Кто-нибудь разбирается в современных вирусах? Подскажите, откуда они берутся. Некоторое время назад у меня начал как-то странно работать комп (XP, обновления, выход в интернет через выделенку, стало подвисать выключение), я прогнал под ним Cure It!, тот обнаружил два с лишним десятка (!) троянцев (troyan) и червей (worms) в каталогах системы и временных интернетных файлах. Меня это неприятно поразило. Все это было вычищено, троянцы списаны на хак через локальную сеть, компьютер переключен на другого провайдера (МТС, доступ по WiFi), винда переустановлена (обновления отключены). Спустя некоторое время обнаруживаются еще трое троянцев в системных каталогах. Попытки выяснить, что это за троянцы в интернетной вирусэнциклопедии успехом не увенчались — там только описание, что эти троянцы делают, но не пути их проникновения на машину. Может кто может подсказать, как они попадают ко мне? Возможные пути видятся так.
1. Прямой хак через локальную сеть или инет адресу. У МТС компьютеры не видят друг друга, вроде у таких больших провайдеров все сидят за роутером (то есть не имеют непосредственного инет адреса). Исключается?
2. Хак через софт, которым лазят по интернету. Эксплорер почти не использую, использую Оперу. Разве к ней есть эксплоиты и ее вообще кто-то пытается ломать в таких количествах? Исключается?
3. Хак через присылание гадостей по е-мылу. Использую The Bat!, exe-вложения практически не приходят и тем более не запускаются. Исключается?
4. Хак через скачиваемый из инета софт. Иногда что-то скачиваю, но не в таких диких количествах, чтобы вылезали десятки троянцев. И было всего одно срабатывание на файлах, скачанных из инета (почему-то дистрибутив o'caml'а). Исключается?
5. Хак через скачиваемое из инета doc-файло. Отец скачивает такое в больших количествах. Кто-нибудь знает, сейчас есть вирусы под Ворд, он их не отсекает? Мне этот вариант казался реальным, но ни Cure It!, ни Касперский (свежие) в этих doc-файлах ничего не находят. Исключается?
6. Хак через WiFi-соединение. В принципе в списке доступных беспроводных сетей видна пара машин, но опять-таки выглядит странным, чтобы они при взломе засылали ко мне десятки троянцев. И потом, все это было и до WiFi'я. Исключается?
7. Хак через переносные флешки (сейчас популярно). Практически не приносятся, был всего один случай (и, кстати, с вирусом), но уже после первой серии этих событий и вирус там был только один. Исключается?
Еше интересно, что у меня сейчас есть второй компьютер, на котором стоит тот же софт и который подключен к инету через того же провайдера, но только не качаются doc-файлы в таких количествах и подключение не через WiFi, а через Ethernet. На нем все чисто.
В общем, я в серьезных непонятках, откуда оно просачивается? Кто что думает? Пока из идей есть только одна — скинуться, купить себе Касперского и посмотреть, но это стоит денег и у меня, откровенно говоря, есть сомнения, что он сможет выловить всю гадость, когда она идет таким мощным потоком, тут явно надо перекрывать канал поставки наркотиков, а не ловить мелких торговцев.
And if you listen very hard the alg will come to you at last.
Здравствуйте, subdmitry, Вы писали:
S>1. Прямой хак через локальную сеть или инет адресу.
Вполне возможно, но только, если сидишь в иннет под внешним адресом.
S>У МТС компьютеры не видят друг друга, вроде у таких больших провайдеров все сидят за роутером (то есть не имеют непосредственного инет адреса). Исключается?
Ну вообще-то, нормальный провайдер выдает именно интернет адрес. Но wifi и МТС — скорее всего будет частный...
S>2. Хак через софт, которым лазят по интернету. Эксплорер почти не использую, использую Оперу. Разве к ней есть эксплоиты и ее вообще кто-то пытается ломать в таких количествах? Исключается?
Бывают дыры в самой винде, которые эксплуатируются через special crafted html независимо от браузера (но редко).
S>3. Хак через присылание гадостей по е-мылу. Использую The Bat!, exe-вложения практически не приходят и тем более не запускаются. Исключается?
Скорее всего.
S>4. Хак через скачиваемый из инета софт. Иногда что-то скачиваю, но не в таких диких количествах, чтобы вылезали десятки троянцев. И было всего одно срабатывание на файлах, скачанных из инета (почему-то дистрибутив o'caml'а). Исключается?
Выделенное не верно — как правило на машину садится Downloader, который уже качает и качает...
S>5. Хак через скачиваемое из инета doc-файло. Отец скачивает такое в больших количествах. Кто-нибудь знает, сейчас есть вирусы под Ворд, он их не отсекает? Мне этот вариант казался реальным, но ни Cure It!, ни Касперский (свежие) в этих doc-файлах ничего не находят. Исключается?
Макровирусы, возможно, еще есть, но уже много лет офис идет в режиме средней безопасности по умолчанию, а значит предупреждает о наличии макросов в документе.
S>6. Хак через WiFi-соединение. В принципе в списке доступных беспроводных сетей видна пара машин, но опять-таки выглядит странным, чтобы они при взломе засылали ко мне десятки троянцев. И потом, все это было и до WiFi'я. Исключается?
Еще раз замечу, что достаточно одного.
А вообще хак через wifi — ИМХО, экзотика (кому это интересно?). Правда, если точка доступа открыта всем ветрам, то какой-нибудь любопытный сосед может и искуситься.
S>7. Хак через переносные флешки (сейчас популярно). Практически не приносятся, был всего один случай (и, кстати, с вирусом), но уже после первой серии этих событий и вирус там был только один. Исключается?
Да почему же... Несмотря на идентичный способ посадки тупые антивирусы упорно не замечают очередную модификацию..
Проводник на Far замени и понаблюдай, что там на флешках носят...
