Кто-нибудь разбирается в современных вирусах? Подскажите, откуда они берутся. Некоторое время назад у меня начал как-то странно работать комп (XP, обновления, выход в интернет через выделенку, стало подвисать выключение), я прогнал под ним Cure It!, тот обнаружил два с лишним десятка (!) троянцев (troyan) и червей (worms) в каталогах системы и временных интернетных файлах. Меня это неприятно поразило. Все это было вычищено, троянцы списаны на хак через локальную сеть, компьютер переключен на другого провайдера (МТС, доступ по WiFi), винда переустановлена (обновления отключены). Спустя некоторое время обнаруживаются еще трое троянцев в системных каталогах. Попытки выяснить, что это за троянцы в интернетной вирусэнциклопедии успехом не увенчались — там только описание, что эти троянцы делают, но не пути их проникновения на машину. Может кто может подсказать, как они попадают ко мне? Возможные пути видятся так.
1. Прямой хак через локальную сеть или инет адресу. У МТС компьютеры не видят друг друга, вроде у таких больших провайдеров все сидят за роутером (то есть не имеют непосредственного инет адреса). Исключается?
2. Хак через софт, которым лазят по интернету. Эксплорер почти не использую, использую Оперу. Разве к ней есть эксплоиты и ее вообще кто-то пытается ломать в таких количествах? Исключается?
3. Хак через присылание гадостей по е-мылу. Использую The Bat!, exe-вложения практически не приходят и тем более не запускаются. Исключается?
4. Хак через скачиваемый из инета софт. Иногда что-то скачиваю, но не в таких диких количествах, чтобы вылезали десятки троянцев. И было всего одно срабатывание на файлах, скачанных из инета (почему-то дистрибутив o'caml'а). Исключается?
5. Хак через скачиваемое из инета doc-файло. Отец скачивает такое в больших количествах. Кто-нибудь знает, сейчас есть вирусы под Ворд, он их не отсекает? Мне этот вариант казался реальным, но ни Cure It!, ни Касперский (свежие) в этих doc-файлах ничего не находят. Исключается?
6. Хак через WiFi-соединение. В принципе в списке доступных беспроводных сетей видна пара машин, но опять-таки выглядит странным, чтобы они при взломе засылали ко мне десятки троянцев. И потом, все это было и до WiFi'я. Исключается?
7. Хак через переносные флешки (сейчас популярно). Практически не приносятся, был всего один случай (и, кстати, с вирусом), но уже после первой серии этих событий и вирус там был только один. Исключается?
Еше интересно, что у меня сейчас есть второй компьютер, на котором стоит тот же софт и который подключен к инету через того же провайдера, но только не качаются doc-файлы в таких количествах и подключение не через WiFi, а через Ethernet. На нем все чисто.
В общем, я в серьезных непонятках, откуда оно просачивается? Кто что думает? Пока из идей есть только одна — скинуться, купить себе Касперского и посмотреть, но это стоит денег и у меня, откровенно говоря, есть сомнения, что он сможет выловить всю гадость, когда она идет таким мощным потоком, тут явно надо перекрывать канал поставки наркотиков, а не ловить мелких торговцев.
And if you listen very hard the alg will come to you at last.
Здравствуйте, subdmitry, Вы писали:
S>1. Прямой хак через локальную сеть или инет адресу.
Вполне возможно, но только, если сидишь в иннет под внешним адресом.
S>У МТС компьютеры не видят друг друга, вроде у таких больших провайдеров все сидят за роутером (то есть не имеют непосредственного инет адреса). Исключается?
Ну вообще-то, нормальный провайдер выдает именно интернет адрес. Но wifi и МТС — скорее всего будет частный...
S>2. Хак через софт, которым лазят по интернету. Эксплорер почти не использую, использую Оперу. Разве к ней есть эксплоиты и ее вообще кто-то пытается ломать в таких количествах? Исключается?
Бывают дыры в самой винде, которые эксплуатируются через special crafted html независимо от браузера (но редко).
S>3. Хак через присылание гадостей по е-мылу. Использую The Bat!, exe-вложения практически не приходят и тем более не запускаются. Исключается?
Скорее всего.
S>4. Хак через скачиваемый из инета софт. Иногда что-то скачиваю, но не в таких диких количествах, чтобы вылезали десятки троянцев. И было всего одно срабатывание на файлах, скачанных из инета (почему-то дистрибутив o'caml'а). Исключается?
Выделенное не верно — как правило на машину садится Downloader, который уже качает и качает...
