Здравствуйте, R.O. Prokopiev, Вы писали:
Р>>пишутся трояны в промышленных масштабах для Р>>построения ботлнетов. ROP>Позвольте полюбопытствовать, ботлнет — эт чего? ROP>Бутылочная сеть?
Видимо сеть зараженных трояном бомжей, собирающих бутылки.
Здравствуйте, iHateLogins, Вы писали:
HL>Антивирусы сейчас — чистейшей воды разводилово, вреда от них куда больше чем от вирусов. Что касается вирусов, то за все время пользования ПК мой комп не разу не был заражен.
Не «ни разу не был заражен», а «я ни разу не заметил ничего подозрительного». Тысячу раз уже говорили, что современные вирусы/трояны пишутся не чтобы вывести на экран надпись «Ваши файла удалил Вася, ХАХАХА», а чтобы скрытно рассылать спам или когда-нибудь через год внезапно стать участником DDoS, что для тебя будет выглядеть всего лишь как «ой, что-то комп заглючил, наверное вот эта программа что я вчера поставил — баговая».
Какой орган ты готов дать на отсечение, что после каждых пяти емейлов с твоего компа не отсылается шестой со спамом?
Здравствуйте, Silver_s, Вы писали:
S_> ...Точнее не вирусов а записей в вирусной базе. Хотя они как бы намекают — сколько записей в базе столько и вирусов. S_>В середине 2007 г в базе было 350 тыс. вирусов. S_>В начале 2009 уже 1.5 миллиона. За полтора года появилось вирусов в 5 раз больше чем за всю историю IT индустрии до 2007 года? А сейчас в базе уже 2.3 миллиона записей. За первые 5 месяцев этого года +700 тыс. S_> Интересное дело ... это каким же образом возможно ежедневно по 4600 вирусов находить и в базу добавлять? Неслабая производительность труда в Каспер лаб
Большинство вирусов заносится в базу автоматом. Я как то послал им пару свежих вирусов, в тот же день в обновлениях появились записи.
S_> — Число писателей вирусов увеличилось?
Количество вирусов сейчас растет нелинейно и опережает возможности антивирусов. Уже давно это бизнес.
S_> — Прогресс дошел до автоматизированых систем написания вирусов. Либо небольшое число одних и тех же вирусов мутирут до неузнаванемости(в огромное число форм).
Есть и автоматизированые системы написания вирусов. Перечень всего того, что умеют боты-черви-трояны постоянно растёт не по детски.
S_>P.S. Что-то в этом деле с Каспером не чисто. Может они мухлюют или криво делают? В начале 2008 года попадались статьи с высказывания Касп., что ожидается резкий рост числа вирусов — удвоение за короткое время. Угадал или обещание сдержал(сам наштамповал вирусов сколько обещал) или антивируснике базы мусором забил?
Не только он это прогнозировал. Его прогнозы вобщем то довольно оптимистичные.
Здравствуйте, Sealcon190, Вы писали:
S>Сильно сомневаюсь что появляющиеся сейчас вирусы принципиально отличны от появлявшихся лет пять назад, но без добавления в базу их всё равно не находят.
В том то и дло, что принципиально отличные. Кажоде поколение умеет чтото новое и всё глубже и глубже влазит в систему.
Здравствуйте, Буравчик, Вы писали:
Б>Встречал сайты (вполне нормальных — не помойка и порнуха), на который AVP ругался на счет вирусной активности. Б>Таких случаев было всего два. Однако ж — бывает
форумы домохозяек, подростков и тд вобщем то тоже самое.
Здравствуйте, Кодёнок, Вы писали: Кё>ысячу раз уже говорили, что современные вирусы/трояны пишутся не чтобы вывести на экран надпись «Ваши файла удалил Вася, ХАХАХА», а чтобы скрытно рассылать спам или когда-нибудь через год внезапно стать участником DDoS...
Во во! В последнее время взламывают в основном аську, аккаунт в контакте... и люди так и не лечатся, их это не напрягает, что с их компьютера лезет спам. Вот локальная сеть общежития айтишников это настоящий расплодник вирусов помнится... Любой экзешник скачанный с сети нужно было перепроверять, ставить фаерволл, регулярно проверять критические области на вирусы и мониторить Диспетчер задач от левых процессов. Хочешь не хочешь, а начинаешь в этом деле разбираться... Когда при запуске свежескачанной екзешки поражаются все екзешки компьютера и приохится переустанавливать ОС, так как после лечения половина программ на работает. Или когда сеть загружена на 75% без причины — какой то червь разсылает себя по подсетям..