S>Еше интересно, что у меня сейчас есть второй компьютер, на котором стоит тот же софт и который подключен к инету через того же провайдера, но только не качаются doc-файлы в таких количествах и подключение не через WiFi, а через Ethernet. На нем все чисто.
Ну
"subdmitry" <74969@users.rsdn.ru> wrote in message news:3303526@news.rsdn.ru...
> Кто-нибудь разбирается в современных вирусах? Подскажите, откуда они берутся. Некоторое время назад у меня начал как-то странно работать комп (XP, обновления, выход в интернет через выделенку, стало подвисать выключение), я прогнал под ним Cure It!, тот обнаружил два с лишним десятка (!) троянцев (troyan) и червей (worms) в каталогах системы и временных интернетных файлах. Меня это неприятно поразило. Все это было вычищено, троянцы списаны на хак через локальную сеть, компьютер переключен на другого провайдера (МТС, доступ по WiFi), винда переустановлена (обновления отключены). Спустя некоторое время обнаруживаются еще трое троянцев в системных каталогах. Попытки выяснить, что это за троянцы в интернетной вирусэнциклопедии успехом не увенчались — там только описание, что эти троянцы делают, но не пути их проникновения на машину. Может кто может подсказать, как они попадают ко мне? Возможные пути видятся так.
Насчет "десятков" троянов — это больше похоже на параною антивируса. Ну типа как кот дохлых мышей хозяину приносит, полезность доказать Обычно все, на что они ругаются во временных интернетных файлах — это всякие хитрые куки или неактивные трояны. Т.е., скачатся-то эти трояны скачались, а вот запуститься — фигушки, то ли опера не той системы, то ли вообще линукс на машине.
Ну вот а оставшиеся 2-3 в системных каталогах — это уже вполне вероятно то, чему таки удалось "ожить".
Posted via RSDN NNTP Server 2.1 beta
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, subdmitry, Вы писали:
S>Кто-нибудь разбирается в современных вирусах? Подскажите, откуда они берутся.
Однажды на рабочий компьютер засадил вирусы очень круто, просто сайт, на который я часто ходил (не порнуха, нормальный, хотя и не слишком популярный сайт), сломали и при посещении через дырки в IE заливались вирусы. Помогла только переустановка, но ее смог сделать только через пару месяцев, т.к. не мог достаточно надолго рабочий компьютер из строя вывести, всё это время жил с постоянно (десятки в секунду) вываливающимися сообщениями, что антивирус заблокировал рассылку спама.
На подозрительных сайтах (порнуха) вирусы может рассаживать сам владелец сайта, а не хакеры. Т.е. не надо по возможности ходить на подозрительные сайты, по возможности не пользоваться IE, по возможности не ходить на подозрительные сайты через IE. Насчет Firefox не знаю, становиться популярнее, следовательно лучше брать Opera, наверное, хотя сам с тех пор пересел на Firefox, кроме всяких систем где ничего кроме IE не работает, типа банк-клиентов и прочего. Пока полет нормальный.
Еще сейчас на флешках очень часто вирусы приносят. Autorun отключать сразу после установки Windows навсегда. Сам так не заражался, но на работе не у всех отключен autorun, так часто спрашивают, что делать, потому что антивирус autorun блокирует, а при щёлкании в Проводнике, он все время пытается запуститься, и окошко с содержимым флешки не открывается. Очень часто спрашивают.
РМ>а при щёлкании в Проводнике, он все время пытается запуститься, и окошко с содержимым флешки не открывается. Очень часто спрашивают.
А ты им тайну правой кнопки открой
Спасибо за консультацию.
S>>2. Хак через софт, которым лазят по интернету. Эксплорер почти не использую, использую Оперу. Разве к ней есть эксплоиты и ее вообще кто-то пытается ломать в таких количествах? Исключается? DOO>Бывают дыры в самой винде, которые эксплуатируются через special crafted html независимо от браузера (но редко).
Ага, вот это подозрительно.
S>>4. Хак через скачиваемый из инета софт. Иногда что-то скачиваю, но не в таких диких количествах, чтобы вылезали десятки троянцев. И было всего одно срабатывание на файлах, скачанных из инета (почему-то дистрибутив o'caml'а). Исключается?
DOO>Выделенное не верно — как правило на машину садится Downloader, который уже качает и качает...
Downloader там был. Однако как-то странно, что оно все так размазалось по разным каталогам. Имхо если бы кто-то делал эту пакость, он бы все это делал более-менее стандартно.
S>>5. Хак через скачиваемое из инета doc-файло. Отец скачивает такое в больших количествах. Кто-нибудь знает, сейчас есть вирусы под Ворд, он их не отсекает? Мне этот вариант казался реальным, но ни Cure It!, ни Касперский (свежие) в этих doc-файлах ничего не находят. Исключается? DOO>Макровирусы, возможно, еще есть, но уже много лет офис идет в режиме средней безопасности по умолчанию, а значит предупреждает о наличии макросов в документе.
Спасибо, буду знать.
S>>7. Хак через переносные флешки (сейчас популярно). Практически не приносятся, был всего один случай (и, кстати, с вирусом), но уже после первой серии этих событий и вирус там был только один. Исключается? DOO>Да почему же... Несмотря на идентичный способ посадки тупые антивирусы упорно не замечают очередную модификацию.. DOO>Проводник на Far замени и понаблюдай, что там на флешках носят...
Я смотрел во Фригате, там был один запуск программы из папки RECYCLER, сразу стало понятно, что это за зверь.
Кстати, подсказали тут народное средство от таких вирусов — создать на флешке каталог с названием autorun.inf, тогда такой файл не создается.
And if you listen very hard the alg will come to you at last.