S>5. Хак через скачиваемое из инета doc-файло. Отец скачивает такое в больших количествах. Кто-нибудь знает, сейчас есть вирусы под Ворд, он их не отсекает? Мне этот вариант казался реальным, но ни Cure It!, ни Касперский (свежие) в этих doc-файлах ничего не находят. Исключается?
Макровирусы, возможно, еще есть, но уже много лет офис идет в режиме средней безопасности по умолчанию, а значит предупреждает о наличии макросов в документе.
S>6. Хак через WiFi-соединение. В принципе в списке доступных беспроводных сетей видна пара машин, но опять-таки выглядит странным, чтобы они при взломе засылали ко мне десятки троянцев. И потом, все это было и до WiFi'я. Исключается?
Еще раз замечу, что достаточно одного.
А вообще хак через wifi — ИМХО, экзотика (кому это интересно?). Правда, если точка доступа открыта всем ветрам, то какой-нибудь любопытный сосед может и искуситься.
S>7. Хак через переносные флешки (сейчас популярно). Практически не приносятся, был всего один случай (и, кстати, с вирусом), но уже после первой серии этих событий и вирус там был только один. Исключается?
Да почему же... Несмотря на идентичный способ посадки тупые антивирусы упорно не замечают очередную модификацию..
Проводник на Far замени и понаблюдай, что там на флешках носят...
S>Еше интересно, что у меня сейчас есть второй компьютер, на котором стоит тот же софт и который подключен к инету через того же провайдера, но только не качаются doc-файлы в таких количествах и подключение не через WiFi, а через Ethernet. На нем все чисто.
Ну
"subdmitry" <74969@users.rsdn.ru> wrote in message news:3303526@news.rsdn.ru...
> Кто-нибудь разбирается в современных вирусах? Подскажите, откуда они берутся. Некоторое время назад у меня начал как-то странно работать комп (XP, обновления, выход в интернет через выделенку, стало подвисать выключение), я прогнал под ним Cure It!, тот обнаружил два с лишним десятка (!) троянцев (troyan) и червей (worms) в каталогах системы и временных интернетных файлах. Меня это неприятно поразило. Все это было вычищено, троянцы списаны на хак через локальную сеть, компьютер переключен на другого провайдера (МТС, доступ по WiFi), винда переустановлена (обновления отключены). Спустя некоторое время обнаруживаются еще трое троянцев в системных каталогах. Попытки выяснить, что это за троянцы в интернетной вирусэнциклопедии успехом не увенчались — там только описание, что эти троянцы делают, но не пути их проникновения на машину. Может кто может подсказать, как они попадают ко мне? Возможные пути видятся так.
Насчет "десятков" троянов — это больше похоже на параною антивируса. Ну типа как кот дохлых мышей хозяину приносит, полезность доказать Обычно все, на что они ругаются во временных интернетных файлах — это всякие хитрые куки или неактивные трояны. Т.е., скачатся-то эти трояны скачались, а вот запуститься — фигушки, то ли опера не той системы, то ли вообще линукс на машине.
Ну вот а оставшиеся 2-3 в системных каталогах — это уже вполне вероятно то, чему таки удалось "ожить".
Posted via RSDN NNTP Server 2.1 beta
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, subdmitry, Вы писали:
S>Кто-нибудь разбирается в современных вирусах? Подскажите, откуда они берутся.
Однажды на рабочий компьютер засадил вирусы очень круто, просто сайт, на который я часто ходил (не порнуха, нормальный, хотя и не слишком популярный сайт), сломали и при посещении через дырки в IE заливались вирусы. Помогла только переустановка, но ее смог сделать только через пару месяцев, т.к. не мог достаточно надолго рабочий компьютер из строя вывести, всё это время жил с постоянно (десятки в секунду) вываливающимися сообщениями, что антивирус заблокировал рассылку спама.
На подозрительных сайтах (порнуха) вирусы может рассаживать сам владелец сайта, а не хакеры. Т.е. не надо по возможности ходить на подозрительные сайты, по возможности не пользоваться IE, по возможности не ходить на подозрительные сайты через IE. Насчет Firefox не знаю, становиться популярнее, следовательно лучше брать Opera, наверное, хотя сам с тех пор пересел на Firefox, кроме всяких систем где ничего кроме IE не работает, типа банк-клиентов и прочего. Пока полет нормальный.