Всегда сидел с Касперским, всегда выручал меня) Сканирование жесткого диска я отключал всегда, оно не нужно если нету дыр в ОС или есть фаерволл. Лучше раз в месяц поставить на полную проверку чем что бы каждый день проверялись все файлы и жутко тормозило. Проверяется у меня только сьемные носители и интернет траффик. Редко встречал зараженные сайты. Но в последнее время у Каспера все ключи в черном списке, сижу без антивиря.
Здравствуйте, Кодёнок, Вы писали:
HL>>Антивирусы сейчас — чистейшей воды разводилово, вреда от них куда больше чем от вирусов. Что касается вирусов, то за все время пользования ПК мой комп не разу не был заражен.
Кё>Не «ни разу не был заражен», а «я ни разу не заметил ничего подозрительного». Тысячу раз уже говорили, что современные вирусы/трояны пишутся не чтобы вывести на экран надпись «Ваши файла удалил Вася, ХАХАХА», а чтобы скрытно рассылать спам или когда-нибудь через год внезапно стать участником DDoS, что для тебя будет выглядеть всего лишь как «ой, что-то комп заглючил, наверное вот эта программа что я вчера поставил — баговая».
Трафик мониторить я всё-таки умею, да и говнософт из инета не качаю.
Здравствуйте, Кодёнок, Вы писали:
HL>>Трафик мониторить я всё-таки умею, да и говнософт из инета не качаю. Кё>С точки зрения человека, знающего как работают руткиты, интересно будет послушать, как же ты это делаешь.
1) Мониторю трафик на компе, на роутере и на стороне провайдера (мой провайдер позволяет делать детальные отчеты)
2) Ну а говнософт я не ставлю так: не скачиваю screensaver.exe , обновляю браузер, не использую IE, использую white list для сайтов с флеш. Ну и не СТАВЛЮ ГОВНОСОФТ. Да, я уже давно не пользуюсь outlook, так что от меня лично вряд ли пойдёт какой-то спам.
Здравствуйте, iHateLogins, Вы писали:
HL>1) Мониторю трафик на компе, на роутере и на стороне провайдера (мой провайдер позволяет делать детальные отчеты) HL>2) Ну а говнософт я не ставлю так: не скачиваю screensaver.exe , обновляю браузер, не использую IE, использую white list для сайтов с флеш. Ну и не СТАВЛЮ ГОВНОСОФТ.
HL>Да, я уже давно не пользуюсь outlook, так что от меня лично вряд ли пойдёт какой-то спам.
Хороший троян будет слать спам строго из-под твоего почтового клиента, твоего smtp-сервера после того как ты авторизовался там своим логином. После внедрения в его процесс даже SSL можно обойти, если знать где в этом клиенте вызываются функции шифрации/дешифрации.
Инструкции получать можно по UDP или вообще левому протоколу, которые обычно не мониторятся, или с сайтов с баннерами, которые не вызовут подозрений.
А насчет «говнософта» — кряки и кейгены тоже не скачиваешь, за каждую спичку кредиткой платишь?
Здравствуйте, Кодёнок, Вы писали:
Кё>А насчет «говнософта» — кряки и кейгены тоже не скачиваешь, за каждую спичку кредиткой платишь?
Мне не кажется, что здесь вопрос должен стоять или/или. Единственное, что можно себе позволить, это найти вариант .exe-шника запускаемой программы и сравнить с исходным файлом. Обычно он отличается на ~10 байт (проверка+прыжок заменяется на nop-ы), тогда это вполне безобидный файл. Кроме того, бывает, что новый файл прыгает в каком-то месте в область, где до этого в исходной программе были нули, там выполняется какой-то новый написанный код, а затем прыгает обратно. Если этот дополнительно написанный код поверх нулей исходного файла достаточно короткий, то скорее всего он просто вычисляет что-то (что там можно вредного в 25-50 байт запихнуть), но можно и проверить. Например, иногда таким образом вычисляется какая-то специфическая для данной машины информация, которая используется в ключе. В остальных случаях, ИМХО, надо быть крайне осторожным, ибо эти кейгены -- основной источник распространения всякой гадости.
Здравствуйте, Кодёнок, Вы писали:
HL>>1) Мониторю трафик на компе, на роутере и на стороне провайдера (мой провайдер позволяет делать детальные отчеты) HL>>2) Ну а говнософт я не ставлю так: не скачиваю screensaver.exe , обновляю браузер, не использую IE, использую white list для сайтов с флеш. Ну и не СТАВЛЮ ГОВНОСОФТ.
