# Форум на русском языке  > Основы информационной безопасности  > Общая сетевая безопасность  >  я, возможно, крамолу спрошу, но нафиг нужны все эти антивирусы, если они не защищают

## Boom

Достаточно открыть любую тему в разделе "помогите", и у пользователя в 99% случаев стоит какой-то антивир. Тем не менее, зараза успешно размножается. Я понимаю, что вирусолечители могут не успевать за вирусописателями в чем-то, но... в моем конкретном случае Dr.Web-овский spider засек появление вирусни, но не смог придушить на начальном этапе. И после этого вылечить тоже не смог. Зачем мне такой антивирус, не понятно... И от этого грустно ибо навивает мысли о каком-то лохотроне...  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ALEX(XX)

Мужик, не поверишь, в аптеках тонны лекарств, а люди всё равно болеют...  :Smiley:

----------


## rav

Элементарно- потому что современные антивирусы не могут обеспечить приемлемый уровень защиты от зловредных приложений. Пользуйся топовыми HIPS, они спасают.

----------


## ALEX(XX)

> Элементарно- потому что современные антивирусы не могут обеспечить приемлемый уровень защиты от зловредных приложений. Пользуйся топовыми HIPS, они спасают.


Ум, самая толковая HIPS, ИМХО

----------


## sergey888

> Мужик, не поверишь, в аптеках тонны лекарств, а люди всё равно болеют...


В точку. 
Лучше и не скажешь. 

А если по теме, ясно что любой антивирус может что-то пропустить, но может и не пропустить. А без антивируса есть только первый вариант.

----------


## priv8v

...также не забывайте, что одна из самых больших брешей в системе - это криворукий юзер...

----------


## Boom

> А если по теме, ясно что любой антивирус может что-то пропустить, но может и не пропустить. А без антивируса есть только первый вариант.


Я и говорю, больше на лохотрон похоже  :Smiley:  "Несите нам денюжки, а мы, может быть, вас когда-нибудь защитим". И если в случае "обычных" вырусов это "когда-нибудь" бывает в 99.9% случав, то в случае malware2 вероятность падает практически до 0. Только вот "обычный" вирус я последний раз видел, наверное, во времена доса.

В моем случае меня добивает, что:
1. вирь был обнаружен по логам файрвола. Активный антивир молчал.
2. путем манипуляций с безопасным режимом можно было заставить антивир найти вирусню и даже попытаться ее вылечить, но после перезагрузки все возвращалось назад. 

Не было бы файрвола и любознательного пользователя на том компе (это не я), так бы никто никогда ничего и не узнал. Нафига, спрашивается, мне такой антивирь? В общем, это так, вопрос риторический, можно не отвечать  :Smiley:

----------


## Зайцев Олег

> Я и говорю, больше на лохотрон похоже  "Несите нам денюжки, а мы, может быть, вас когда-нибудь защитим". И если в случае "обычных" вырусов это "когда-нибудь" бывает в 99.9% случав, то в случае malware2 вероятность падает практически до 0. Только вот "обычный" вирус я последний раз видел, наверное, во времена доса.
> 
> В моем случае меня добивает, что:
> 1. вирь был обнаружен по логам файрвола. Активный антивир молчал.
> 2. путем манипуляций с безопасным режимом можно было заставить антивир найти вирусню и даже попытаться ее вылечить, но после перезагрузки все возвращалось назад. 
> 
> Не было бы файрвола и любознательного пользователя на том компе (это не я), так бы никто никогда ничего и не узнал. Нафига, спрашивается, мне такой антивирь? В общем, это так, вопрос риторический, можно не отвечать


На самом деле это типовое заблуждение. Дело в том, что если:
1. Установить антивирус на чистую систему
2. Подрезать права пользователя, под которым будет идти повседневная работы (хотя-бы до Power User, в идеале - до обычного юзера). 
И все, ПК получает защиту на 99.99999% от всех напастей. А вот если юзер сидит под админом, то получается, что по сути процесс антивируса и процесс зловреда работают с равными правами (про ситуацию, когда драйвер зловреда установился раньше антивируса я вообще молчу - в данной ситуации у зловреда значительное преимущество). Конечно есть проактивка, самозащита и прочие чудеса, но подменять ими штатную систему привилегий операционки глупо ... если интересно, можно смеха ради попробовать позапускать разных инсталляторов малварей с руткитами из под ограниченной учетной записи - результаты приятно удивят  :Smiley:

----------


## Shark

Я порешал дело проще - отрубил автозапуск. О вирях забыл. + подхожу ко всему с умом.

----------


## Boom

> На самом деле это типовое заблуждение. Дело в том, что если:
> 1. Установить антивирус на чистую систему
> 2. Подрезать права пользователя, под которым будет идти повседневная работы (хотя-бы до Power User, в идеале - до обычного юзера).


знать бы чего резать. Под обычным юзером сидеть - мука. Кстати, запуск IE через 
runas /noprofile /user:[email protected]*** iexplore.exe не спасет?




> А вот если юзер сидит под админом, то получается, что по сути процесс антивируса и процесс зловреда работают с равными правами


Согласен. Но, по идее, у антивируса д.б. преимущество, т.к. он уже запущен, а зловреда еще нет. И не может она (зловреда) сразу на уровне ядра запуститься. Т.е. imho антивирь прощелкивает ключевые этапы заражения...

----------


## Зайцев Олег

> 1. знать бы чего резать. Под обычным юзером сидеть - мука. 
> 
> 2. Кстати, запуск IE через runas /noprofile /user:[email protected]*** iexplore.exe не спасет?
> 
> 
> 
> 3. Согласен. Но, по идее, у антивируса д.б. преимущество, т.к. он уже запущен, а зловреда еще нет. И не может она (зловреда) сразу на уровне ядра запуститься. Т.е. imho антивирь прощелкивает ключевые этапы заражения...


