga OS или Mac OS X. А, может быть, Русскую Операционную Систему.. Кто его знает, что для него Правильная ОС. Для меня — та которая работает. У меня все (кроме РОС) работают без проблем — так что, могу сказать, что все они — правильные.
Я думаю, речь велась о клоне CP\M от Sinclair Research LTD.
Здравствуйте, StandAlone, Вы писали:
SA>Ничего, погуляй по сети на ослике, еще насмотришься на всю эту фауну. Они на осла летят, как москиты на запах крови.)
Ослик (emule?) взламывается или под его видом проникают?
Здравствуйте, Ватакуси, Вы писали:
В>Здравствуйте, StandAlone, Вы писали:
SA>>Ничего, погуляй по сети на ослике, еще насмотришься на всю эту фауну. Они на осла летят, как москиты на запах крови.)
В>Ослик (emule?) взламывается или под его видом проникают?
Под "осликом" как правило подразумевают IE, при этом почему-то считая, что он менее безопасен нежели (к примеру) firefox.
Мне как-то пришлось запортить один exe-файл, чтобы реестр почистить. Просто вошел в редактирование и стер первые символы. Смешно даже было: процесс запускается и сразу убивается.
Здравствуйте, MikePetrichenko, Вы писали:
C>>Сказали же: "правильную ОС", а ты тут Symbian предлагаешь... MP>А как давно Symbian стала End User Application? Не дадите ссылочку на сею новость?
Symbian — не ОС, а уже зомби. Он умер и теперь пытается заховать мозги программистов, которые под него имеют несчастье писать.
MP>Хотя, автор, видимо, имел ввиду Amiga OS или Mac OS X. А, может быть, Русскую Операционную Систему.. Кто его знает, что для него Правильная ОС. Для меня — та которая работает. У меня все (кроме РОС) работают без проблем — так что, могу сказать, что все они — правильные.
Ну тогда попробуй GNU Hurd
Здравствуйте, kochetkov.vladimir, Вы писали:
RO>>На правильном пути — это поставить правильную ОС. KV>Согласен на все 100%. Давно пора на висту переходить...
Кстати, Windows Vista запускает файлы, указанные в autorun.inf на флешках?
Тут у нас очень популярен вирус, который живет на флешках под именем udisk.exe и автозапускается. Если в компьютер без антивируса сунуть такую флешку, то вне зависимости от радиуса кривизны рук он заразится.
Здравствуйте, __kain, Вы писали:
RO>>>>На правильном пути — это поставить правильную ОС. MP>>>Symbian? C>>Сказали же: "правильную ОС", а ты тут Symbian предлагаешь... __>Ой, чую, скоро опять народ начнет осями меряться
Здравствуйте, Cyberax, Вы писали:
C>Symbian — не ОС, а уже зомби. Он умер и теперь пытается заховать мозги программистов, которые под него имеют несчастье писать.
Пошел забивать в свои телефоны осиновые колы и поливать их святой водой...
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, kochetkov.vladimir, Вы писали:
RO>>>На правильном пути — это поставить правильную ОС. KV>>Согласен на все 100%. Давно пора на висту переходить...
RO>Кстати, Windows Vista запускает файлы, указанные в autorun.inf на флешках?
UAC — наше все.
RO>Тут у нас очень популярен вирус, который живет на флешках под именем udisk.exe и автозапускается. Если в компьютер без антивируса сунуть такую флешку, то вне зависимости от радиуса кривизны рук он заразится.
У нас такие вирусы не очень популярны, т.к. автозапуск запрещен групповой политикой
Здравствуйте, kochetkov.vladimir, Вы писали:
RO>>Кстати, Windows Vista запускает файлы, указанные в autorun.inf на флешках?
KV>UAC — наше все.
А что, ваше всё даже не позволит вирусу подключиться к 25-му порту и отправить тысячу-другую мусорных сообщений? Кстати, будет ли ему позволено записаться в автозагрузку? Все действия вируса непривилегированные: записать копию себя на флешку, записать копию себя на винчестер, отправить немножко спама, обозначиться в папке «Автозагрузка», или в реестре, или в «Планировщике задач».
RO>>Тут у нас очень популярен вирус, который живет на флешках под именем udisk.exe и автозапускается. Если в компьютер без антивируса сунуть такую флешку, то вне зависимости от радиуса кривизны рук он заразится.
KV>У нас такие вирусы не очень популярны, т.к. автозапуск запрещен групповой политикой ;)
Проблема-то в том, что у 99% пользователей он-таки разрешен. Но ты отклоняешься — всё-таки интересно, автозапускает ли Windows Vista файлы с флешек?
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, kochetkov.vladimir, Вы писали:
RO>>>Кстати, Windows Vista запускает файлы, указанные в autorun.inf на флешках?
KV>>UAC — наше все.