Здравствуйте, Sergey, Вы писали:
S>Насчет "десятков" троянов — это больше похоже на параною антивируса. Ну типа как кот дохлых мышей хозяину приносит, полезность доказать Обычно все, на что они ругаются во временных интернетных файлах — это всякие хитрые куки или неактивные трояны. Т.е., скачатся-то эти трояны скачались, а вот запуститься — фигушки, то ли опера не той системы, то ли вообще линукс на машине. S>Ну вот а оставшиеся 2-3 в системных каталогах — это уже вполне вероятно то, чему таки удалось "ожить".
Их там было побольше, я так уже не помню, где-то с половину. Что очень странно.
And if you listen very hard the alg will come to you at last.
Это уже который по счету отчет о последствиях новенького вируса. Поставь себе Идеологически Правильную операционную систему и перестань пугать RSDN. Получится одно из двух: или ты установишь новую ОС, настроишь и будешь радоваться жизни, или у тебя ничего не выйдет и испортишь себе винчестер. В обоих случаях на твоем компьютере не будет ни одного вируса.
DOO>>Выделенное не верно — как правило на машину садится Downloader, который уже качает и качает...
S>Downloader там был. Однако как-то странно, что оно все так размазалось по разным каталогам. Имхо если бы кто-то делал эту пакость, он бы все это делал более-менее стандартно.
Вот уж неверно — он качает всякую лажу, а уж куда та установится — только ей и ведомо.
S>>>7. Хак через переносные флешки (сейчас популярно). Практически не приносятся, был всего один случай (и, кстати, с вирусом), но уже после первой серии этих событий и вирус там был только один. Исключается? DOO>>Да почему же... Несмотря на идентичный способ посадки тупые антивирусы упорно не замечают очередную модификацию.. DOO>>Проводник на Far замени и понаблюдай, что там на флешках носят... S>Я смотрел во Фригате, там был один запуск программы из папки RECYCLER, сразу стало понятно, что это за зверь.
Вот — тебе понятно, а антивирусы могут спокойно в упор не видеть. Поэтому полезно иметь что-то, не поддерживающее авторан вовсе.
S>Кстати, подсказали тут народное средство от таких вирусов — создать на флешке каталог с названием autorun.inf, тогда такой файл не создается. Вариант.
Здравствуйте, subdmitry, Вы писали:
S>В общем, я в серьезных непонятках, откуда оно просачивается? Кто что думает? Пока из идей есть только одна — скинуться, купить себе Касперского и посмотреть, но это стоит денег и у меня, откровенно говоря, есть сомнения, что он сможет выловить всю гадость, когда она идет таким мощным потоком, тут явно надо перекрывать канал поставки наркотиков, а не ловить мелких торговцев.
На Касперского уже скидываться надо? Однако, действительно кризис наступил...
Ты пользуешься Оперой. А отец чем пользуется? Может, стоит прописать в настройках IE несуществующий прокси, вроде 127.0.0.1:64000? Чтобы он вообще в инет не мог выйти.
Проводник не нужен. Пользоваться надо фаром, тоталом и прочим. Автозапуск вообще откючить, можно через AVZ, можно запретить службу "Определение оборудования оболочки"
Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже.
Можно поставить какую-нибудь проактивную защиту, в свое время меня Tiny Firewall Pro спас от файлового вируса с купленого в магазине диска. Существует также пиратский Outpost, бесплатные Comodo, CoreForce.
Но самый радикальный метод — не работать под учетной записью с правами администратора. Или просто запускать браузер из под обычного пользователя, через runas. Пусть зараза попробует пробить встроенную защиту винды, это им не антивирусы обманывать бесконечным числом вариантов, которые все предусмотреть нельзя по определению.
Еще, насчет оперы — есть такая разновидность заразы — "информеры", горизонтальная панелька в треть окна браузера, с порнушной рекламой. Информеры просят денег по смс за свое удаление, сделаны они как плагины для браузера, легко убираются штатными средствами. Некоторые мужчины средних лет таки отправляют смс... обычно, после четвертой бесполезной смс стоимостью в 300 рублей, у людей наступает просветление и они вызывают специалистов. Итак, однажды я видел информер, работавший и в опере, и в IE. Это была одна и та же dll, но, вроде бы, у этих браузеров должны быть разные форматы плагинов. Может, опера как-то IE в своей работе использует? Хотя, наверное эта dll содержит в себе сразу два плагина, этакая кроссплатформенность. Если учесть, что опера в нашей стране весьма популярна, почему бы не использовать ее уязвимости?
А вот что вас ломают по локальной сети, через GPRS и прочее, очень сомневаюсь.
Здравствуйте, DOOM, Вы писали:
РМ>>а при щёлкании в Проводнике, он все время пытается запуститься, и окошко с содержимым флешки не открывается. Очень часто спрашивают. DOO>А ты им тайну правой кнопки открой
Честно говоря, себе дороже.
Здравствуйте, waricom-11, Вы писали:
W1>Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже.
как говорится, без комментариев. Ты бы ещё предложил кряк методом замены бинарника
А если по делу, и хочется бесплатного антивируса, то или AVG (сам пользовался несколько лет и был очень доволен, но под Вистой он у меня не заработал ), или, например, Касперский, который можно поставить бесплатно вместе с Яндексовским мессенджером.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, Roman Odaisky, Вы писали:
RO>Это уже который по счету отчет о последствиях новенького вируса. Поставь себе Идеологически Правильную операционную систему и перестань пугать RSDN.
Правильно! Нечего весь RSDN пугать. Пусть своими сообщениями потом пугает только "Unix" и "КСВ"
RO>Получится одно из двух: или ты установишь новую ОС, настроишь и будешь радоваться жизни,
Расшифровываю: будешь рад что вообще остался жив после такого траха с новой ОС.
RO>или у тебя ничего не выйдет и испортишь себе винчестер. В обоих случаях на твоем компьютере не будет ни одного вируса.
