Должен ли антивирус после удаления зловреда ворующего пароли , предупреждать о необходимости смены

Printable View

27.10.2007, 01:19
drongo

Должен ли антивирус после удаления зловреда ворующего пароли , предупреждать о необходимости смены

Сейчас очень популярны троянцы которые воруют пароли из
компьютеров юзеров.( e-mail, ftp, web-money, ICQ, онлайн игры, пароли от сайтов, пароли от учётных записей ...) Есть даже такие, которые при помощи сворованных
паролей+логинов от ftp , автоматом авторизуются на сайтe жертвы и
встраивают трояны в сам сайт .
Было бы здорово, если бы антивирусная программа кроме
того что удаляет- предупреждала и советовала пользователю менять
пароли, так как ими уже пользуются другие.
Таких программ-воров паролей можно обычно узнать по аббревиатуре PSW, ldpinch в сообщении антивирусной программы .
27.10.2007, 16:26
DVi

Считаю "да" в случае, если троян обнаружен в активном состоянии.
Если просто как файл на диске - затрудняюсь ответить.
27.10.2007, 16:44
TANUKI

Поддержу DVi. Только если обнаружен в активном состоянии, потому что если каждый раз будет предупреждать, то юзер замахается менять пароли, в какой-то из разов плюнет, и не поменяет, а тут активное заражение и прощай денежки и аська :(
27.10.2007, 23:41
borka

[QUOTE=DVi;145498]Считаю "да" в случае, если троян обнаружен в активном состоянии.
[/QUOTE]
+1.

[QUOTE=DVi;145498]Если просто как файл на диске - затрудняюсь ответить.[/QUOTE]
Думается, тоже надо. Если троян найден в SVI - велика вероятность того, что он был активным. Только предупреждение пользователю должно быть с другой формулировкой, наверное.
28.10.2007, 15:15
Макcим

[QUOTE=DVi;145498]Считаю "да" в случае, если троян обнаружен в активном состоянии.
Если просто как файл на диске - затрудняюсь ответить.[/QUOTE]+2
30.10.2007, 06:39
NickGolovko

Полагаю, что нет. Нередки случаи, когда вредоносное ПО успешно восстанавливается после удаления или имеет недетектируемые компоненты.
31.10.2007, 13:09
Зайцев Олег

Выскажу несколько соображений по теме:
1. Ситуация - "запускается процесс troyan.exe, его знает сигнатурный сканер и монитор блокирует запуск трояна и убивает его. При этом выясняется, что это PSW троян". В данном случае следует просить у пользователя заменить пароли ? По логике нет, т.е. монитор блокировал его запуск
2. Аналог ситуации 1, то troyan.exe уже несколько дней "живет" на ПК и монитор обнаружил его только сейчас (на момент появления трояна он его не умел ловить). В данной ситуации пароли могли быть переданы. В данной ситуации сообщать быть может и нужно, но не известно, сколько времени этот троян ужу существует на ПК и запускался ли он ранее, и передавал ли он что-либо куда либо.
3. Аналог ситуации 2, но троян найден сканером на диске. Возникает вопрос - запускался ли он хоть раз ?! Это сложный вопрос - например, находим троян в кеше браузера. Вопрос в том, он только загрузился или еще и был запущен эксплоитом ?!
4. Аналог ситуации 2, но недетектриемый на момент появления на компьютере troyan.exe запускается, отправляет пароли и затем самоуничтожается. Как быть в данном случае ? Через пару дней антивирус станет его детектировать, но объекта для проверки уже нет