RO>А что, ваше всё даже не позволит вирусу подключиться к 25-му порту и отправить тысячу-другую мусорных сообщений?
Оно не позволит запуститься с флешки неизвестному exe'шнику без согласия пользователя.
RO>>>Тут у нас очень популярен вирус, который живет на флешках под именем udisk.exe и автозапускается. Если в компьютер без антивируса сунуть такую флешку, то вне зависимости от радиуса кривизны рук он заразится.
KV>>У нас такие вирусы не очень популярны, т.к. автозапуск запрещен групповой политикой
RO>Проблема-то в том, что у 99% пользователей он-таки разрешен. Но ты отклоняешься — всё-таки интересно, автозапускает ли Windows Vista файлы с флешек?
Я понятия не имею, а проверить сейчас не на чем. Сорри Подозреваю, что не автозапускает.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>UAC — наше все. RO>>А что, ваше всё даже не позволит вирусу подключиться к 25-му порту и отправить тысячу-другую мусорных сообщений? KV>Оно не позволит запуститься с флешки неизвестному exe'шнику без согласия пользователя.
Это как, оно будет спрашивать пароль при запуске каждого исполняемого файла с флешки? Как же тогда использовать Firefox Portable и компанию? Странно.
RO>>На правильном пути — это поставить правильную ОС. SA>И тратить время не на борьбу с вирями, а с правильной осью — выбирать дистрибутивы, курить маны и рыться по форумам.
Вы плохо себе представляете правильную ось, если хотите бороться с осью — будете бороться, если хотите работать в ней — будете только работать.
Вот поэтому и есть выбор дистрибутивов, на любой вкус имеются. А в винде одна дорога, и та терниста.
Roman Odaisky пишет:
> Это как, оно будет спрашивать пароль при запуске каждого исполняемого > файла с флешки? Как же тогда использовать Firefox Portable и компанию?
нет, оно закрывает экран сереньким, а поверх выводит диалог — дорогой
юзер, а правда ли ты хочешь запустить вот этот вов exe, неподписанный
мелкософтом?
Идея хорошая, реализация так себе (тот же керио или киса умеют больше),
пользы 50/50 — домохозяйки обычно жмут Да не читая.
Антивирус с проактивной защитой — наше все...
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>>UAC — наше все. RO>>>А что, ваше всё даже не позволит вирусу подключиться к 25-му порту и отправить тысячу-другую мусорных сообщений? KV>>Оно не позволит запуститься с флешки неизвестному exe'шнику без согласия пользователя.
RO>Это как, оно будет спрашивать пароль при запуске каждого исполняемого файла с флешки? Как же тогда использовать Firefox Portable и компанию? Странно.
Блин, да с чего вы все взяли, что UAC пароль спрашивает? Дурное влияние sudo?
kochetkov.vladimir пишет:
> Под "осликом" как правило подразумевают IE, при этом почему-то считая, > что он менее безопасен нежели (к примеру) firefox.
в IE длительное время существовала бага, через которую можно было
создать экземпляр ActiveX filesystemobject, и с его помощью от учетки
текущего юзера делать на винте что вздумается. В SP2 это наконец-то закрыли.
Потом было несколько переполнений буфера. Тоже закрыли.
В фоксе тоже находили, и закрывали. Просто благодаря малой популярности
фокса, большинство атак идет все таки IE only. Но глядя как растет
популярность фокса... через пару годиков посмотрим в общем
PS: сам юзаю главным образом Макстон2 и грин браузер — они умудряются
пресекать деструктивные действия IE-шного ядра — например некоторые
эксплойты в голом ИЕ работают а в макстоне показывают джаваскриптовую
ошибку
Здравствуйте, __kain, Вы писали:
__>На днях пофиксил шпиЁна, пребываю в радостном возбуждении Хочу поделиться радостью
Лично я подзабил на антивирусы и прибегаю к ним в крайнем случае. Пока что если подхватил заразу, спасаюсь через Google + AVZ
Google помогает найти техническую инфу, AVZ найти и вычистить основные места проживания. Хуже, конечно, когда поголовно заражаются экзешники. Тут помогает только использование антивиря.
Здравствуйте, Infix, Вы писали:
I>Мне как-то пришлось запортить один exe-файл, чтобы реестр почистить. Просто вошел в редактирование и стер первые символы. Смешно даже было: процесс запускается и сразу убивается.
Еще помогает переименование файла и создание на его месте одноименного каталога. Очень весело смотрится, когда при старте системы этот каталог "сам" открывается. Ну а дальше autoruns, и вперед, чистить реестр!
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, __kain, Вы писали:
__>>Но в целом я на правильном пути
RO>С чего ты взял?
RO>На правильном пути — это поставить правильную ОС.
Предлагаю новый opensource проект: создать большой набор вирусов, троянов и червей для правильных ОС, а то люди скучают...
Хочу поделиться радостью 
Но в целом я на правильном пути 