Еще сейчас на флешках очень часто вирусы приносят. Autorun отключать сразу после установки Windows навсегда. Сам так не заражался, но на работе не у всех отключен autorun, так часто спрашивают, что делать, потому что антивирус autorun блокирует, а при щёлкании в Проводнике, он все время пытается запуститься, и окошко с содержимым флешки не открывается. Очень часто спрашивают.
РМ>а при щёлкании в Проводнике, он все время пытается запуститься, и окошко с содержимым флешки не открывается. Очень часто спрашивают.
А ты им тайну правой кнопки открой
Спасибо за консультацию.
S>>2. Хак через софт, которым лазят по интернету. Эксплорер почти не использую, использую Оперу. Разве к ней есть эксплоиты и ее вообще кто-то пытается ломать в таких количествах? Исключается? DOO>Бывают дыры в самой винде, которые эксплуатируются через special crafted html независимо от браузера (но редко).
Ага, вот это подозрительно.
S>>4. Хак через скачиваемый из инета софт. Иногда что-то скачиваю, но не в таких диких количествах, чтобы вылезали десятки троянцев. И было всего одно срабатывание на файлах, скачанных из инета (почему-то дистрибутив o'caml'а). Исключается?
DOO>Выделенное не верно — как правило на машину садится Downloader, который уже качает и качает...
Downloader там был. Однако как-то странно, что оно все так размазалось по разным каталогам. Имхо если бы кто-то делал эту пакость, он бы все это делал более-менее стандартно.
S>>5. Хак через скачиваемое из инета doc-файло. Отец скачивает такое в больших количествах. Кто-нибудь знает, сейчас есть вирусы под Ворд, он их не отсекает? Мне этот вариант казался реальным, но ни Cure It!, ни Касперский (свежие) в этих doc-файлах ничего не находят. Исключается? DOO>Макровирусы, возможно, еще есть, но уже много лет офис идет в режиме средней безопасности по умолчанию, а значит предупреждает о наличии макросов в документе.
Спасибо, буду знать.
S>>7. Хак через переносные флешки (сейчас популярно). Практически не приносятся, был всего один случай (и, кстати, с вирусом), но уже после первой серии этих событий и вирус там был только один. Исключается? DOO>Да почему же... Несмотря на идентичный способ посадки тупые антивирусы упорно не замечают очередную модификацию.. DOO>Проводник на Far замени и понаблюдай, что там на флешках носят...
Я смотрел во Фригате, там был один запуск программы из папки RECYCLER, сразу стало понятно, что это за зверь.
Кстати, подсказали тут народное средство от таких вирусов — создать на флешке каталог с названием autorun.inf, тогда такой файл не создается.
And if you listen very hard the alg will come to you at last.
Здравствуйте, Sergey, Вы писали:
S>Насчет "десятков" троянов — это больше похоже на параною антивируса. Ну типа как кот дохлых мышей хозяину приносит, полезность доказать Обычно все, на что они ругаются во временных интернетных файлах — это всякие хитрые куки или неактивные трояны. Т.е., скачатся-то эти трояны скачались, а вот запуститься — фигушки, то ли опера не той системы, то ли вообще линукс на машине. S>Ну вот а оставшиеся 2-3 в системных каталогах — это уже вполне вероятно то, чему таки удалось "ожить".
Их там было побольше, я так уже не помню, где-то с половину. Что очень странно.
And if you listen very hard the alg will come to you at last.
Это уже который по счету отчет о последствиях новенького вируса. Поставь себе Идеологически Правильную операционную систему и перестань пугать RSDN. Получится одно из двух: или ты установишь новую ОС, настроишь и будешь радоваться жизни, или у тебя ничего не выйдет и испортишь себе винчестер. В обоих случаях на твоем компьютере не будет ни одного вируса.
DOO>>Выделенное не верно — как правило на машину садится Downloader, который уже качает и качает...
S>Downloader там был. Однако как-то странно, что оно все так размазалось по разным каталогам. Имхо если бы кто-то делал эту пакость, он бы все это делал более-менее стандартно.
Вот уж неверно — он качает всякую лажу, а уж куда та установится — только ей и ведомо.
S>>>7. Хак через переносные флешки (сейчас популярно). Практически не приносятся, был всего один случай (и, кстати, с вирусом), но уже после первой серии этих событий и вирус там был только один. Исключается? DOO>>Да почему же... Несмотря на идентичный способ посадки тупые антивирусы упорно не замечают очередную модификацию.. DOO>>Проводник на Far замени и понаблюдай, что там на флешках носят... S>Я смотрел во Фригате, там был один запуск программы из папки RECYCLER, сразу стало понятно, что это за зверь.