Есть еще третий вариант... Ему будет тупо не до вирусов с неработающей сетевухой, модемами, bluetooth и т.п. смотря куда его кривая unix-way'я выведет
Народ, да забейте вы на антивирусы. Ничем, в случае 0-day атаки, они помочь уже давным-давно не могут. Работая из под непривилегированной учетки, держа систему и сопутствующий софт пропатченными + закрытыми от внешних воздействий элементарным файрволом, и соблюдая основные правила сетевой гигиены, вы избежите 95% существующей ныне заразы. Причем это справедливо для всех православных ОС как по Одайскому, так и по Кочеткову От оставшихся 5%, антивирусы справятся с еще 2-3%%, не больше. Остальные — ваши, при любом раскладе. И получается, что те 1500р, которые топикстартер предлагает почему-то собрать скинувшись, уходят на минимизацию 2-3%% угроз от общего числа, при этом, еще и отжирая ресурсы, как минимум, процессора и время/нервы самого пользователя (я про проактивную защиту касперского и ложные срабатывания на все подряд).
Это я как безопасник со стажем говорю, если что
По теме же, из всех перечисленных причин наиболее вероятными векторами атак в данном случае представляются два:
1. Заражение во внутренней сети провайдера (меня терзают смутные сомнения, что при определенных обстоятельствах компы в сети МТС к друг-другу таки-успешно достукиваются)
2. Заражение через флешки (кто сказал, что за все время там был только одна зараза? Антивирус? ).
Здравствуйте, subdmitry, Вы писали:
S>Кто-нибудь разбирается в современных вирусах? Подскажите, откуда они берутся.
Встречаются на бескрайних просторах интернета доблестный вирус полиморфный на троянском коне с прекрасной адварью, и появляются у них дети, сначала в виде маленький червячков...
S>В общем, я в серьезных непонятках, откуда оно просачивается? Кто что думает? Пока из идей есть только одна — скинуться, купить себе Касперского и посмотреть, но это стоит денег и у меня, откровенно говоря, есть сомнения, что он сможет выловить всю гадость, когда она идет таким мощным потоком, тут явно надо перекрывать канал поставки наркотиков, а не ловить мелких торговцев.
Я сам недавно пострадал от одной нечисти, пришлось систему сносить, развлечение на выходные своеобразное. Раньше юзал AVG, но почитав обзоры в интернете, решил купить ESET NOD32. Стоит всего 1000р на год. Вроде лучший по версии Virus Bulletin, ну если не лучший, то совсем неплохие результаты. Касперский по отзывам тормозит, сам когда пользовался 6й версией, ужасно тормозило всю систему.
Лично я заразился через флешку, поставив NOD32, я сделал небольшой эксперимент, вставил зараженную флешку и оно сразу убило его без вопросов. Именно то поведение, которое я хотел. Т.к. когда я заражался, мой племянник по незнаю нажал Ignore, когда AVG спросило, что делать с вирусом на флешке.
Lisp is not dead. It’s just the URL that has changed: http://clojure.org
W1>На Касперского уже скидываться надо? Однако, действительно кризис наступил...
Ты себя ниже почитай...
W1>Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже.
Хоть бы тот же AVZ или ClamWin порекомендовал. Не стыдно ворованное предлагать?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Народ, да забейте вы на антивирусы. Ничем, в случае 0-day атаки, они помочь уже давным-давно не могут. Работая из под непривилегированной учетки, держа систему и сопутствующий софт пропатченными + закрытыми от внешних воздействий элементарным файрволом, и соблюдая основные правила сетевой гигиены, вы избежите 95% существующей ныне заразы. Причем это справедливо для всех православных ОС как по Одайскому, так и по Кочеткову От оставшихся 5%, антивирусы справятся с еще 2-3%%, не больше. Остальные — ваши, при любом раскладе. И получается, что те 1500р, которые топикстартер предлагает почему-то собрать скинувшись, уходят на минимизацию 2-3%% угроз от общего числа, при этом, еще и отжирая ресурсы, как минимум, процессора и время/нервы самого пользователя (я про проактивную защиту касперского и ложные срабатывания на все подряд).
KV>Это я как безопасник со стажем говорю, если что
А ведь ставил, по-моему, мне минус, когда я написал в одной ветке, что антивирусы давно стали бесполезными...
Ну а вообще как безопасник со стажем (и еще вопрос у кого длиннее ) — подтверждаю...
Здравствуйте, yumi, Вы писали:
Y>Я сам недавно пострадал от одной нечисти, пришлось систему сносить, развлечение на выходные своеобразное. Раньше юзал AVG, но почитав обзоры в интернете, решил купить ESET NOD32. Стоит всего 1000р на год. Вроде лучший по версии Virus Bulletin, ну если не лучший, то совсем неплохие результаты.
Неееет. NOD это ужас-ужас. У него IMON работает в режиме IDS. Т.е. тебя предупредят, но вирус-то встанет в систему. Вот потом его и пытайся вырезать как можешь (надо ли говорить, что сам NOD не справится).
S>>Кстати, подсказали тут народное средство от таких вирусов — создать на флешке каталог с названием autorun.inf, тогда такой файл не создается. DOO> Вариант.
не вариант ... мне помогли локальные политики безопасности
хотя если форматнуть флешку в нтфс и задать права на этот файл — возможно и вариант — но я не пробовал
subdmitry пишет:
> Кстати, подсказали тут народное средство от таких вирусов — создать на > флешке каталог с названием autorun.inf, тогда такой файл не создается.
ну это только если вирь тупой и не проверяет результаты CreateFile
на одной подопытной машине зараза и папку прибила (скрытую и системную,
на нтфс, без права удаления админом или системой!) и себя положила куда
надо было
Здравствуйте, waricom-11, Вы писали:
W1>Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже.
лучше не пользоватся пиратским софтом) ибо часто в кейгенах и кряках, в последнее время, встречаются троянцы)
W1>Можно поставить какую-нибудь проактивную защиту, в свое время меня Tiny Firewall Pro спас от файлового вируса с купленого в магазине диска. Существует также пиратский Outpost, бесплатные Comodo, CoreForce.