HL>>Да, я уже давно не пользуюсь outlook, так что от меня лично вряд ли пойдёт какой-то спам.
Кё>Хороший троян будет слать спам строго из-под твоего почтового клиента, твоего smtp-сервера после того как ты авторизовался там своим логином. После внедрения в его процесс даже SSL можно обойти, если знать где в этом клиенте вызываются функции шифрации/дешифрации.
я использую веб-почту с закрытым SMTP, еще вопросы?
Кё>Инструкции получать можно по UDP или вообще левому протоколу, которые обычно не мониторятся, или с сайтов с баннерами, которые не вызовут подозрений.
А слать спам он тоже будет по UDP?
Кё>А насчет «говнософта» — кряки и кейгены тоже не скачиваешь, за каждую спичку кредиткой платишь?
Здравствуйте, Ромашка, Вы писали:
Р>Кодёнок написав(ла): >> Какой орган ты готов дать на отсечение, что после каждых пяти емейлов с >> твоего компа не отсылается шестой со спамом?
Р>Аппендикс.
зря, говорят, после его удаления начинаются проблемы с кишечником
Здравствуйте, March_rabbit, Вы писали:
M_>Здравствуйте, Ромашка, Вы писали:
Р>>Кодёнок написав(ла): >>> Какой орган ты готов дать на отсечение, что после каждых пяти емейлов с >>> твоего компа не отсылается шестой со спамом?
Р>>Аппендикс. M_>зря, говорят, после его удаления начинаются проблемы с кишечником
врут.
мне удалили его еще в пятом классе, знаю нескольких человек у которых удаляли — никто вроде бы не жалуется.
Здравствуйте, R.O. Prokopiev, Вы писали:
ROP>Те трояны что мне попадались — в основном не висят отдельными процессами, ROP>а довольно хорошо маскируются. Загружаются как драйверы и делают файл драйвера невидимым ROP>для пользовательского режима.
Ну так берёшь LiveCD, грузишься, проверяешь какие гады там себя в автозапуск прописали. Убиваешь всех гадов без подписи Microsoft.
Здравствуйте, Кодёнок, Вы писали:
Кё>А насчет «говнософта» — кряки и кейгены тоже не скачиваешь, за каждую спичку кредиткой платишь?
А зачем ставить платный софт? Ну кроме "больших" систем типа VS или Photoshop.
Здравствуйте, Silver_s, Вы писали:
S_> ...Точнее не вирусов а записей в вирусной базе. S_> Хотя они как бы намекают — сколько записей в базе столько и вирусов.
конкретно за каспера не скажу, но могу сказать за многих других.
понятие "запись в базе" почило на бозе лет эдак... хвост его знает сколько. то, что скачивается при обновлении AV с иннета вообще-то не есть база. там совсем другое обычно. там и антивирусные движки (ну а как еще их обновлять?!), и распаковщики для новых версий упаковщиков, и спец-модули для детекции сложных полиморфных вирусов. сами же сигнатуры уже давно не просто набор байт. и даже не регулярные выражения. и для ловли одного вируса одной сигнатуры будет мало. особенно если вирус полиморфный, а писать спец-модуль для его детекции нет времени/квалификации/бюджета. тогда вирус просто размножают до миллиона экземпляторов, выделяют (автоматом, не руками же) что в этом миллионе есть общего и добавляют несколько тысяч записей в базу, которые находят до ~96% вариаций. у спец-модулей детекции качество обычно намного выше (например, 99,96%), но их написание требует времени. кстати, помимо роста записей в базах так же наблюдается и их сокращение, путем выкидывания старых записей или объединения кучи записей в одну.
S_> В середине 2007 г в базе было 350 тыс. вирусов.
записей. формат старых баз мне известен. можно запросто распотрошить (потрошилку я писал) и посмотреть что он собственно ловит этими записями. но ничего интересного там нет. как всегда куча записей на один вирус (и это без учета, что модификаций известных вирусов десятки, а то и больше), упаковщики (во всех своих версиях) так же сидят в базе. ну а как иначе еще их детектить, чтобы выбрать соотв. статический распаковщик или распаковать на эмуляторе с костылями (спец. функциями распаковки заданными для каждого пакера/протектора).
S_>В начале 2009 уже 1.5 миллиона.
вообще-то после 2007 года кривая роста малвари резко пошла вверх: http://www.pandasecurity.com/usa/homeusers/solutions/collective-intelligence/
> За полтора года появилось вирусов в 5 раз больше чем за всю историю IT индустрии до 2007 года?