1. А что мучительного то ? На ПК ставится необходимый для работы софт и он может не меняться годами ... и все будет работать как часы. А вот если постоянно что-то устанавливать, удалять, переустанавливать, то система стремительно начинает напоминать помойку, начинает работать нестабильно и глючить. Пример - у меня на моем основном ПК система переставлялась 2 года назад, последнее значимое изменение в установленном софте было полгода назад. И что интересно - за эти два года компьютер ни разу не повисал, не глючил, я не видел никогда "синего экрана"
2. Не спасет. Это повысит защищенность, так как запущенный в контексте IE зловред или зловредный скрипт будет ограничен в правах и не сможет сильно навредить ... но это не панацея.
3. Преимущество антивируса в том, что он установлен раньше, теряет значимость с учетом того, что антивирус может скачать каждый желающий и неделями искать дырки в создаваемой им защите (а как известно, в каждой мышеловке обязательно существую дырочки  :Smiley:  ). В то время как вирусологи узнают о новом методе обхода защиты только после появления реализующего его зловреда ... меры конечно будут приняты, но это получается неизбежная "борьба щита и меча".

По поводу п.п. 1 - если уже так хочется эксперименторовать с установкой нового софта, игрушек и т.п., то можно завести две операционки - одну с антивирусом, урезанными правами и т.п. - для работы, ползанья в Инет и т.п, вторую - без антивируса и с правами админа, с которой снять образ тем-же Acronis для отката и творить на ней все, что угодно (в это операционке не будет почтовых программ, платежных системы и хождения по Инет - поэтмоу ущерб от зловреда будет по сути нулевым). Для защиты системы можно произвести физическое разделение (т.е. использовать два ПК или в одном ПК поставить два HDD и попросить знакомого электронщика поставить на "морде" компьютера тумблер, переключающий шины питания +5 и +12 вольт только на один из этих двух дисков. Если "щелкнуть" таким тумблером в ходе работы ПК, крах системы или как минимум BSOD гарантиррован, а вот если завершить работу и выключить ПК, затем тумблером выбрать систему и снова загрузиться  - получим "аппаратную мультизагрузку" и полной аппаратной изоляции одного диска от другого

----------


## Boom

> Пример - у меня на моем основном ПК система переставлялась 2 года назад,


Ну... У папана на компе XP без переустановки стояла с 2002года. Папан постоянно что-то ставит-сносит, проблем нет  :Wink:  Точнее не было до недавней смерти винта от старости и подключения adsl. После подключения полезли проблемы  :Smiley: 




> 2. Не спасет. Это повысит защищенность, так как запущенный в контексте IE зловред или зловредный скрипт будет ограничен в правах и не сможет сильно навредить ... но это не панацея.


В чем тогда разница между работой под ограниченным эккаунтом и запуском через runas с использованием того же ограниченного экаунта?

----------


## Зайцев Олег

> В чем тогда разница между работой под ограниченным эккаунтом и запуском через runas с использованием того же ограниченного экаунта?


Когда я работаю под ограниченной учетной записью, все запускаемые мной процессы работают под этой ограниченной записью ... (если я не запуще что-то с большими или меньшими привилегиями через тот-же RunAs или планироващик. А вот если я работаю с правами адлмина и с урезанными правами запускаю только IE, то я снижаю вероятность проникновения заразы через IE, и не более того ... и скажем установка флешки с червяком или открытие в электронной почте картинки с эксплоитом приведет к заражению системы. В результате получается "полумера".

----------


## Boom

> А вот если я работаю с правами адлмина и с урезанными правами запускаю только IE, то я снижаю вероятность проникновения заразы через IE, и не более того ... и скажем установка флешки с червяком или открытие в электронной почте картинки с эксплоитом приведет к заражению системы. В результате получается "полумера".


Это понятно. Я интересуюсь именно в контексте борьбы с заразой, лезущей при обычном инет серфинге через браузер.

----------


## Зайцев Олег

> Это понятно. Я интересуюсь именно в контексте борьбы с заразой, лезущей при обычном инет серфинге через браузер.


Если речь идет только про заразу в IE, то путей несколько:
1. Стоит поставить сто-то типа KIS - продукт с WEB-антивирусом и блокиратором доступа к сайтам, про которые заранее известно, что с них ставится зараза или что они поломаны. Неизбежным следствием будет небольшое подтормаживание при серфинге, на современном ПК как правило незаметное. Это дает "прослойку" между браузером и Инет и задушит известную заразу "на подлете". Плюс HIPS и PDM подобного продукта задавят известную антивирусу опасную активность. Хорошо сочетается с п.п. 4
2. Применить специализированную "песочницу" типа SandBoxIE, которая по сути виртуализирует все действия запущенной программы и соответственно позволит их откатить (и не позволит программе в "песочнице" особенно начудить в системе)
3. Аналог 2, только работать с Inet с виртуалки, например VirtualPC. Тут все совсем хорошо - поработали, виртуалка выключается, все изменения откатываются
4. Урезать права IE через runas

----------


## Макcим

> 3. Аналог 2, только работать с Inet с виртуалки, например VirtualPC. Тут все совсем хорошо - поработали, виртуалка выключается, все изменения откатываются


В том числе закладки, куки, пароли...

----------


## pig

Ну, с параноидальной точки зрения пароли в куках - это зло, подлежащее искоренению.

----------


## Макcим

А с практической?

----------


## Зайцев Олег

> А с практической?


А с практической - зло в квадрате  :Smiley:  Ведь кукиз может спереть зловредный скрипт, следовательно если строить параноидальную защиту, следует отключить прием и сохранение кукизов ...