сам пользуюсь бесплатной Avira — мне нравится))) есть еще бесплатный Avast) можно поставить вот это http://www.virustotal.com/metodos.html и все скачиваемые с инета файлы проверять сразу всеми нормальными антивирусами с последними базами)))
W1>А вот что вас ломают по локальной сети, через GPRS и прочее, очень сомневаюсь.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, waricom-11, Вы писали:
W1>>На Касперского уже скидываться надо? Однако, действительно кризис наступил... DOO>Ты себя ниже почитай...
W1>>Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже. DOO>Хоть бы тот же AVZ или ClamWin порекомендовал. Не стыдно ворованное предлагать?
DOO>W1Существует также пиратский Outpost DOO>
Товарищ, я вас конечно очень уважаю за познания в линуксе, но сейчас мне очень хочется порекомендовать вам засунуться туда, откуда вы высунулись.
У человека проблема, и он просит помочь. Работающий антивирус, хоть честно купленый, хоть нет — одно из решений. А такие как вы, наверное, являются противниками абортов, ибо аморально.
Да, а чем же поможет ему AVZ? Или там уже антивирусный монитор появился, вдобавок к сканеру?
О ClamWin, цитата с интернетов
-----------
Сразу отмечу, что ClamWin Portable это только сканер, никаких резидентных антивирусных мониторов, защиты сетевых подключений и т.п. не присутствует. Его задача – проверка файлов на дисках и выявление незваных гостей.
-----------
Н-ну, это постоянная защита? А против уже запущенного руткита оно тоже поможет?
Здравствуйте, coba, Вы писали:
C>Здравствуйте, waricom-11, Вы писали: W1>>Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже. C>лучше не пользоватся пиратским софтом) ибо часто в кейгенах и кряках, в последнее время, встречаются троянцы)
КЫВТ уже не торт, однако...
Покажите мне слово "кряк" или "кейген" в моем сообщении. Да, а кто мешает запускать кейген под отдельной учетной записью (в виртуалке для параноиков)?
Файлик с лицензией, он же ключ — это просто конфиг с электронной подписью.
Файлы обновлений тоже наверняка подписаны, подделать невозможно. Где там вирусы?
W1>>Можно поставить какую-нибудь проактивную защиту, в свое время меня Tiny Firewall Pro спас от файлового вируса с купленого в магазине диска. Существует также пиратский Outpost, бесплатные Comodo, CoreForce.
C>сам пользуюсь бесплатной Avira — мне нравится))) есть еще бесплатный Avast) можно поставить вот это http://www.virustotal.com/metodos.html и все скачиваемые с инета файлы проверять сразу всеми нормальными антивирусами с последними базами)))
Не сидите под админом, и вам еще больше понравится. Особенно если удалить avira и увидеть, насколько возросла скорость системы.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Роман, вот это твое "+1" было нечестно, как удар ниже пояса :))
Так ты как раз выразил мои мысли, только другими словами. Разве что со второй твоей репликой я согласен лишь наполовину. Соответственно, можешь оттяпать у плюсика один из четырех хвостов, на усмотрение.
Здравствуйте, waricom-11, Вы писали:
W1>Н-ну, это постоянная защита? А против уже запущенного руткита оно тоже поможет?
Необходимым условием существования руткита в своевременно обновляемой системе есть использование административных прав для неадминистративных дел. Одним словом, ССЗБ.
- Ставишь виртуальную машину, под ней поднимаешь вторую ОС.
— Во внешней (реальной )ОС банишь файрволлом всякий сетевой трафик, исключение — процесс виртуальной машины.
— Пользуешься инетом только из виртуальной ОС.
— ???????
— PROFIT!
В случае поражения вирьём, виртуальная система запиливается обратно за пять секунд.
Здравствуйте, iiice, Вы писали:
I>- Ставишь виртуальную машину, под ней поднимаешь вторую ОС. I>- Во внешней (реальной )ОС банишь файрволлом всякий сетевой трафик, исключение — процесс виртуальной машины. I>- Пользуешься инетом только из виртуальной ОС. I>- ??????? I>- PROFIT!
I>В случае поражения вирьём, виртуальная система запиливается обратно за пять секунд.
Еще как вариант, Acronis True Image.
Lisp is not dead. It’s just the URL that has changed: http://clojure.org
Здравствуйте, coba, Вы писали:
C>лучше не пользоватся пиратским софтом) ибо часто в кейгенах и кряках, в последнее время, встречаются троянцы)
Спасибо, это было именно оно.
C>сам пользуюсь бесплатной Avira — мне нравится))) есть еще бесплатный Avast) можно поставить вот это http://www.virustotal.com/metodos.html и все скачиваемые с инета файлы проверять сразу всеми нормальными антивирусами с последними базами)))
Еще раз спасибо, только так разобрался. Многие трояны определяются только где-то половиной антивирусов, так что ловить их только каким-то одним довольно стремно, это народ правильно говорит.
W1>>А вот что вас ломают по локальной сети, через GPRS и прочее, очень сомневаюсь. C>тоже сомневаюсь)
Вообще у меня был один случай, когда по локальной сети пришел червь. Еще под Win2k.
Тогда еще такой теоритический вопрос про троянцы и вирусы. Что народ знает об их быстром обнаружении в системе своими силами? Я так понимаю, что они должны как-то себя прописать, чтобы запускаться при старте системы. Инструменты для просмотра всех автозапускаемых файлов у меня есть (в registry и start'овской папке автозагрузки). Как думаете, просмотра этих файлов будет достаточно для определения троянцев или есть еще какие-то пути их запуска?
And if you listen very hard the alg will come to you at last.
И еще вопрос — где можно отключить автозапуск autorun.inf на флешках? Это можно сделать опциями XP или нужны какие-то программы? В опциях XP я рылся, но такого там не припомню.
And if you listen very hard the alg will come to you at last.
