PDA

Просмотр полной версии : Должен ли антивирус после удаления зловреда ворующего пароли , предупреждать о необходимости смены



drongo
27.10.2007, 01:19
Сейчас очень популярны троянцы которые воруют пароли из
компьютеров юзеров.( e-mail, ftp, web-money, ICQ, онлайн игры, пароли от сайтов, пароли от учётных записей ...) Есть даже такие, которые при помощи сворованных
паролей+логинов от ftp , автоматом авторизуются на сайтe жертвы и
встраивают трояны в сам сайт .
Было бы здорово, если бы антивирусная программа кроме
того что удаляет- предупреждала и советовала пользователю менять
пароли, так как ими уже пользуются другие.
Таких программ-воров паролей можно обычно узнать по аббревиатуре PSW, ldpinch в сообщении антивирусной программы .

DVi
27.10.2007, 16:26
Считаю "да" в случае, если троян обнаружен в активном состоянии.
Если просто как файл на диске - затрудняюсь ответить.

TANUKI
27.10.2007, 16:44
Поддержу DVi. Только если обнаружен в активном состоянии, потому что если каждый раз будет предупреждать, то юзер замахается менять пароли, в какой-то из разов плюнет, и не поменяет, а тут активное заражение и прощай денежки и аська :(

borka
27.10.2007, 23:41
Считаю "да" в случае, если троян обнаружен в активном состоянии.

+1.


Если просто как файл на диске - затрудняюсь ответить.
Думается, тоже надо. Если троян найден в SVI - велика вероятность того, что он был активным. Только предупреждение пользователю должно быть с другой формулировкой, наверное.

Макcим
28.10.2007, 15:15
Считаю "да" в случае, если троян обнаружен в активном состоянии.
Если просто как файл на диске - затрудняюсь ответить.+2

NickGolovko
30.10.2007, 06:39
Полагаю, что нет. Нередки случаи, когда вредоносное ПО успешно восстанавливается после удаления или имеет недетектируемые компоненты.

Зайцев Олег
31.10.2007, 13:09
Выскажу несколько соображений по теме:
1. Ситуация - "запускается процесс troyan.exe, его знает сигнатурный сканер и монитор блокирует запуск трояна и убивает его. При этом выясняется, что это PSW троян". В данном случае следует просить у пользователя заменить пароли ? По логике нет, т.е. монитор блокировал его запуск
2. Аналог ситуации 1, то troyan.exe уже несколько дней "живет" на ПК и монитор обнаружил его только сейчас (на момент появления трояна он его не умел ловить). В данной ситуации пароли могли быть переданы. В данной ситуации сообщать быть может и нужно, но не известно, сколько времени этот троян ужу существует на ПК и запускался ли он ранее, и передавал ли он что-либо куда либо.
3. Аналог ситуации 2, но троян найден сканером на диске. Возникает вопрос - запускался ли он хоть раз ?! Это сложный вопрос - например, находим троян в кеше браузера. Вопрос в том, он только загрузился или еще и был запущен эксплоитом ?!
4. Аналог ситуации 2, но недетектриемый на момент появления на компьютере troyan.exe запускается, отправляет пароли и затем самоуничтожается. Как быть в данном случае ? Через пару дней антивирус станет его детектировать, но объекта для проверки уже нет

Получается, что если внимательно проанализировать ситуации, то сообщение о надобности заменить пароли практически бесполезно. Единственный вариант, когда оно оправдано - это когда монитором ловится процесс трояна или сканером ловим трояна, записанного в автозапуск - т.е. имеет высокую вероятность того, что он хоть раз запускался, и при этом этот троян был пропущен антивирусным монитором и прочими подстемами типа проактивки. И то, если троян сработал день-два назад, то пароли могут уже успеть использовать.
Поэтому мое мнение - гораздо правильнее не предупреждать, а блокировать по поведенческим параметрам. Например, по доступу к ключам реестра и файлам, содержащим пароли, по факту скрытной передачи чего-то в Инет и т.п. - т.е. сочетание Firewall, эвристики, проактивки и чего-то типа антишпиона в KIS7

PavelA
31.10.2007, 14:50
+1 Менять всегда. Лучше лишний раз сменить, чем потом рвать волосы.

AlexGOMEL
02.11.2007, 23:22
Предупреждать стоит, если есть опасность кражи паролей, ведь порой народ по названию не отличает дозвонщик от пинча (сегодня на работе был свидетелем такого события)

Shark
17.11.2007, 15:07
Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...

В качестве примера можно опенсорсный TrueCrypt использовать...

XP user
17.11.2007, 23:17
Надеюсь, что никто не обижается, но сам я не верю в защите в реальном времени. Если такой зверь попался бы у меня, я:
снёс бы ОС без вопросов (такой системе уже нельзя доверять) и пересмотрел бы политику безопасности.

Paul

DVi
18.11.2007, 19:57
Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...

В качестве примера можно опенсорсный TrueCrypt использовать...
Вы полагаете, что хранение одного в двух разных местах - это более безопасно, чем в одном? :)

bespechniangel1
20.11.2007, 17:10
обязательно

Jolly Rojer
23.11.2007, 08:52
Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...

В качестве примера можно опенсорсный TrueCrypt использовать...

Не вижу смысла что антивир хранил пароли в защищенном хранилище... или я возможно не правильно понял?

Мираж
03.12.2007, 08:47
Все можно делать проже, отрубаете запоминалку и юзаем пасвы при каждом входе, а по факту доступа на частопосещаемые ресурсы, тут еще проще, можно сделать строку с воодом логина и пасворда, это не сложно сделать в ручную, достаточно просто раскрыть стартовою страничку и найти блок с воодом логина и повторить ресурсные переменные.

По факту напоминаний, пожалуй ДА!!! Но сделать этот процес управляемым, тоесть юзер должен сам настраивать период напоминания. Сделать несколько груп, напримаер админ, средний юзер и юзер, в первом случаи напоминать будет например раз в неделю, во втором раз в месяц, а в третьем раз в квартал. Это просто как пример, сроки естетсвенно надо уточнять. Еще сделать надо пункт с опытным юзером, где он сам выстовит время напоминания.

P.S. Неплохо бы еще сделать динамику паролей, для юзеров, которые используют один пароль на все подряд, пусть выставит три-четыре пароля и задаст динамику автосмены, реально пароль хранится в виде ссылки на блок, а в самом блоке храним пароль, причем производим замену пароля раз в период на автомате (сложность только в отличаи структуры ресурсов, придется делать каталог примеров)

Shark
08.12.2007, 12:09
Вы полагаете, что хранение одного в двух разных местах - это более безопасно, чем в одном? :)

Я полагаю, что хранение паролей в Зашифрованном Виде (как например в iWallet) пусть даже на диске, поможет решить проблему.

[quote]
09.10.2008, 13:37
Было бы здорово, если бы антивирусная программа кроме того что удаляет- предупреждала и советовала пользователю менять пароли
Комплексный пакет все должон уметь. И будить хозяина по утрам, и петь его детям на ночь колыбельные по расписанию.

gdn
15.07.2009, 17:31
Скорее всего да, но учитывая замечания DVI... также это должно отключаться при необходимости и учитывать общие настройки системы, а также особенности данного вируса - например если затрагиваются пароли почты, то и рекомендовать менять именно их, а не все пароли вообще.