----------


## Макcим

Тогда за форумы и другие сайты требующие авторизации придется забыть. Нужен ли такой интернет?

----------


## ALEX(XX)

> Нужен ли такой интернет?


Во! Грамотный и очень интересный вопрос, а нужен ли вообще интернет?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## megadat

> Зачем мне такой антивирус, не понятно... И от этого грустно ибо навивает мысли о каком-то лохотроне...


 вся наша жизнь один сплошной лохотрон.
есть ось платная, есть ось бесплатная. есть антивирусы платные, а есть бесплатные. провалы случаются и у тех и других. но выбор всегда есть.
хотя выбор тоже вещь относительная. новый киса - задумка сверхзамечательная, а вот реализация мне не понравилась. первый запуск приложений просто ложит на лопатки, не только слабую психику юзера, но и машинку средней выносливости.
случаются оплошности и не только с пропусками зверьков. принимала как то участие в спасении машинки ушедшей в цикл синек, долго спасали. спасли. мне стало интересно отчего же почему же (ибо были подозрения)...на форуме касперского тайное стало явным - обновления не подошли. много ещё примеров
всегда была поклонницей кисы. исдохла моя старенькая шестерочка, то бишь перестала поддерживаться, пошла на форум тех. поддержки, а у них на все вопросы - один ответ: ставьте новую версию и будет вам счастье, очень рекламировали и советовали "режим блондинки" (для тех кто не знает - это у них автомат так называется). решила оттестить я новый продукт особенно в режиме блонди, терять мне было нечего лицензии на шестерочку там оставалось дней на 8.
оттестила в разных неблагоприятных средах я режим блонди и тоже подумала



> Зачем мне такой антивирус, не понятно...


с горя начала щупать ручной режим...долго думала, пришла к выводу - мудрено, длинно, запутанно и неудобно все. в итоге удалось получить тот результат, который ожидался. в моих руках побывало достаточно антивирусов и фаеров особенно, и то пришлось пару раз напрячься чтоб осилить происходящее. возможности у нового продукта оказались прекрасными, но их надо было добыть и активировать через ручник. вот и подумалось мне, что купит лицензию неопытный юзер, запустит режим блонди, а будет ли ему счастье? в итоге поставила на слабую машинку на которой скончалась шестерочка авиру и зону к ней влепила. а ведь не люблю я авиру, хоть и неплоха она в чем-то, но не люблю, а выбор пришлось сделать, ибо всегда есть выбор



> и скажем установка флешки с червяком или открытие в электронной почте картинки с эксплоитом приведет к заражению системы. В результате получается "полумера".


 простые правила безопасности могли бы повысить полумеру в меру...не совать пальцы в розетку, не пить из луж, не есть заведомо несъедобные предметы, или не открывать все подряд в почте особенно вложения, тоже относится к автозапуску флешки. в остальных случаях хватает 


> продукт с WEB-антивирусом





> блокиратором доступа к сайтам, про которые заранее известно, что с них ставится зараза или что они поломаны.


 а это реализовано в фоксе уже, да и поисковики уже пытаются при выдаче списка на поисковое слово ставить метки.

----------


## Ivaemon

> Тогда за форумы и другие сайты требующие авторизации придется забыть. Нужен ли такой интернет?


На эти сайты и форумы разрешаем (зная, что они безопасные), на остальные запрещаем. Дополнение к Файрфоксу CSlite делает процесс очень удобным.

----------


## pkt

> Тогда за форумы и другие сайты требующие авторизации придется забыть. Нужен ли такой интернет?


ручками придется пароли вводить. Ставьте менеджер паролей, тогда у трояна меньше шансов спереть инфу.

----------


## Макcим

> На эти сайты и форумы разрешаем


Как??? Виртуалка всё откатит по окончании работы.

----------


## Ivaemon

> Как??? Виртуалка всё откатит по окончании работы.


Ах да, речь шла об этом... тогда пардон. Именно по этой причине терпеть не могу виртуалку и мирюсь с 0,5% недоверия своему антивирю.
Кстати - почти за 5 лет *ни разу* не заражался. Антивирусы (ставил по очереди почти все) отлавливали реальную заразу десятки, если не сотни раз. К вопросу о нужности АВ.

----------


## Mihalych_L

Что такое HIPS?

----------


## drongo

> Что такое HIPS?


О, это классное слово :Smiley:  Смотря в каком контексте  :Smiley: Шакира про них поёт  :Smiley:  Hips don't lie  ( Бёдра мои не лгут ) 
А ещё это значит high-impact polystyrene - пластмасса такая  :Smiley: 
 Жми и узнаешь что значит в контексте компьютерной безопасности

----------


## antivor

К вопросу о лохотроне - у нас есть такая замечательная область, как автопром )) дайте нам немножко денег и оно как-то поедет  :Wink:  у меня товарищ есть, юзал Москвич 2141, пока тот не скончался, от нехватки денег. теперь купил праворукую тойоту - я давно не видел таких счастливых людей! хотя согласен, аналогия не совсем точна. с антивирями все несколько менее прозрачно.
Могу сказать, что имея здравый рассудок и алергию на непонятные ссылки и сайты, вероятность заразиться стремится к нулю. а когда народ не глядя тыкает в письма с приглашениями в odnoklassinki.ru (всего-то 1 буква разницы) - о чем речь? на уровне корпоративной сети - баны и лимиты в правах всем. а домашним юзерам - придет с опытом. или не придет. но это уже их проблемы. дурака учить - только портить. есть антивирусы. нет защиты от дурака.

----------


## rav

> Смотря в каком контексте


Но самый прикольный- вот этот!