Здравствуйте, subdmitry, Вы писали:
C>>сам пользуюсь бесплатной Avira — мне нравится)))
Да, приятная штука — сканирование работает быстро, не вызывая эффекта вымывания из памяти кода программ как у Касперского, после которого все начинает по-страшному тормозить. То есть можно что-то делать на машине в то время, когда она сканирует. И нашла довольно много всяких гадостей. Мои рекомендации.
And if you listen very hard the alg will come to you at last.
Здравствуйте, subdmitry, Вы писали:
S>Тогда еще такой теоритический вопрос про троянцы и вирусы. Что народ знает об их быстром обнаружении в системе своими силами?
Autoruns.exe от sysinternals.
Уже даже куча статей есть по поиску и устранению вирусов средствами утилит sysinternals — там подробно расписано что и как делать.
Здравствуйте, subdmitry, Вы писали:
S>И еще вопрос — где можно отключить автозапуск autorun.inf на флешках? Это можно сделать опциями XP или нужны какие-то программы? В опциях XP я рылся, но такого там не припомню.
А, все, нашел, не надо.
And if you listen very hard the alg will come to you at last.
Здравствуйте, DOOM, Вы писали:
DOO>А ведь ставил, по-моему, мне минус, когда я написал в одной ветке,
Не, по-моему, не ставил. Я просто из вредности чуть поспорил на эту тему. Хотя мог и поставить, хз
DOO>что антивирусы давно стали бесполезными...
"А картина не бесполезная! Она дырку на обоях загораживает...". Это я про прохождение всяких заморских аудитов типа SOX.
DOO>Ну а вообще как безопасник со стажем (и еще вопрос у кого длиннее ) — подтверждаю...
Ну у меня может стаж и не такой длинный, зато широкий до безобразия Если ты про стаж, конечно
Здравствуйте, x64, Вы писали:
I>>- Во внешней (реальной )ОС банишь файрволлом всякий сетевой трафик, исключение — процесс виртуальной машины.
x64>Ежели б всё было так просто...
В таком случае, назови успешные прецеденты атак, проведённых на уровнях ниже транспортного (т.е. на физическом, канальном и сетевом). Или приведи пример, когда указанная мной блокировка не спасает.
Здравствуйте, subdmitry, Вы писали:
S>5. Хак через скачиваемое из инета doc-файло. Отец скачивает такое в больших количествах. Кто-нибудь знает, сейчас есть вирусы под Ворд, он их не отсекает? Мне этот вариант казался реальным, но ни Cure It!, ни Касперский (свежие) в этих doc-файлах ничего не находят. Исключается?
S>Еше интересно, что у меня сейчас есть второй компьютер, на котором стоит тот же софт и который подключен к инету через того же провайдера, но только не качаются doc-файлы в таких количествах и подключение не через WiFi, а через Ethernet. На нем все чисто.
Сопоставляя эти факты легко понять, что заражается комп на котором сидит отец. Поскольку он качает только док файлы, можно сделать вывод, что он не является IT специалистом. Поэтому есть вероятность, что по незнанию лазит куда не следует и нажимает Yes там где совсем не нужно. Вобщем я бы рассматривал эту версию как основную, неопытный пользователь за компом самая легкая добыча для любой сетевой атаки.
Здравствуйте, Ziaw, Вы писали:
Z>Поэтому есть вероятность, что по незнанию лазит куда не следует и нажимает Yes там где совсем не нужно.
Не, я уже разобрался. Моя ошибка была в том, что я с доверием относился к продукции наших хакеров, а оказалось, что среди ее производителей очень много поганцев. Совет всем — все, что скачиваете от них (софт, краки, демки), обязательно проверяйте на virustotal.com.
And if you listen very hard the alg will come to you at last.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>"А картина не бесполезная! Она дырку на обоях загораживает...". Это я про прохождение всяких заморских аудитов типа SOX.
И не только... У нас тоже есть требования (в СТР-К том же).
DOO>>Ну а вообще как безопасник со стажем (и еще вопрос у кого длиннее ) — подтверждаю... KV>Ну у меня может стаж и не такой длинный, зато широкий до безобразия
KV>Если ты про стаж, конечно
Ну дык. Типа тонкий юмор
Здравствуйте, subdmitry, Вы писали:
S>Здравствуйте, subdmitry, Вы писали:
S>А еще avira нашла кучу троянцев в файлах с демками с assembly. Однако. Я был о хакерах лучшего мнения. Совать троянов в демки...
авира слишком параноидальна, она находит 110% вирусов))))) чтобы быть уверенным отправляй все на вирус тотал)
Здравствуйте, coba, Вы писали:
S>>А еще avira нашла кучу троянцев в файлах с демками с assembly. Однако. Я был о хакерах лучшего мнения. Совать троянов в демки...
C>авира слишком параноидальна, она находит 110% вирусов))))) чтобы быть уверенным отправляй все на вирус тотал)
БЛИН! А ведь и правда, она находит вирусы даже в демках типа 4k, то есть в таких, куда еле можно саму демку загнать, уж какого там троянца. На вирустотал треть антивирусов выдает алерты типа "подозрительно", "какой-то странный пакер". Сама же авира часть таких демок обзывает троянцами со натуральными троянистыми именами. Все это, увы, говорит об одном — авторы авиры не утруждают себя серьезным изучением приходящих к ним файлов и действуют по принципу "Ах, непонятный пакер? Троянец. Дадим ему имя, посчитаем хэш и в базу его!" Вот так вот и возникают десятки троянцев на машине у человека, качающего хакерские файлы. Извиняюсь перед хакерами — не такие уж они и плохие. Незачет авире.
Однако же, у меня Cure It! нашел при последнем сканировании 3 троянца на быстром сканировании, то есть, насколько я понимаю, при обзоре только того, что запускается на машине при старте. Так что все-таки эта зараза откуда-то лезет. Только, по-видимому, по сообщениям антивирусов понять что там есть что несколько сложно.
