# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  От уязвимостей ПО (в том числе и операционных систем) не спасают ни антивирус, ни файервол

## rav

> 1. Firewall или межсетевой экран. Нужен для защиты от вирусов, использующих уязвимости операционной системы для заражения компьютеров, подключённых к интернету. Антивирусы от таких вирусов не спасают.


От уязвимостей ПО (в том числе и операционных систем) не спасают ни антивирус, ни файервол.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

> От уязвимостей ПО (в том числе и операционных систем) не спасают ни антивирус, ни файервол.


От некоторых спасают, и это факт  :Wink:

----------


## rav

> От некоторых спасают, и это факт


Здесь ключевое слово- "от некоторых". Куча антивирусов спасает "от некоторых" вирусов, но мы почему-то пользуемся теми, что спасают от большинства. Правда, мы странные?

----------


## Geser

> Здесь ключевое слово- "от некоторых". Куча антивирусов спасает "от некоторых" вирусов, но мы почему-то пользуемся теми, что спасают от большинства. Правда, мы странные?


Я понимаю намёк, но включить твою программу в список рекомендованных, особенно для чайников, не могу. Рядовому пользователю вполне хватит стенки что бы защититься от сетебых червей.

----------


## rav

> Я понимаю намёк, но включить твою программу в список рекомендованных, особенно для чайников, не могу. Рядовому пользователю вполне хватит стенки что бы защититься от сетебых червей.


А я и не просил этого. Просто я прошу более корректных формулировок, которые соответствуют реальной действительности. То есть, от типовых атак связка антивиря и файера действительно защищает, но от целенаправленной атаки профессионала в обход этих программ (а также и IDS) эта связка в принципе защитить не в состоянии. Данная формулировка значительно более корректна.

----------

у меня следуюшая проблема, может посоветуете что-нибудь чайнику  : :Smiley: 

снесла антивирус, решила обновить сп1 на сп2, сестренка вышла в интернет, наловила зверей.  :&#039;(
по вашеы рекоммендации все сделала, я все-таки установила сп2 и оутпост 1. не могу выйти в Инет, не могу актуализировать антивирус.

в немецком журнале сегодня читаю:

ни в коем случае не устанавливать сп2 и оутпост 1 вместе, страшно конфликтуют.

Снесла оутпост, Инет не идет, firewall отключила, не идет, поставила заново программу провайдера.
Сносить винду? имеет смысл актуализировать сп1 на сп2, если все равно работает другой firewall?

----------


## Geser

> у меня следуюшая проблема, может посоветуете что-нибудь чайнику  :
> 
> снесла антивирус, решила обновить сп1 на сп2, сестренка вышла в интернет, наловила зверей.  :&#039;(
> по вашеы рекоммендации все сделала, я все-таки установила сп2 и оутпост 1. не могу выйти в Инет, не могу актуализировать антивирус.
> 
> в немецком журнале сегодня читаю:
> 
> ни в коем случае не устанавливать сп2 и оутпост 1 вместе, страшно конфликтуют.
> 
> ...


Открыть новую тему в разделе "Помогите" и сделать логи
1. Скачайте последнюю версию HijackThis http://www.tomcoyote.org/hjt/ (даже если у вас уже есть HijackThis, скачайте его заново что бы убедиться что у Вас последняя версия).
2. Запустите HijackThis в обычном режиме (не в защищённом, ничего не удаляйте!). Все остальные программы, кроме HijackThis, надо  перед сканированием закрыть!
3. Нажмите на кнопку Scan.
4. Дождитесь конца сканирования и нажмите на кнопку Save log
5. Сохраните лог и запомните где (чтобы потом его выслать в форум).
6. Нажмите на кнопку Config...
7. Нажмите на кнопку Misc Tools
8. Отметьте (поставьте птичку) List also minor sections
9. Нажмите на кнопку Generate StartupList Log, на запрос который появится ответьте Yes
10. Откройте тему только в разделе "Помогите" с кратким описанием проблемы в заголовке, подробным описанием проблемы в теме и логами HijackThis полученными в пунктах 5 и 9 
11. Просканировать компютер при помощи AVZ и лог программы так же запостить.

----------


## Minos

> Снесла оутпост, Инет не идет, firewall отключила, не идет, поставила заново программу провайдера.
> Сносить винду? имеет смысл актуализировать сп1 на сп2, если все равно работает другой firewall?