а что тут удивительного? вот хронология роста малвари с давних времен до 2007 http://www.f-secure.com/weblog/archives/00001198.html
S_> Интересное дело ... это каким же образом возможно ежедневно по 4600 вирусов S_> находить и в базу добавлять? Неслабая производительность труда в Каспер лаб
автоматизация труда, однако
S_> Кроме того из-за этого Каспер жрет все больше и больше ресурсов.
конкретно за каспера опять-таки не скажу, но даже при самой тупой огранизации базы время поиска слабо зависит от ее размера. деражать полный индекс в памяти — это же каким дэбилом надо быть? так что пожираются только дисковые ресурсы. а диски сейчас безразмерные.
но это в общем. применительно к сабжу — не знаю. но простенький антивирусный сканер, написанный мной в качестве тестового задания для одной аверской конторы на миллионной базе сигнатур чекает диск со скоростью ~9 Мб/сек на P-III/773 MHz и древнем винте, который больше 10 Мб/сек никак не читает. правда сами сигнатуры имеют очень простой формат (триваильаные регулярные выражения), памяти все это дело жрет: 1 метр на динамические индексы, 64 кб буфер на дисковый I/O, 128 Kb на функцию разбора регулярныз выражений с их кэшшированием. ну и какие тут ресурсы?!
а я скажу какие ресурсы жрет каспер. ему же бедному все форматы файлов поддерживать надо. а для этого держать в памяти кучу модулей. не знаю, поддерживает ли он pdf (сканер для которого я пишу), то там же мало написать модуль для парсинга pdf, нужно еще и распаковать все потоки, а там еще и куча фильтров на них может быть наложена, да еще и потоки могут быть покриптованы, ну и т.д.
чтобы сократить расход ресурсов при статическом сканировании (про проактивку мы ща не говорим) надо сначала отсортировать все файлы по типам, потом для каждого типа грузить все нужные модули. и только так. если же файлы сканируются вразброс, то нам нужно или держать в памяти кучу моделей, или же постоянно загружать/выгружать их. первое кушает память, второе — дает ощутимые тормоза.
S_> А что было бы если бы такое число вирусов появилось лет 8 назад, S_> никакой компьютер не потянул бы нынешнего Каспера со всеми его базами.
поятнул бы. просто базы писались бы умнее
S_>В чем причины такого разбухания?: S_> — Число писателей вирусов увеличилось?
причем в разы.
1) появилось куча учебников по написаниям вирусов;
2) вирусы стали писаться на яву и отказались (в своей массе) от внедрения в файлы;
3) вирусы стали приносить деньги, т.е. появился коммерческий интерес;
4) локальные вирусы, которые раньше дохли естественным путем, при наличии иннета становятся глобальными.
5) ну и много еще причин...
S_> — Прогресс дошел до автоматизированых систем написания вирусов.
и ушел обратно. конструкторы вирусов нынче не в моде.
S_> Либо небольшое число одних и тех же вирусов мутирут до неузнаванемости(в огромное число форм).
это да.
S_> Или это конкурентная борьба контор продающих антивирусы S_> набивают антивирусные базы чем попало (мусором) лишь S_> бы база получилась больше чем у конкурентов?
просмотр баз разных компаний показывает, что мусора там действительно полно.
сейчас ведь антивирусы палят не только вирей, но и файлы данных (например, gif или даже плей-листы), вызывающие переполнения буферов у некоторых приложений. причем, анализ записей в базе показывает, что:
а) ребята погорячились. кто-то прокукарекал о новой дыре и ее уже добавли в базу до официального подтверждения, которое так и не последовало, поскольку это и не дыра вообще, а если и дыра, то хз как ее эксплоитить;
б) проверка тупая и вызывает кучу ложных срабатываний (особенно это актуально для мелких .gif'ов);
в) кол-во записей, относящихся к переполняющимя буферам и в самом деле ужасающее ;(
S_> Или даже сами штампуют вирусы
у них и так работы хватает хотя вирусы они конечно пишут. лабораторные. в базы их не добавляют, но они никуда и не уходят.
S_> чтобы было чем базы забивать, т.к. заполнять базы мусором нехорошо.