Вопрос к народу на засыпку — какие антивирусы в природе могут грамотно селектировать хакерские программы на мухи и котлеты? Желательно, думаю, или с поддержкой большого количества хакерских пакеров, или с эмулятором распаковки, умеющим вытаскивать код из-под любых распаковщиков.
Насчет ручной идентификации встроившейся в автозагрузку заразы. Узнал на sysinternals про существование т.н. rootkit'ов — программ, скрывающих свое существование в системе. В частности, возможно, что в registry списке загружаемых программ они не будут видны. Там есть утиль RootKitRevealer, который может их искать методом сравнения того, что читается в registry и на диске средствами API и на более низком уровне (при прямом чтении). В описании честно сказано, что можно и его обойти, подделав обмен и на низком уровне, но это достаточно сложно и пока таких rootkit'ов еще нет.
And if you listen very hard the alg will come to you at last.
Здравствуйте, subdmitry, Вы писали:
S>В описании честно сказано, что можно и его обойти, подделав обмен и на низком уровне, но это достаточно сложно и пока таких rootkit'ов еще нет.
Значит не совсем честно сказано. Есть такие руткиты
Здравствуйте, subdmitry, Вы писали:
S>Здравствуйте, coba, Вы писали:
S>>>А еще avira нашла кучу троянцев в файлах с демками с assembly. Однако. Я был о хакерах лучшего мнения. Совать троянов в демки...
C>>авира слишком параноидальна, она находит 110% вирусов))))) чтобы быть уверенным отправляй все на вирус тотал)
S>БЛИН! А ведь и правда, она находит вирусы даже в демках типа 4k, то есть в таких, куда еле можно саму демку загнать, уж какого там троянца. На вирустотал треть антивирусов выдает алерты типа "подозрительно", "какой-то странный пакер". Сама же авира часть таких демок обзывает троянцами со натуральными троянистыми именами. Все это, увы, говорит об одном — авторы авиры не утруждают себя серьезным изучением приходящих к ним файлов и действуют по принципу "Ах, непонятный пакер? Троянец. Дадим ему имя, посчитаем хэш и в базу его!" Вот так вот и возникают десятки троянцев на машине у человека, качающего хакерские файлы. Извиняюсь перед хакерами — не такие уж они и плохие. Незачет авире.
у авиры не такие уж и большие базы, вирусы она ищет за счет эвристики, потому так много ложных срабатываний на демках — ведь демка на 4к содержит очень много всяческих извращений по сжатию каторые используют и современные вирусы...
S>Насчет ручной идентификации встроившейся в автозагрузку заразы. Узнал на sysinternals про существование т.н. rootkit'ов — программ, скрывающих свое существование в системе. В частности, возможно, что в registry списке загружаемых программ они не будут видны. Там есть утиль RootKitRevealer, который может их искать методом сравнения того, что читается в registry и на диске средствами API и на более низком уровне (при прямом чтении). В описании честно сказано, что можно и его обойти, подделав обмен и на низком уровне, но это достаточно сложно и пока таких rootkit'ов еще нет.
если хочеш боротся с руткитами тогда искать тут http://www.antirootkit.com/blog/ , там представленны почти все антируткит программы)
Здравствуйте, coba, Вы писали:
C>у авиры не такие уж и большие базы, вирусы она ищет за счет эвристики, потому так много ложных срабатываний на демках — ведь демка на 4к содержит очень много всяческих извращений по сжатию каторые используют и современные вирусы...
Мнэ. Вообще-то по ее выдаче в некоторых случаях можно догадаться, что сработала эвристика (вообще можно было бы и явно говорить "файл подозрителен на трояна", а не "это троян"). Это когда вылазят имена вроде TR/Crypt.Gen. Но иногда она выдает имена с циферками типа TR/Blabla.12345.G на явно добропорядочных демках, что наводит на подозрения, что в нее просто очень много забито всяких подозрительных хакерских файлов. Ну оно и понятно, более-менее аккуратный реверсинг программы требует большого времени, вот авировцы и халтурят.
Причем похоже что на Западе такая халтура в норме вещей. У меня Нортон Антивирус тоже выдал кучу явно ложных срабатываний, в частности на один распаковщик PE EXE продиагностировал, что он hacktool, и отправил все это в карантин (такой режим был установлен по дефолту), откуда не оказалось нормального восстановления в исходное состояние. Я много ругался.
Вопрос о существовании нормальных антивирусов, которые бы находили более-менее много угроз всех типов, имели и режим сканера, и режим guard, не грузили систему как Касперский и нормально реагировали на хакерские файлы, остается открытым.
And if you listen very hard the alg will come to you at last.
Здравствуйте, subdmitry, Вы писали:
S>Вопрос о существовании нормальных антивирусов, которые бы находили более-менее много угроз всех типов, имели и режим сканера, и режим guard, не грузили систему как Касперский и нормально реагировали на хакерские файлы, остается открытым.
Их нет. Используй HIPS.
subdmitry пишет:
> Причем похоже что на Западе такая халтура в норме вещей. У меня Нортон > Антивирус тоже выдал кучу явно ложных срабатываний, в частности на один > распаковщик PE EXE продиагностировал, что он hacktool, и отправил все > это в карантин (такой режим был установлен по дефолту), откуда не > оказалось нормального восстановления в исходное состояние. Я много ругался.
Я как-то начал искать добра от добра и поставил триал Касперского вместо
долго жившего на машине бесплатного Аваста. Касперский сильно раздражал
бесконечными вопросами про: "Ааа! Тут firefox в интернет полез,
разрешить?" И после того как он без предупреждения снес Webmoney Keeper
(видно, посчитал страшным трояном), я снес самого Касперского и вернулся
к Авасту. Не жалею.