Установить SP2 имеет смысл, но сначала надо почистить систему, а то могут случится всякие неожиданности при установке обновления. Удалять Windows пока рановато, можно попытаться вылечить.
В дополнение к рекомендациям Geser-а скачайте и запустите AVZ, выберите Сервис/Менеджер Winsock SPI (LSP, NSP, TSP) В открывшемся окне перейдите на закладку поиск ошибок и если ошибки обнаружены, нажмите "Автоматическое исправление найденных ошибок"

----------


## HATTIFNATTOR

В четверг знакомого подключали к локальной сети (центел). Поскольку до этого в нет он не ходил ни антивируса ни фаервола ни обновлений на машине не стояло, а стоял на ней XP SP1 и для домашнего использования этого вполне хватало. Закончили подключать вечером. Сегодня в процессах висели видимые невооруженным глазом lsasss.exe (Win32.Sasser.d.), Syg4t3Gtr.exe, updatecfg.exe, wuamkop32.exe (три варианта Backdoor.Win32.Rbot.gen.), причем судя по дате создания файлов двумя бэкдорами машина была поражена в первые же часы после подключения, червем и третьим бэкдором -на следующий день.
Предохраняйтесь!  :Wink:

----------


## Iceman

> В четверг знакомого подключали к локальной сети (центел). Поскольку до этого в нет он не ходил ни антивируса ни фаервола ни обновлений на машине не стояло, а стоял на ней XP SP1 и для домашнего использования этого вполне хватало. Закончили подключать вечером. Сегодня в процессах висели видимые невооруженным глазом lsasss.exe (Win32.Sasser.d.), Syg4t3Gtr.exe, updatecfg.exe, wuamkop32.exe (три варианта Backdoor.Win32.Rbot.gen.), причем судя по дате создания файлов двумя бэкдорами машина была поражена в первые же часы после подключения, червем и третьим бэкдором -на следующий день.
> Предохраняйтесь!


Здесь возникает проблема, с которой сам столкнулся: пока АВ плохо (или никак) не работают с руткитами. Обычный симптом - подвисание АВ на проверке файлов на неопределённое время. ООчень помогает AVZ. Остатки можно уже подчищать...
Но, к сожалению, не все пользователи владеют....

----------


## Firza

А почему нечего не написано про самое главное средство зашиты – *не работать все время с правами привилегированного пользователя*?
Речь не идет только об Windows – на любой OS это является главным залогам безопасности и Windows неможет быть исключением. Нет рациональных причин, почему на Windows можно и нужно работать с павами Admina. То, что какие та программы не работают без прав Admina, не является рациональной причиной – это просто лень сторонних программистов писать программы совместимые с Windows XP.

----------


## Dime3us

> А почему нечего не написано про самое главное средство зашиты – *не работать все время с правами привилегированного пользователя?*


Скорее всего потому что начинающему юзеру (особенно привыкшему к работе только на админской записи) обычно очень нелегко работать под пользователем.А чтобы запускать от имени админа надо каждый раз набирать пароль,либо сохранять пароль,но это скорее всего не есть хорошо с точки зрения безопасности.Я вот как-то даже тему хотел создать по этому поводу,но потом вроде сам разобрался.Имхо комфортная работа под пользователем это дело привычки и опыта.
to *Geser*
Сюда еще неплохо бы добавить ссылку на DropMyRights

----------


## orvman

*Firza*, Вы работали когда-нибудь на серверах? На тех самых, например W2003? Где стоит куча сетевого софта, ISA и т.д. и т.п.
Логиниться под юзером? А администрировать как?
Делаем выводы.
А насчет меня скажу так. Соглашусь с теми, кто не логинится под админами, есть уязвимость. Это известно всем. 
Вопрос другой. А кто мешает пользователю поставить программный фаер + антивирь и вдовесок по желанию купить железяку на фильтрацию входящих пакетов, дабы разгрузить программный фаер?
Ни разу в жизни не логонился под юзверями. Бред какой-то. Но это IMHO.

----------


## gines

Не работать все время с правами привилегированного пользователя - это  точно не самое главное, скорее даже наоборот, последний штрих ко всей системе безопасности в целом.

----------


## Firza

*orvman*
Выше я писал, что не работать все время с правами привилегированного пользователя это фундаментально и относится ко всем OS. В OS из семейство UNIX ведь изначально заложен принцип - не работать *без необходимости* с правами Root, а ведь тогда это было чисто серверная OS, где надо только администрировать.