Вот — тебе понятно, а антивирусы могут спокойно в упор не видеть. Поэтому полезно иметь что-то, не поддерживающее авторан вовсе.
S>Кстати, подсказали тут народное средство от таких вирусов — создать на флешке каталог с названием autorun.inf, тогда такой файл не создается. Вариант.
Здравствуйте, subdmitry, Вы писали:
S>В общем, я в серьезных непонятках, откуда оно просачивается? Кто что думает? Пока из идей есть только одна — скинуться, купить себе Касперского и посмотреть, но это стоит денег и у меня, откровенно говоря, есть сомнения, что он сможет выловить всю гадость, когда она идет таким мощным потоком, тут явно надо перекрывать канал поставки наркотиков, а не ловить мелких торговцев.
На Касперского уже скидываться надо? Однако, действительно кризис наступил...
Ты пользуешься Оперой. А отец чем пользуется? Может, стоит прописать в настройках IE несуществующий прокси, вроде 127.0.0.1:64000? Чтобы он вообще в инет не мог выйти.
Проводник не нужен. Пользоваться надо фаром, тоталом и прочим. Автозапуск вообще откючить, можно через AVZ, можно запретить службу "Определение оборудования оболочки"
Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже.
Можно поставить какую-нибудь проактивную защиту, в свое время меня Tiny Firewall Pro спас от файлового вируса с купленого в магазине диска. Существует также пиратский Outpost, бесплатные Comodo, CoreForce.
Но самый радикальный метод — не работать под учетной записью с правами администратора. Или просто запускать браузер из под обычного пользователя, через runas. Пусть зараза попробует пробить встроенную защиту винды, это им не антивирусы обманывать бесконечным числом вариантов, которые все предусмотреть нельзя по определению.
Еще, насчет оперы — есть такая разновидность заразы — "информеры", горизонтальная панелька в треть окна браузера, с порнушной рекламой. Информеры просят денег по смс за свое удаление, сделаны они как плагины для браузера, легко убираются штатными средствами. Некоторые мужчины средних лет таки отправляют смс... обычно, после четвертой бесполезной смс стоимостью в 300 рублей, у людей наступает просветление и они вызывают специалистов. Итак, однажды я видел информер, работавший и в опере, и в IE. Это была одна и та же dll, но, вроде бы, у этих браузеров должны быть разные форматы плагинов. Может, опера как-то IE в своей работе использует? Хотя, наверное эта dll содержит в себе сразу два плагина, этакая кроссплатформенность. Если учесть, что опера в нашей стране весьма популярна, почему бы не использовать ее уязвимости?
А вот что вас ломают по локальной сети, через GPRS и прочее, очень сомневаюсь.
Здравствуйте, DOOM, Вы писали:
РМ>>а при щёлкании в Проводнике, он все время пытается запуститься, и окошко с содержимым флешки не открывается. Очень часто спрашивают. DOO>А ты им тайну правой кнопки открой
Честно говоря, себе дороже.
Здравствуйте, waricom-11, Вы писали:
W1>Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже.
как говорится, без комментариев. Ты бы ещё предложил кряк методом замены бинарника
А если по делу, и хочется бесплатного антивируса, то или AVG (сам пользовался несколько лет и был очень доволен, но под Вистой он у меня не заработал ), или, например, Касперский, который можно поставить бесплатно вместе с Яндексовским мессенджером.
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, Roman Odaisky, Вы писали:
RO>Это уже который по счету отчет о последствиях новенького вируса. Поставь себе Идеологически Правильную операционную систему и перестань пугать RSDN.
Правильно! Нечего весь RSDN пугать. Пусть своими сообщениями потом пугает только "Unix" и "КСВ"
RO>Получится одно из двух: или ты установишь новую ОС, настроишь и будешь радоваться жизни,
Расшифровываю: будешь рад что вообще остался жив после такого траха с новой ОС.
RO>или у тебя ничего не выйдет и испортишь себе винчестер. В обоих случаях на твоем компьютере не будет ни одного вируса.