Получается, что если внимательно проанализировать ситуации, то сообщение о надобности заменить пароли практически бесполезно. Единственный вариант, когда оно оправдано - это когда монитором ловится процесс трояна или сканером ловим трояна, записанного в автозапуск - т.е. имеет высокую вероятность того, что он хоть раз запускался, и при этом этот троян был пропущен антивирусным монитором и прочими подстемами типа проактивки. И то, если троян сработал день-два назад, то пароли могут уже успеть использовать.
Поэтому мое мнение - гораздо правильнее не предупреждать, а блокировать по поведенческим параметрам. Например, по доступу к ключам реестра и файлам, содержащим пароли, по факту скрытной передачи чего-то в Инет и т.п. - т.е. сочетание Firewall, эвристики, проактивки и чего-то типа антишпиона в KIS7
31.10.2007, 14:50
PavelA

+1 Менять всегда. Лучше лишний раз сменить, чем потом рвать волосы.
02.11.2007, 23:22
AlexGOMEL

Предупреждать стоит, если есть опасность кражи паролей, ведь порой народ по названию не отличает дозвонщик от пинча (сегодня на работе был свидетелем такого события)
17.11.2007, 15:07
Shark

Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...

В качестве примера можно опенсорсный TrueCrypt использовать...
17.11.2007, 23:17
XP user

Надеюсь, что никто не обижается, но сам я не верю в защите в реальном времени. Если такой зверь попался бы у меня, я:
[list]снёс бы ОС без вопросов (такой системе уже нельзя доверять) и[/list][list]пересмотрел бы политику безопасности.[/list]

Paul
18.11.2007, 19:57
DVi

[quote=Shark;151212]Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...

В качестве примера можно опенсорсный TrueCrypt использовать...[/quote]
Вы полагаете, что хранение одного в двух разных местах - это более безопасно, чем в одном? :)
20.11.2007, 17:10
bespechniangel1

обязательно
23.11.2007, 08:52
Jolly Rojer

[QUOTE=Shark;151212]Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...

В качестве примера можно опенсорсный TrueCrypt использовать...[/QUOTE]

Не вижу смысла что антивир хранил пароли в защищенном хранилище... или я возможно не правильно понял?
03.12.2007, 08:47
Мираж

Все можно делать проже, отрубаете запоминалку и юзаем пасвы при каждом входе, а по факту доступа на частопосещаемые ресурсы, тут еще проще, можно сделать строку с воодом логина и пасворда, это не сложно сделать в ручную, достаточно просто раскрыть стартовою страничку и найти блок с воодом логина и повторить ресурсные переменные.

По факту напоминаний, пожалуй ДА!!! Но сделать этот процес управляемым, тоесть юзер должен сам настраивать период напоминания. Сделать несколько груп, напримаер админ, средний юзер и юзер, в первом случаи напоминать будет например раз в неделю, во втором раз в месяц, а в третьем раз в квартал. Это просто как пример, сроки естетсвенно надо уточнять. Еще сделать надо пункт с опытным юзером, где он сам выстовит время напоминания.

P.S. Неплохо бы еще сделать динамику паролей, для юзеров, которые используют один пароль на все подряд, пусть выставит три-четыре пароля и задаст динамику автосмены, реально пароль хранится в виде ссылки на блок, а в самом блоке храним пароль, причем производим замену пароля раз в период на автомате (сложность только в отличаи структуры ресурсов, придется делать каталог примеров)
08.12.2007, 12:09
Shark

[QUOTE=DVi;151580]Вы полагаете, что хранение одного в двух разных местах - это более безопасно, чем в одном? :)[/QUOTE]

Я полагаю, что хранение паролей в Зашифрованном Виде (как например в iWallet) пусть даже на диске, поможет решить проблему.
09.10.2008, 13:37
[quote]

[QUOTE=drongo;145444]Было бы здорово, если бы антивирусная программа кроме того что удаляет- предупреждала и советовала пользователю менять пароли[/QUOTE]
Комплексный пакет все должон уметь. И будить хозяина по утрам, и петь его детям на ночь колыбельные по расписанию.
15.07.2009, 17:31
gdn

Скорее всего да, но учитывая замечания DVI... также это должно отключаться при необходимости и учитывать общие настройки системы, а также особенности данного вируса - например если затрагиваются пароли почты, то и рекомендовать менять именно их, а не все пароли вообще.