----------


## bse

> Но самый прикольный- вот этот!


А самый надежный - Ваш.
А че никто не поздравляет?
Поздравляю.  :Smiley:

----------


## V.P.

*rav*, присоединяюсь к поздравлениям.

----------


## rav

Спасибо большое!

----------


## priv8v

а чего этот тест нигде на ВИ не обсуждают?((
или я прохлопал ушами?))

----------


## rav

Неа, не обсуждают. Видимо, неинтересно, Касперский только второй...  :Smiley:

----------


## rav

> Если можете эффективно обходиться без оных, то обязуюсь впредь называть Вас не иначе как *IT-СПЕЦИАЛИСТ экстра-класса*.


Для того, чтобы жить без антивируса, не нужно быть специалистом экстра-класса. Нужно лишь иметь хороший HIPS.

----------


## priv8v

> Честно говоря пол-годичные тесты лично мне не представляют особого интереса.


все-таки тестировалось в основном не то, что обычно - не сигнатурный детект, а анализ активности ... и судя по тому, КАК выбирали семплы для анализа (ссылки и то, что грузил эксплоит) эти тесты не устарели до сих пор - т.е если бы их провели также хоть недели две назад - результаты бы разнились не сильно. 
новизна семплов определялась т.к очень интересным образом...




> есть(были?) определённые нюансы как в самом тестировании, так и в перцептивной объективности оценки дружески настроеных экспертов


вот как раз это можно и обсудить, обдумать. предложить свои варианты/улучшения/доработки тестирования и т.д




> Очень нехватает новых/обновлённых (=улучшеных) участников ИМХО.


а как Вы узнаете обновлены они или нет? новые и улучшенные они или просто хорошо закриптованные? (ведь их "новость" определялась именно файловым антивирем (сигнатурным детектом) - заливкой на вирустотал). Т.е нету никаких гарантий, что это будут новинки...
Если бы они публиковали как они детектятся по классификации ЛК - то еще куда ни шло - тут можно было бы и посмотреть насколько новы семплы и что они делают (найти самому такие и ковырнуть).


####################




> Цитата:
> Сообщение от NRA Посмотреть сообщение
> Если можете эффективно обходиться без оных, то обязуюсь впредь называть Вас не иначе как IT-СПЕЦИАЛИСТ экстра-класса.
> Для того, чтобы жить без антивируса, не нужно быть специалистом экстра-класса. Нужно лишь иметь хороший HIPS.


Господа, такими темпами мы снова свалимся в обсуждения brain.exe, прямых рук, правильной настройки системы и т.д - все приходит к этому, когда разговор заходит в таком духе...
Ведь кто-нибудь обязательно придет и скажет, что достаточно, в принципе, мозгов и т.д.
И будет с какой-то точки зрения прав ... ну и т.д
Это нам нужно?..

----------


## Alex_Goodwin

> Для того, чтобы жить без антивируса, не нужно быть специалистом экстра-класса. Нужно лишь иметь хороший HIPS.


1 пропущенный сэмпл из 34 это мало или много? и не имея антивирус, сигнатуры которого в дальнейшем могли бы помочь, как хипс вылечит заражение?

----------


## priv8v

> пропущенный сэмпл из 34 это мало или много?


еще не ясно что именно он пропустил...

...кстати, прежде чем кидаться в кулачный бой стенка на стенку нужно решить - кому мы что доказываем? себе? а смысл? мы вроде бы и так разумеем... домохозяйке?..
Хм... если нет или да, то опять (и в том и в другом случае) можно закрыть этот один пропущенный семпл мозгами, руками и лисой с носкрипт  :Smiley: 
Т.е опять замкнутый круг)

----------


## bse

> как Вы узнаете обновлены они или нет? новые и улучшенные они или просто хорошо закриптованные? (ведь их "новость" определялась именно файловым антивирем (сигнатурным детектом) - заливкой на вирустотал). Т.е нету никаких гарантий, что это будут новинки


Имелись ввиду обновления программ защиты, их новые версии и сборки, которые "к сожалению" антималвары все еще выходят...



> Если бы они публиковали как они детектятся по классификации ЛК - то еще куда ни шло - тут можно было бы и посмотреть насколько новы семплы и что они делают


?..


> Сергей Ильин:
> Некоторые и до сих пор не детектируют эти образцы 
> Посмотрите в поиске по хешу на virustotal.com, хеши указаны в экселевском файле (полном отчете о тестировании).





> Вердикт по классификации Лаборатории Касперского


!..



> Это нам нужно?..


Что же вам тогда нужно?.. Попробую угадать...

Результаты протестированных продуктов с настройками от производителя возможно должны быть интересны тем, кто сам ничего не настраивает, а доверяет разработчикам этих программ. Да  и разработчики может чего докрутят в своих настройках по умолчанию ради пущей заботы о начинающих пользователях.

----------


## rav

> 1 пропущенный сэмпл из 34 это мало или много?


А кто сказал, что он был пропущен? Это просто downloader, который выкачивает из Инета файлы и передаёт на них управление. Правда, я подозреваю, что к тому времени, когда он тестировался, внутренние линки уже протухли.




> и не имея антивирус, сигнатуры которого в дальнейшем могли бы помочь, как хипс вылечит заражение?


А зачем что-то лечить, когда нужно всего лишь не заражаться? Да и кто сказал, что на хорошо заражённую машину антивирь вообще встанет?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Alex_Goodwin

Я про то, имхо, подход должен быть сбалансирован. Т.е. антивирь уже должен стоять, а не ставиться на зараженную машину. Что первично, что вторично - не важно. хипс как дополнение к ав или ав как дополнение к хипс. что прошло сквозь одно - споткнется об другое.
Это там был downloader, а в другой раз там может быть русток.z. Автор rku помнится говорил на ам про обход рустоком с DefenseWall. Я не знаю, правда это или нет - вам виднее, но ничто не идеально, ничто нельзя исключать. Поэтому две стены лучше чем одна.