Есть еще третий вариант... Ему будет тупо не до вирусов с неработающей сетевухой, модемами, bluetooth и т.п. смотря куда его кривая unix-way'я выведет
Народ, да забейте вы на антивирусы. Ничем, в случае 0-day атаки, они помочь уже давным-давно не могут. Работая из под непривилегированной учетки, держа систему и сопутствующий софт пропатченными + закрытыми от внешних воздействий элементарным файрволом, и соблюдая основные правила сетевой гигиены, вы избежите 95% существующей ныне заразы. Причем это справедливо для всех православных ОС как по Одайскому, так и по Кочеткову От оставшихся 5%, антивирусы справятся с еще 2-3%%, не больше. Остальные — ваши, при любом раскладе. И получается, что те 1500р, которые топикстартер предлагает почему-то собрать скинувшись, уходят на минимизацию 2-3%% угроз от общего числа, при этом, еще и отжирая ресурсы, как минимум, процессора и время/нервы самого пользователя (я про проактивную защиту касперского и ложные срабатывания на все подряд).
Это я как безопасник со стажем говорю, если что
По теме же, из всех перечисленных причин наиболее вероятными векторами атак в данном случае представляются два:
1. Заражение во внутренней сети провайдера (меня терзают смутные сомнения, что при определенных обстоятельствах компы в сети МТС к друг-другу таки-успешно достукиваются)
2. Заражение через флешки (кто сказал, что за все время там был только одна зараза? Антивирус? ).
Здравствуйте, subdmitry, Вы писали:
S>Кто-нибудь разбирается в современных вирусах? Подскажите, откуда они берутся.
Встречаются на бескрайних просторах интернета доблестный вирус полиморфный на троянском коне с прекрасной адварью, и появляются у них дети, сначала в виде маленький червячков...
S>В общем, я в серьезных непонятках, откуда оно просачивается? Кто что думает? Пока из идей есть только одна — скинуться, купить себе Касперского и посмотреть, но это стоит денег и у меня, откровенно говоря, есть сомнения, что он сможет выловить всю гадость, когда она идет таким мощным потоком, тут явно надо перекрывать канал поставки наркотиков, а не ловить мелких торговцев.
Я сам недавно пострадал от одной нечисти, пришлось систему сносить, развлечение на выходные своеобразное. Раньше юзал AVG, но почитав обзоры в интернете, решил купить ESET NOD32. Стоит всего 1000р на год. Вроде лучший по версии Virus Bulletin, ну если не лучший, то совсем неплохие результаты. Касперский по отзывам тормозит, сам когда пользовался 6й версией, ужасно тормозило всю систему.
Лично я заразился через флешку, поставив NOD32, я сделал небольшой эксперимент, вставил зараженную флешку и оно сразу убило его без вопросов. Именно то поведение, которое я хотел. Т.к. когда я заражался, мой племянник по незнаю нажал Ignore, когда AVG спросило, что делать с вирусом на флешке.
Lisp is not dead. It’s just the URL that has changed: http://clojure.org
W1>На Касперского уже скидываться надо? Однако, действительно кризис наступил...
Ты себя ниже почитай...
W1>Антивирус вообще покупать необязательно. Лицензий для нода в сети много, пиратских зеркал с обновлениями — тоже.
Хоть бы тот же AVZ или ClamWin порекомендовал. Не стыдно ворованное предлагать?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Народ, да забейте вы на антивирусы. Ничем, в случае 0-day атаки, они помочь уже давным-давно не могут. Работая из под непривилегированной учетки, держа систему и сопутствующий софт пропатченными + закрытыми от внешних воздействий элементарным файрволом, и соблюдая основные правила сетевой гигиены, вы избежите 95% существующей ныне заразы. Причем это справедливо для всех православных ОС как по Одайскому, так и по Кочеткову От оставшихся 5%, антивирусы справятся с еще 2-3%%, не больше. Остальные — ваши, при любом раскладе. И получается, что те 1500р, которые топикстартер предлагает почему-то собрать скинувшись, уходят на минимизацию 2-3%% угроз от общего числа, при этом, еще и отжирая ресурсы, как минимум, процессора и время/нервы самого пользователя (я про проактивную защиту касперского и ложные срабатывания на все подряд).
KV>Это я как безопасник со стажем говорю, если что
А ведь ставил, по-моему, мне минус, когда я написал в одной ветке, что антивирусы давно стали бесполезными...
Ну а вообще как безопасник со стажем (и еще вопрос у кого длиннее ) — подтверждаю...
Обычно все, на что они ругаются во временных интернетных файлах — это всякие хитрые куки или неактивные трояны. Т.е., скачатся-то эти трояны скачались, а вот запуститься — фигушки, то ли опера не той системы, то ли вообще линукс на машине.
как говорится, без комментариев. Ты бы ещё предложил кряк методом замены бинарника 
), или, например, Касперский, который можно поставить бесплатно вместе с Яндексовским мессенджером.