Если я не работаю с правами привилегированного пользователя, то мне нет никакой необходимости соблюдать пункты 2, 3. И я действительно больше года не злоупотребляю правами Administrator и не соблюдаю рекомендации 2, 3. И читая обсуждение про проблем с вирусами, я все больше понимаю - лучшей зашиты не будет некогда. Антивирус это суррогатный заменитель той безопасностью, что заложено в файловую систему и принцип разграничение прав запушенных приложений на уровне CPU. Какое может быть безопасность если вирусы работаю  с такими же привилегиями как антивирусы.
Любителям все время администрировать, советую почитать Windows Security Q and A  :Smiley: .

----------


## Geser

> to Geser
> Сюда еще неплохо бы добавить ссылку на DropMyRights


Сделано

----------


## Король обезьян

Полностью поддерживаю вас. Чем безропотно вверять свою безопасность всевозможным, порой, непредсказуемым приложениям, лучше самую малость поадминить самому, и начинать надо с лишения себя прав "Администратора", по крайней мере, на период своего пребывания в сети. Хотя, справедливости ради, стоит сказать, что этот, безусловно, самый надёжный способ обеспечения собственной безопасности часто сопряжён с некоторыми неудобствами. Но это стоит того. 




> *orvman*
> Выше я писал, что не работать все время с правами привилегированного пользователя это фундаментально и относится ко всем OS. В OS из семейство UNIX ведь изначально заложен принцип - не работать *без необходимости* с правами Root, а ведь тогда это было чисто серверная OS, где надо только администрировать.
> Если я не работаю с правами привилегированного пользователя, то мне нет никакой необходимости соблюдать пункты 2, 3. И я действительно больше года не злоупотребляю правами Administrator и не соблюдаю рекомендации 2, 3. И читая обсуждение про проблем с вирусами, я все больше понимаю - *лучшей зашиты не будет никогда.* Антивирус это суррогатный заменитель той безопасностью, что заложено в файловую систему и принцип разграничение прав запушенных приложений на уровне CPU. Какое может быть безопасность если вирусы работаю  с такими же привилегиями как антивирусы.
> Любителям все время администрировать, советую почитать Windows Security Q and A .

----------


## BEPYHR

> Прежде всего нужно следить что бы всегда были установлены все критические обновления Windows


  У меня Windows левый, и не обновляется.  Это критично?



> либо нет умения/желания искать ломанный


  Желание есть, умения нет.  Подскажите пожалуйста.

----------


## Geser

Мы не даём консультации по поводу взлома программ.

----------


## forceMX

Всем доброго времени суток! Я новичок в деле защиты информации, но слышал, что есть программы которые сами распознают вирусы, а не требуют постоянных обновлений и "человеческого фактора". Возможно я не совсем верно выразил суть. Подскажите о чем речь и если такое?

----------


## MOCT

> Всем доброго времени суток! Я новичок в деле защиты информации, но слышал, что есть программы которые сами распознают вирусы, а не требуют постоянных обновлений и "человеческого фактора". Возможно я не совсем верно выразил суть. Подскажите о чем речь и если такое?


либо поведенческий блокиратор (не то приложение не туда полезло), либо эвристический анализатор (ищет куски кода, похожие на уже известные зловредные программы).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

За роботами глаз да глаз нужен. А то им того и гляди электроовцы снится начнут.

----------


## Dimos

Поставил себе AntiVir и Outpost Firewall. Иногда бывает начинает сильно тормозить система от файрволла, отключаю файрволл, получаю себе вирусов. Все переустанавливаю. Если файрволл не отключаю, то система работает как черепаха и ничего невозможно сделать. Я уже просто не знаю, че делать...

----------


## Dimos

Простите, снимаю свой вопрос. Оказалось я просто умудрился словить себе W32.Spybot.Worm... На этом форуме уже был топик с указаниями, но все ссылки из него к сожалению дохлые. Ищу, как эту дрянь убрать...

----------


## Kuzz

> *orvman*
> В OS из семейство UNIX ...


В этих самых ОС-ях еще и ядро пересобирается. ИМХО потом вирусу тяжелее перехват выполнять. Или нет? :Huh:

----------


## Jolly Rojer

> *Firza*, Вы работали когда-нибудь на серверах? На тех самых, например W2003? Где стоит куча сетевого софта, ISA и т.д. и т.п.
> Логиниться под юзером? А администрировать как?
> Делаем выводы.
> А насчет меня скажу так. Соглашусь с теми, кто не логинится под админами, есть уязвимость. Это известно всем. 
> Вопрос другой. А кто мешает пользователю поставить программный фаер + антивирь и вдовесок по желанию купить железяку на фильтрацию входящих пакетов, дабы разгрузить программный фаер?
> Ни разу в жизни не логонился под юзверями. Бред какой-то. Но это IMHO.