----------


## rav

> Я про то, имхо, подход должен быть сбалансирован. Т.е. антивирь уже должен стоять, а не ставиться на зараженную машину. Что первично, что вторично - не важно. хипс как дополнение к ав или ав как дополнение к хипс. что прошло сквозь одно - споткнется об другое.


Ну да, собсбвенно то, о чём я всегда говорю- первая линия защиты состоит из firewall+HIPS, поскольку не базируются на модели чёрных списков, антивирь как вторая линия защиты от уже известных угроз. Проблема в том, что пиарщики антивирусных компаний позиционируют антивирус как средство защиты первого эшелона, и многие ведутся на этот развод. И когда малварь его пробивает насквозь, то вот и начинают бегать по форумам с криком "где ту  дают по-настоящему хороший антивирус, ХХХ говно".




> Это там был downloader, а в другой раз там может быть русток.z. Автор rku помнится говорил на ам про обход рустоком с DefenseWall.


Может, старые версии и пробивались, новые намного стабильнее в этом смысле. Но тот "Це", что я смотрел, мою защиту не пробивал.

----------


## NRA

> Может, старые версии и пробивались, новые намного стабильнее в этом смысле


Илья, я с Вами согласен что панацеи нет и ближайшее время не предвидится, и, к сожалению обычных пользователей, мальвары "обновляются" намного чаще и интенсивнее чем защита.
Простой пример: только что проинсталлированая система на чистый винт и установлен знаменитый антивирус+обновления+все настройки на параноика. Исталируется eMule, создаётся акк оьычного пользователя и из под него запускается eMule с понижеными привилегиями и скачивается файл (кряк) с доступноступными xxxxx фрагментами. После скачивания из архива запускается файл, который "хочет пропатчить .ехе" и система виснет, да ещё так что даже мышка скрекочет как сорока. После запуска всё нормально, но меганавороченый брендовский антивирус уже благополучно не запускается, а при попытке запустить вручную пишет что это не win32 приложение. Инсталятор тоже не хочет. Всё "безвредное" даёт запустить. Кстати, AVZ распознаёт как вредный даже переименованый  :Wink: 
Первая реакция: Ох и ацтой этот антивирь!!!
Хотя моё ИМХО что самое слабое звено здесь был пользователь, которого нельзя "обновить", можно только заменить или обучить.



> А зачем домохозяйкам кряки и порнуха???

----------


## drongo

Под ограниченной учёткой никакой драйвер не поставишь, вот вам и супер защита от изветсных и неизвестных  руткитов  :Smiley: 
rav, интересно, а ваша программа когда под ограниченной учёткой работает- имеет привилегированные права ? 
Я знаю, например каспер имеет права локальной системы  когда в ограниченной учётке работаешь.

----------


## rav

> Под ограниченной учёткой никакой драйвер не поставишь, вот вам и супер защита от изветсных и неизвестных  руткитов


Но только не от ring3-руткитов.




> rav, интересно, а ваша программа когда под ограниченной учёткой работает- имеет привилегированные права ?


Нет, конечно, я что, на идиота похож? Там специальное API для взаимодействия с драйвером, позволяющее работать с моими ветками реестра. Заранее отвечу на вопрос- для недоверенной зоны это API принципиально недоступно. А для любителей пошалить его можно запаролить, без знания пароля пользоваться им нельзя вообще будет.

----------


## drongo

> Но только не от ring3-руткитов.


Спасибо за ответ.User-mode-подобные не особо опасны и их довольно легко обнаружить.
Пока ещё к счастью не научились из 3 кольца   к серединке подбираться или уже есть претенденты?

----------


## Зайцев Олег

> Но только не от ring3-руткитов.


И в первую очередь от них  :Smiley: 
Что нужно ring3-руткиту для работы ? Есму нужно инжектить что-то в память других процессов, создавать там троянские потоки (например для инжекта своих DLL или выполнения своего кода), прописываться в автозапуск. Под ограниченной учетной записью писать в память других процессов он не сможет, с троянскими потоками тоже выйдет облом, системные ключи автозапуска (в частности для внедрения DLL во все процессы) также будут недоступны на запись. Поэтому R3 руткит под ограниченной учетной записью нормально работать не сможет ...

----------


## rav

> Под ограниченной учетной записью писать в память других процессов он не сможет


Процесс может открыть другой процесс в том случае, если их уровень привилегий совпадает либо у второго он ниже. Кстати, аналогично и с установкой хуков. Таким образом, если пользователь работает под учёткой с пониженными привилегиями, ring3 руткит запросто сможет работать. Более того, ключи автозапуска из HKCU доступны. Просто мало кто так работает, поэтому многие трояны и руткиты работают исходя из модели "могу всё".

----------


## Зайцев Олег

> Процесс может открыть другой процесс в том случае, если их уровень привилегий совпадает либо у второго он ниже. Кстати, аналогично и с установкой хуков. Таким образом, если пользователь работает под учёткой с пониженными привилегиями, ring3 руткит запросто сможет работать. Более того, ключи автозапуска из HKCU доступны. Просто мало кто так работает, поэтому многие трояны и руткиты работают исходя из модели "могу всё".