мусора там тоже хватает. автоматизация. ковырял базу одной конторы и у той куча записей вида ЪMZ. причем не просто куча, а реально до хвоста. ну MZ это начало exe-заголовка. но Ъ откуда?! такой exe не запуститься ни разу. теряясь в догадках (ну может на инфицированной системе вирь перехватывает системный загрузчик и вычищает Ъ?) обращаюсь к ним за раъяснением. а они: ну это типа известная проблема и они над ней работают. у них типа там горшок с медом для приманки вирусов, сенсор и сниффер. когда вирус летит на мед и падает в горшок, сенсор срабатывает и сниффер кладет TCP-стрим в базу, и там автоматом генериться новая сигнтаруа, если вирь неизвестен. вот только это сложное хозяйство хреново отлажено и сниффер часто хавает TCP-стрим не с того места, в результате мы имеем Ъ, и, как следствие, офигенное кол-во бесполезных сигнатур ;(
S_> По крайней мере в их базах такие вирусы появятся уж точно раньше и с меньшими усилиями, чем у конкурентов.
потрошите базы и смотрите, что они _реально_ ловят
S_> Дальше пухнуть базам уже некуда.
ну почему? на загрузочный DVD еще вмещаются. а там блю-рей и флешки имееются...
S_> Если это продолжится лучше плюнуть на все
используй он-лайновые сканеры. у каспера он конечно ублюдочный. работает только под IE, а IE сам по себе вирус. у панды нормально работает и под лисом. да еще и денег не просит. и обновления самые свежие.
S_> от вирусов наверное меньше вреда на компе, чем от Каспера.
охотно соглашусь. очень многие знакомые просили починить компьютер покоцанный каспером.
S_> Зачем такой антивирус если он при загрузке компа 0.5 Гига будет с винта в ОЗУ подгружать?
а что, каспер сразу пол гига грузит? фу... у меня всего пол гига озу хрен ему я дам столько
S_> Если дело в различных формах (мутациях) мальнького числа вирусов (ни за что не поверю, S_> что за 5 месяцев этого года было сознано 700 тыс. новых уникальных вирусов ),
вообще-то, каждый день появляется несколько новых записей: это и новые дыры в ПО, это и новые версии пакеров, это и новые вирусы (или модификации старых)...
S_> то что-то в Каспер лаб криво делают.
подход устарел. как только эндевор секьюрити предложил новый подход детекции, его тут же купила McAfee. мы думали, что нас разгонят на фиг, как это обычно и бывает. но пока что дают развиваться и даже гладят по головке. посмотрим, что из этого получится...
S_> P.S. Что-то в этом деле с Каспером не чисто.
кто бы сомневался...
S_> Может они мухлюют или криво делают?
делают как могу. то есть как все. что-то лучше, что-то хуже, но в целом очень даже ничего. по крайней мере движок довольно мощный. а раз у нас есть мощный движок (типа мы в танке) об остальном можно какое-то время не заботиться...
S_> В начале 2008 года попадались статьи с высказывания Касп., S_> что ожидается резкий рост числа вирусов — удвоение за короткое время.
и не только его (статьи). такой прогноз делали многие. неожиданностью это не стало.
S_> Угадал или обещание сдержал(сам наштамповал вирусов сколько обещал) или антивируснике базы мусором забил?
мусором забил. актуальных вирусов (таких, шансы встречи с которыми выше шансов встречи с диназавром) наберется всего несколько сотен. даже тысячи не будет. из них десятка два — гипер-актуальных вирусов, которых обязательно схватишь, если не закрошешь все дыры в винде и не отрубишь автозапуск.
ну хорошо, ну пусть я не прав. ну пусть у нас есть тысяча вирусов. ну две. ну три. но ведь не миллион же!!! в принципе, у меня есть доступ к статистике по меньшей мере трех антивирусных компаний. типа кто чем болеет. и там 90% всех заражений приходится на несколько десятков вирусов. еще 9% — ~600 вирусов. и только 1% — прочие разные вирусы, кол-вом около тысячи или больше. возникает резонный вопрос, если качество детекции до 99% ни у кого все равно не дотягивает (особенно с учетом новых вирусов), то на хрена гигабайтовые базы, когда 90% заразы ловится без всякого труда? вопрос рикторический.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
мой комп не разу не был заражен.
Любой экзешник скачанный с сети нужно было перепроверять, ставить фаерволл, регулярно проверять критические области на вирусы и мониторить Диспетчер задач от левых процессов. Хочешь не хочешь, а начинаешь в этом деле разбираться... Когда при запуске свежескачанной екзешки поражаются все екзешки компьютера и приохится переустанавливать ОС, так как после лечения половина программ на работает. Или когда сеть загружена на 75% без причины — какой то червь разсылает себя по подсетям..