Поддерживаю полностью! А интересно мне было бы посмотреть что человек с отсутствием прав админа наадминит.... !




> *orvman*
> Выше я писал, что не работать все время с правами привилегированного пользователя это фундаментально и относится ко всем OS. В OS из семейство UNIX ведь изначально заложен принцип - не работать *без необходимости* с правами Root, а ведь тогда это было чисто серверная OS, где надо только администрировать.
> 
> Если я не работаю с правами привилегированного пользователя, то мне нет никакой необходимости соблюдать пункты 2, 3. И я действительно больше года не злоупотребляю правами Administrator и не соблюдаю рекомендации 2, 3. И читая обсуждение про проблем с вирусами, я все больше понимаю - лучшей зашиты не будет некогда. Антивирус это суррогатный заменитель той безопасностью, что заложено в файловую систему и принцип разграничение прав запушенных приложений на уровне CPU. Какое может быть безопасность если вирусы работаю  с такими же привилегиями как антивирусы.
> Любителям все время администрировать, советую почитать Windows Security Q and A .


Вы сказали конечно верно, но стоит учитывать еще одно!!!  Самый лучший антивирус и файрвол это ум человека,его знания и прямые руки...! Ведь всем нам давно известно и достаточно много людей пишущих на форум прошу заметить с отсутствием прав администратора  имеюшие и антивирус и файрвол....но постоянно цепляющие всякую заразу!!! Попрошу извинить меня за резкость высказывания "Техника в руках идиота - груда металлолома!" Ни кого не хотел обидеть!!!! ИМХО!

----------


## RiC

> *Firza*, Вы работали когда-нибудь на серверах? На тех самых, например W2003? Где стоит куча сетевого софта, ISA и т.д. и т.п.


Не поверишь  :Wink:  работал и работаю начиная от NT 3.5 и далее по списку.




> Поддерживаю полностью! А интересно мне было бы посмотреть что человек с отсутствием прав админа наадминит.... !


Легко и непринуждённо. Делается 2 аккаунта Админ и User, если что-то надо - с Users`ского RunAS на админский, под NT4 тоже самое - SU  :Stick Out Tongue:

----------


## Jolly Rojer

> Не поверишь  работал и работаю начиная от NT 3.5 и далее по списку.
> 
> Легко и непринуждённо. Делается 2 аккаунта Админ и User, если что-то надо - с Users`ского RunAS на админский, под NT4 тоже самое - SU


По повода админской учетки и пользовательской, RunAS, все понятно..... RIC вы же не сидите на серваке потстоянно и тем более не лазите с него по сайтам сомнительного содержания в результате чего под угрозой могут стоять данные пользователей вашей сети! Больше чем уверен,что так и есть! ( видал я и таких людей которые юзают виртуальные машины с ограниченными правами....просто все зависит от степени параноидальности человека) А слова мои были о людях которые и с ограниченными правами умудряются нагрести много всякого добра.... и антивир с файром тут не помогут.... и не помогут до тех пор пока не включиться в процесс голова!

----------


## ALEX(XX)

Есть одна утилита, которая позволяет к выбранному приложению создать ярлык и автоматом запускать его с админскими правами, когда находишься в ограниченной учётке. Очень полезная тулза!

----------


## drongo

> Есть одна утилита, которая позволяет к выбранному приложению создать ярлык и автоматом запускать его с админскими правами, когда находишься в ограниченной учётке. Очень полезная тулза!


Батенька , линком поделитесь на тулзу , я тоже хочу попробовать .

----------


## Jolly Rojer

К стати... присоединяюсь у Drongo ! Не помешает!

----------


## ALEX(XX)

> Батенька , линком поделитесь на тулзу , я тоже хочу попробовать .


Отчего ж не поделиться  :Smiley:  Я сам узнал про эту тулзу, когда столкнулся с тем, что программный комплекс АВК-3 (автоматическое составление смет) ни в какую не хочет запускаться от Usera, как объяснили разработчики, из-за защиты от взлома, эти же разработчики посоветовали эту утилиту, которая как раз и была создана для решения этой проблемы.




> *Менеджер запуска*. Позволяет запускать приложения под правами другого пользователя в операционной системе *MS Windows XP*.
> В случае с программным комплексом *АВК3* - позволяет стартовать задачу, находясь в системе не под _Административными_ правами.