Но вреда он при этом собственно никакого вреда системе не нанесет ... и укорениться в ней толком не сможет (атака равноценного юзеровского процесса и записи в автозагрузку текущего юзера - это все ерунда). В остальном такой руткит не опаснее трояна, который убивет все файлы в профиле юзера ... он не страшен системе, страшен только для файлов юзера

----------


## rav

> Но вреда он при этом собственно никакого вреда системе не нанесет


А это мало кого, в общем, интересует. А вот пошифровать чего важного, или потребовать авторизации чего-нибудь через SMS, пошпионить, показать рекламу, установить AntivitusXP 2009, подменить выдачу гугла- это всё запросто. И именно на этом деньги делаются. Ты забываешь, что малварьные технологии не существуют просто ради того, чтобы быть. Они существуют для извлечения прибыли.

----------


## priv8v

> ?..


чего?.. могу гарантировать, что через неделю (т.к проверяли на вирустотале) образцы уже детектились ЛК - поэтому можно было давать их классификацию.
Вообще у меня задумка с кем-нибудь объединиться и потестить что-нибудь (например антируткиты ну или на худой конец антивирусные пакеты). 
Для открытости тестирования и его нужности надо взять штук 10 популярных современных малваре, юзающих руткит технологии, предварительно написать их описания (типа того как тут - http://virusinfo.info/showthread.php?t=31173 что бы всем было видно что вообще тестили, только если тест антируткитов, то поподробнее описать именно эту сторону вопроса...). 
Затем протестировать антируткиты на них - тестить можно по нескольким параметрам, как-то: умение обнаружить (все или частично), умение удалить (все или частично), возможность восстановить хуки (если таковое требуется и возможно - все зависит от того, как скрываются)... ну и еще что-то придумать...
Но о чем это я?.. Да о том, что я считаю, что правильнее было бы постить названия еще зловредов и их краткое описание, если уж на подробные не хочется тратить время...




> Имелись ввиду обновления программ защиты, их новые версии и сборки, которые "к сожалению" антималвары все еще выходят...


а это практически имеет очень небольшое значение в данном тесте при таком механизме тестирования, когда новость файла определяется его палимостью на вирустотале....

----------


## 9073

> Достаточно открыть любую тему в разделе "помогите", и у пользователя в 99% случаев стоит какой-то антивир. Тем не менее, зараза успешно размножается. Я понимаю, что вирусолечители могут не успевать за вирусописателями в чем-то, но... в моем конкретном случае Dr.Web-овский spider засек появление вирусни, но не смог придушить на начальном этапе. И после этого вылечить тоже не смог. Зачем мне такой антивирус, не понятно... И от этого грустно ибо навивает мысли о каком-то лохотроне...


Все беды от тотального злоупотребления учетными записями с правами администратора.
Вопрос. Есть у кого нибдь данные - в США и Европе тоже 99 из 100 домашних пользователей работают под админом?

К *Boom* - ты ведь не под администраторам работаешь?

----------


## pig

> Есть у кого нибдь данные - в США и Европе тоже 99 из 100 домашних пользователей работают под админом?


С позиций общей интеллигентности - цифры должны быть близки к этому. Обыватель не знает, что такое разграничение прав.

----------


## zerocorporated

> С позиций общей интеллигентности - цифры должны быть близки к этому. Обыватель не знает, что такое разграничение прав.


И не хочет знать.

----------


## Firza

> И не хочет знать.


Простой пользователь работает с настройками по умолчанию, и если по умолчанию ему предлагает пользователя с правами Администратора, то он и будет под ним работать. Откуда он может знать, что работать под Администраторам плохо? Учат ли этому где-нибудь?
Если зайти на домашнюю страницу какого не будь антивируса или ресурса по компьютерной безопасности, то там будет куча советов про то что обязательно надо антивирус, продвинутый personal firewall (встроенный в Windows XP г...но) , antispyware. Что регулярно надо обновлять антивирус, OS и другие программы, что не надо открывать файлы от полученные от неизвестных персон. А совет о том что не надо все время работать с правами Администратора удастся найти с большим трудом, если вообще удастся найти. Получается так, что те, который могли бы посоветовать пользователям, как безопасней работать, занимается рекламой своих продуктов, и в принципе не заинтересованы в этой самой безопасной работе на компьютере. Например я, после того как перешел на работу под Limited User, первым делом избавился от антивируса, из-за ненадобности (какой смысл от того что антивирус 10x в день проверять одну и туже программу на заражение, если она в принципе не может быть заражена).

----------


## rav

> продвинутый personal firewall (встроенный в Windows XP г...но)


Встроенный виндовый файервол очень хорошо выполняет свою основную задачу- защита от входящих подключений. А защита исходящих не есть задача файерволов, это задача HIPS.

----------


## V.P.

> Встроенный виндовый файервол очень хорошо выполняет свою основную задачу- защита от входящих подключений. А защита исходящих не есть задача файерволов, это задача HIPS.


Согласен с Вами.
ИМХО, потому микрософт и выпустила связку из брандмауэра и защитника. И во встроенной в ОС справке висты можно найти интересные полезные рекомендации по использованию контроля учетных записей пользователей, проводника программного обеспечения и пр. И все это, самое главное, работает в совокупности не хуже самых разрекламированных антивирусных программ. А кто захочет снова вспомнить про микрософтовы дыры, пусть помнит-не-забывает, что ни один антивирус гарантий тоже не дает. "А если не видно разницы, так зачем платить больше?"  :Wink:

----------


## Firza

> Встроенный виндовый файервол очень хорошо выполняет свою основную задачу- защита от входящих подключений. А защита исходящих не есть задача файерволов, это задача HIPS.