Здравствуйте, subdmitry, Вы писали:
S>Мнэ. Вообще-то по ее выдаче в некоторых случаях можно догадаться, что сработала эвристика (вообще можно было бы и явно говорить "файл подозрителен на трояна", а не "это троян"). Это когда вылазят имена вроде TR/Crypt.Gen. Но иногда она выдает имена с циферками типа TR/Blabla.12345.G на явно добропорядочных демках, что наводит на подозрения, что в нее просто очень много забито всяких подозрительных хакерских файлов. Ну оно и понятно, более-менее аккуратный реверсинг программы требует большого времени, вот авировцы и халтурят.
во первых любую прогу ревярсят люди и смотрят на сколько она вредоносна, потом в случае вреданоса обрабатывают прогой для делания сигнатур у проги для делания сигнатур есть база исключений(чтобы сигнатурный код не был из какойнить стандартной либы или не совпадал с доверенной программой) — все! им приходит ежедневно тысячи файлов и все нужно быстро отсортировать и проанализировать! с другой стороны очень много программ запакованных, распаковка нового пакера(или модифицированного старого) это дело трудоемкое и специалистов каторые моглибы делать это быстро во много раз меньше чем просто тех кто умеет анализировать(конечно они для себя пишут готовые утилиты по распаковке но всеравно этого не хватит)! поэтому мелкие фирмы не утруждают себя распаковкой а просто добавляют пакер в вирусы! в этом есть логика — легальный софт пакуют легальными пакерами для каторых у них есть распаковщики! если вы хотите чтобы файлы действительно проверялись на вирусы вам придется юзать Касперского (бо реально только он один все распаковывает) старается лечить вирусы, а не удалять, насколько я знаю, только DrWeb(он здал в наши дни(что печально )
нету 100% антивируса, нужно чтото выбирать сравнивая все сильные и слабые стороны!
I>В таком случае, назови успешные прецеденты атак, проведённых на уровнях ниже транспортного (т.е. на физическом, канальном и сетевом). Или приведи пример, когда указанная мной блокировка не спасает.
Спасти-то спасёт, но проблема в удобстве использования такой схемы. Если я запрещу всем приложениям сетевой трафик (кроме виртуальной машины), тогда у меня не будут работать, как минимум, icq и jabber. И что ты предлагаешь мне сидеть в жаббере из-под виртуалки? Бредятина же.
Здравствуйте, x64, Вы писали:
x64>Спасти-то спасёт, но проблема в удобстве использования такой схемы. Если я запрещу всем приложениям сетевой трафик (кроме виртуальной машины), тогда у меня не будут работать, как минимум, icq и jabber. И что ты предлагаешь мне сидеть в жаббере из-под виртуалки? Бредятина же.
Здравствуйте, SergeCpp, Вы писали:
DOO>>...про злой и страшный rustock.C.
SC>Тут тема большая про него была некоторое время назад, поищите поиском в форуме "О жизни" слово RuStock.
x64>>Спасти-то спасёт, но проблема в удобстве использования такой схемы. Если я запрещу всем приложениям сетевой трафик (кроме виртуальной машины), тогда у меня не будут работать, как минимум, icq и jabber. И что ты предлагаешь мне сидеть в жаббере из-под виртуалки? Бредятина же. DOO>Почему сразу так? А proxy поднять на виртуалке?
А ну да, можно и так. Только вот всё равно хоть и маленький, но всё же гемор. А вот вообще без гемора слабо придумать схему?
Здравствуйте, x64, Вы писали:
DOO>>Виртуализация приложений — т.е. та же песочница.
x64>Вот! Это уже ближе к теме. И кстати, уже реализовано — есть несколько более-менее рабочих продуктов.
В курсе. Ни разу правда не пробовал... А надо бы — не всегда есть возможность обкатать какое-нибудь мелкое приложение на виртуалке, а захламление рабочей станции ни к чему хорошему не ведет.
Здравствуйте, subdmitry, Вы писали:
S>я прогнал под ним Cure It!, тот обнаружил два с лишним десятка (!) троянцев (troyan) и червей (worms) в каталогах системы и временных интернетных файлах.
Судя по тому, что пришлось запускать CureIT, антивируса в системе нет, или установлена какая-нибудь бесплатная поделка. Поставьте себе полную версию Dr. Web, и забудьте о вирусах.
Здравствуйте, kurt84, Вы писали:
K> Поставьте себе полную версию Dr. Web, и забудьте о вирусах.
Сейчас вот наблюдаю реальную эффективность сразу двух работающих антивирусов — Касперского и Авиры. Не смотря на их наличие на компьютер просочился т.н. порноинформер — панелька одновременно и в опере и эксплорере, ведущая на порнушный сайт. Оба антивируса промолчали. Пришлось лечить вручную. Интересно, и как эта зараза просачивается на компьютер?
And if you listen very hard the alg will come to you at last.
S>Сейчас вот наблюдаю реальную эффективность сразу двух работающих антивирусов — Касперского и Авиры. Не смотря на их наличие на компьютер просочился т.н. порноинформер — панелька одновременно и в опере и эксплорере, ведущая на порнушный сайт. Оба антивируса промолчали. Пришлось лечить вручную. Интересно, и как эта зараза просачивается на компьютер?
От шпионов Spybot хорошо помогает http://www.safer-networking.org/ru/home/index.html Правда вирусы он не очень находит, и еще Касперский требует его сносить, как ужасную угрозу безопасности (конкуренты, типа 8-))
Мафиозная диктатура это нестабильность. Если не мафиозная диктатура, то Конституция и демократия.
Обычно все, на что они ругаются во временных интернетных файлах — это всякие хитрые куки или неактивные трояны. Т.е., скачатся-то эти трояны скачались, а вот запуститься — фигушки, то ли опера не той системы, то ли вообще линукс на машине.
как говорится, без комментариев. Ты бы ещё предложил кряк методом замены бинарника 
), или, например, Касперский, который можно поставить бесплатно вместе с Яндексовским мессенджером.