Собственно сам *Менеджер запуска* и к нему *Инструкция для системного администратора*

----------


## Firza

Запускать любую программу с правами Administrator можно из контекстного меню EXE файлов, добавив в Registry такой ключ:


> [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\  Run as Admin\Command]
> @="runas.exe /savecred /noprofile /env /user:Administrator \"%1\""


 Параметр /savecred сохраняет пароль Administrator, но я не рекомендую его использовать.

----------


## drongo

http://www.virustotal.com/vt/en/resu...d55caaadc492e2
Может эвристика шалит , но всё же 2 антивируса  сомневаются .
Олег провёл анализ . Прога безопасна для использования. Однако, если тулза попадёт в плохие руки, пароль админа будет известен за пару минут .Хороший способ украсть пароль админа  :Smiley:

----------


## Kuzz

> Собственно сам *Менеджер запуска*


Респект, полезнейшая весчь в хозяйстве. Время под Admin->0!

----------


## ВодкуГлыть

> Отчего ж не поделиться  Я сам узнал про эту тулзу, когда столкнулся с тем, что программный комплекс АВК-3 (автоматическое составление смет) ни в какую не хочет запускаться от Usera, как объяснили разработчики, из-за защиты от взлома, эти же разработчики посоветовали эту утилиту, которая как раз и была создана для решения этой проблемы.
> 
> 
> 
> Собственно сам *Менеджер запуска* и к нему *Инструкция для системного администратора*


Подождите, чего-то недопонимаю, а запуск из контекстного меню, "Запуск от имени..."?

----------


## Зайцев Олег

> Подождите, чего-то недопонимаю, а запуск из контекстного меню, "Запуск от имени..."?


Так эта программа и есть "Запуск от имени...", только автоматизированный. Программа ведет базу данных - в ней описано, какие программы и из под какого аккаунта запускать (по сути "программа" - "логин" - "пароль"). Соответственно вместо запуска программы gluck.exe я запускаю эту утилиту с ключем gluch (ярлыки для запуска она генерит автоматом), она лезет в базу и узнает из нее параметры запуска. Правда база зашифрована подстановочным шифром, который раскалывается моментом и все пароли видны ... надо бы хотя-бы ДПСЧ или что-то посерьезнее.

----------


## ВодкуГлыть

> Так эта программа и есть "Запуск от имени...", только автоматизированный. Программа ведет базу данных - в ней описано, какие программы и из под какого аккаунта запускать (по сути "программа" - "логин" - "пароль"). Соответственно вместо запуска программы gluck.exe я запускаю эту утилиту с ключем gluch (ярлыки для запуска она генерит автоматом), она лезет в базу и узнает из нее параметры запуска. Правда база зашифрована подстановочным шифром, который раскалывается моментом и все пароли видны ... надо бы хотя-бы ДПСЧ или что-то посерьезнее.


Потому-то я и отнесся скептически к этой прграммуле - надо же где-то логин/пароль хранить, а значит и добраться до них возможно.

----------


## Andrey789

Читаю вещи типа "полез в инет, нахватал червей" и.тд. 
Объясните пожалуйста, может ли система заразиться без непосредственного участия пользователя, т.е. без даблклик на исполняемых файлах, разрешения запуска через ActiveX, Java  и т.д.
Если это возможно, то каким образом?

----------


## SDA

Дырявый 1 сервис пак и сетевые черви заползают в систему без кликов на исполняемых файлах, вообще без телодвижений юзера, в течении 5-10 минут нахождения в интернете. :Smiley:

----------


## Andrey789

SDA, а нельзя ли поподробней технологию "проползания". Или ссылку.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

Первый червь такого типа, вызвавший пандемию:
http://www.viruslist.com/ru/viruses/...?virusid=24773

Впрочем, сначала был червь Морриса - тоже ведь полностью самоходный.

----------


## eech

> Читаю вещи типа "полез в инет, нахватал червей" и.тд. 
> Объясните пожалуйста, может ли система заразиться без непосредственного участия пользователя, т.е. без даблклик на исполняемых файлах, разрешения запуска через ActiveX, Java  и т.д.
> Если это возможно, то каким образом?


Такое бывает. И вышеописанный "Лёва" прекрасно с этим справлялся. Другой нашумевший случай - так называемый wmf-эксплоит. ЗахОдите на страничку с картинкой в формате wmf, и на вашей машине выполняется программа хакера, встроенная в "картинку".

Хочу все же повторить избитую истину, что в связке "человек-компьютер" наиболее уязвимым является именно человек.  :Sad:  Чаще всего мы сами протаскиваем заразу в компьютер.

----------