Я и не говорю что, встроенный Windows Firewall плох. Даже наоборот, он очень стабильный, хорошо выполняет свою работу, и по сравнении с некоторыми “продвинутыми” _personal firewall_, хорошо сам себя защищает. Если пользователь работает с правами Limited User, то он не может его отключать или изменить его настройки. А у некоторых “продвинутых” _personal firewall_, нет разницы с какими правами пользователь работает, изменить правила, и даже отлучить firewall может любой пользователь.
По поводу того что Windows Firewall – г....но, это я только высказал точку зрение многих сайтов посвященный компьютерной безопасности.
Вообще непонятно, кому пришла в голову мысль что хороший firewall,это тот который хорошо защищает других пользователей от исходящего локального заражение пользователя, у которого этот firewall установлен. Странно, только то,что это разделение на “хороший / плохой” firewall относится только к Windows (результаты _leak tests_ на MacOS, Linux, BSD никак не удается найти).

----------


## 9073

> И не хочет знать.


Тоесть?

----------


## drongo

> Тоесть?


Пофигизмус  юзерус  (_pophygismus userus_)- основной вид пользователей в природе интернета

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## 9073

Да не, если бы был массовый пофигизмус - тогда и антивирусов бы не стояло на большинстве компов. Если бы люди не думали о безопасности, но ведь стоят, значит думают. Просто никто из них не знает, не в теме, а те кто знают - молчат, чтобы денег заработать или стату понабивать.

*Добавлено через 4 минуты*

Я например всю жизнь не ведал о этой проблемме и считал и искал самый-самый антивирус. А оказалось смотреть надо было дальше. Антивирус это вторично, а может и ещё дальше.

*Добавлено через 9 минут*

Хотя, может и тотальный пофигизмус. Кароче - кому надо, тут уже вкурил.

----------


## drongo

Самая главная  защитa -это уже говорили-  brain.sys(exe),  hands.dll 
Следом идёт настройка системы, и только потом программы защиты.
Когда новый комп покупаешь -втюривают обычно ознакомительную версию антивируса на 3 месяца (она предустановлна) и после истечения срока лицензии большинство пользователей считают что у них есть защита и вряд ли даже заходили хоть раз в настройки  :Smiley: 


*
P.S.Система защиты-  как постройка дома 

Фундамент это brain.exe, hands.dll
Лобби- настройка системы, разграничение прав
Потом уже идут   этажи и крыша-программы защиты и шифрования.
Файрвол- что-то вроде крыши  
Без фундамента- защита рухнет как карточный дом, без лобби - не войдёшь*

----------


## PavelA

У меня по этой терминологии: фундамента нет, лобби - нет, да и что это такое.
один этаж есть - а/вирус.
Это, правда, мой не совсем стандартный случай.

----------


## drongo

> У меня по этой терминологии: фундамента нет, лобби - нет, да и что это такое.
> один этаж есть - а/вирус.
> Это, правда, мой не совсем стандартный случай.


В Израиле  есть такое творение инженерной мысли- карaван называется( вагончик такой из гибса, ужас в таком жить )

----------


## PavelA

> В Израиле  есть такое творение инженерной мысли- карaван называется( вагончик такой из гибса, ужас в таком жить )


Офф: я всегда поражался тому, что строят для жилья в Штатах, да и у Вас. Это у нас в России не выстоит. {как много я этот мсж редактировал}[/офф]

----------


## ivant

> А это мало кого, в общем, интересует. А вот пошифровать чего важного, или потребовать авторизации чего-нибудь через SMS, пошпионить, показать рекламу, установить AntivitusXP 2009, подменить выдачу гугла- это всё запросто. И именно на этом деньги делаются. Ты забываешь, что малварьные технологии не существуют просто ради того, чтобы быть. Они существуют для извлечения прибыли.


т.е., как понял я из Вашей с Олегом дискуссии, и под ограниченной учетной записью полноценно пользоваться инетом небезопасно? (для рядового юзера, разумеется, который никогда не слышал про hips)

----------


## Зайцев Олег

> т.е., как понял я из Вашей с Олегом дискуссии, и под ограниченной учетной записью полноценно пользоваться инетом небезопасно? (для рядового юзера, разумеется, который никогда не слышал про hips)


Именно так и есть.  На самом деле многие трояны в теории могли бы работать под ограниченной учеткой, но не работают по тем или иным причинам ... но нужно помнить, что 
1. ворующий пароли троян без проблем утащит пароли пользователя, работая с пользовательскими правами. В 95% случаев его задавит даже встроенный Firewall, поскольку отключить его из под ограниченной учетной записи пользователя троян не сможет
2. Любая деструктивная зараза сможет из под пользовательской учетной записи зашифровать, уничтожить, повредить или своровать файлы пользователя
3. Рассылать спам можно и с правами пользователя, хоть опять-же даже встроенный FW задавит в такой ситуации подавляющее большинство спам-ботов.
Если к ограниченной учетной записи добавить хотя-бы HIPS, а того лучше современный антивирус-комбайн, то бой будет неравный - троян будет иметь сильно ограниченные права, тогда как антивирус - абсолютные.

----------


## rav

Ну, положим, встроенный в винду файер не сможет ничего сделать ни с правильно написанным похитителем паролей, ни с рассылкой спама. Его хватит только на запрет входящих подключений.  Так что наличие любой системы поведенческой защиты есть насущная необходимость вот уже года три как минимум.

----------


## Зайцев Олег

> Ну, положим, встроенный в винду файер не сможет ничего сделать ни с правильно написанным похитителем паролей, ни с рассылкой спама. Его хватит только на запрет входящих подключений. Так что наличие любой системы поведенческой защиты есть насущная необходимость вот уже года три как минимум.


Не все так плохо, можно обойтись и без HIPS  :Smiley:  Дело в том, что встроенный FW спрашивает, пустить тот или иной процесс в Инет или не пускать ... а обойти этот контроль под юзером не очень то выйдет, поэтому большинство  троянов тупо пытаются его перенастройить, записав себя в доверенные

----------


## priv8v

да, одна запись в реестр - и все готово. мне, если честно, не встречались трои, которые бы пробовали обходить системный фаер как-то по-другому. все юзали этот примитивный (но при этом рабочий) метод...
конечно, то, что мне не встречались другие - это не показатель ситуации в целом, т.к возможно Олегу известны кучи других методов обхода системного фаера, но юзаются троян-мейкерами они не часто...

----------


## rav

> Не все так плохо, можно обойтись и без HIPS


Олег, всё именно плохо. Обойтись можно, но ценой такого геморроя и потерянного времени, что обычный пользователь скорее повесится, чес всё сделает правильно.




> Дело в том, что встроенный FW спрашивает, пустить тот или иной процесс в Инет или не пускать


Встроенный файер спрашивает только в случае LISTEN- сокета. Реверсивные технологии работают без проблем.




> а обойти этот контроль под юзером не очень то выйдет


А что, OLE под юзером уже не работает?




> поэтому большинство  троянов тупо пытаются его перенастройить, записав себя в доверенные


Они так делают просто потому, что так проще, а не потому, что по другому не получается.

*Добавлено через 57 секунд*




> мне, если честно, не встречались трои, которые бы пробовали обходить системный фаер как-то по-другому.


Значит, ты слишком мало их гонял.

----------


## priv8v

> Значит, ты слишком мало их гонял.


я не являюсь сотрудником ни одной АВ компании или вообще какой-либо компании в ИБ. что попадает - то реверсю. попадает не сильно много  :Smiley:

----------


## rav

> я не являюсь сотрудником ни одной АВ компании или вообще какой-либо компании в ИБ


Ну так я тоже.  :Smiley:  Но даже в тех линках, что проскакивают в закрытом разделе, есть зловреды, пользующие OLE для манипуляций с IE. Встроенный виндовый файер обходится на ура.

----------


## priv8v

> есть зловреды, пользующие OLE для манипуляций с IE


Эмм... ну такое действительно встречается... но я просто не думал, что это делается для обхода системного фаера
 :Sad:

----------


## Зайцев Олег

> Ну так я тоже.  Но даже в тех линках, что проскакивают в закрытом разделе, есть зловреды, пользующие OLE для манипуляций с IE. Встроенный виндовый файер обходится на ура.


Вот видимо малое число серьезно изученных зверей и дает о себе знать  :Smiley:  Нужно изучить скажем 100-150  тыс. зверей, желательно ITW, сравнить их поведение, и вот тогда можно говорить о ситуации в целом... и оно покажет, что конечно все можно обойти, все перехитрить, иесть примеры - но если взять реальную вероятность пострадать от этого для юзера - цифра будет невелика. Почему это так ? А потому, что зловреду нужно как-то попасть на ПК юзера (а многие дропперы сразу или инжектятся куда-то, или дропают что-то в системную папку, манипулируют системными ключами реестра и т.п.). Есть исключения, но это именно исключения, некий сравнительно небольшой % от общей массы. Приведу немного цифр: Например, *59%* всех выловленных на данном форуме зверей были выловлены в папке Windows. Еще 6.5% - в Program Files, 7.5% - В TEMP папке, порядка 15-20% - в корне диска и мусорнице.... Т.е. в сумме получается, что порядка 80% найденных у юзеров в ходе существования ресурса VI зверей физически не могли попасть туда, куда они попали если бы работа шла под ограниченной учетной записью) ! Берем статистику посерьезнее - полмиллиона зверей. Там порядка 30% всего дропаемоего ими приходится на папки Windows\*, еще столько-же - в корень диска и сетевые папки (туча флеш червяков и прочей нежити, раскидывающей себя по дискам), порядка 5-10% ставятся в Program Files, еще 3% в стартап всех юзеров и т.п. Если взять выборку по используемым ключам реестра, использованию драйверов, инжекту чего-то куда-то и т.п., то выйдет, что если под ограниченной учетной записью нормально заработает порядка 5% зверей, то будет очень хорошо ... т.е. это означает, что очень грубо говоря защищенность ПК при работе под ограниченной учетной записью *в 20 раз выше*, чем при работе из под админа. Если взять банального пинча, то там по статистике лобовое обращение к PHP для передачи паролей + попытка клика по алертам защитного ПО (передача сводится к gethostbyname + connect + send).

----------


## rav

Олег, ты смотришь не текущую ситуацию. А я- на ту, что будет лет этак через пять минимум. Кроме того, ты не учитываешь распространённость конкретных зверей. Думаю, тогда проценты будут иными.

----------


## priv8v

Олег, а как часто встречаются и правильно ли работают из ограниченной учетки следующие зловреды:



> есть зловреды, пользующие OLE для манипуляций с IE


(или большая часть из них улетает в топку из-за того, что пробует прописывать себя в системные папки и т.д?..)





> А я- на ту, что будет лет этак через пять минимум


имхо, загнули... не ясно еще чего ждать от винды 7, которая вот-вот выйдет... а тут такой гигантский срок...

----------


## rav

> имхо, загнули... не ясно еще чего ждать от винды 7, которая вот-вот выйдет... а тут такой гигантский срок...


А по-другому перспективные продукты разрабатывать не получается. Ты либо закладываешь туда лет пять форы перед всеми остальными, либо вылетаешь с рынка.

----------


## ivant

Нынешняя эпидемия... Правильно ли, что не было бы таких масштабных заражений, если бы пострадавшие работали с ограниченной учеткой?

----------


## 9073

> Нынешняя эпидемия... Правильно ли, что не было бы таких масштабных заражений, если бы пострадавшие работали с ограниченной учеткой?


Боян.  Просто перестань работать под админом и наслаждайся.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

