А кто сказал, что он был пропущен? Это просто downloader, который выкачивает из Инета файлы и передаёт на них управление. Правда, я подозреваю, что к тому времени, когда он тестировался, внутренние линки уже протухли.Сообщение от Alex_Goodwin
А зачем что-то лечить, когда нужно всего лишь не заражаться? Да и кто сказал, что на хорошо заражённую машину антивирь вообще встанет?
http://www.softsphere.com - DefenseWall, DefencePlus
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Я про то, имхо, подход должен быть сбалансирован. Т.е. антивирь уже должен стоять, а не ставиться на зараженную машину. Что первично, что вторично - не важно. хипс как дополнение к ав или ав как дополнение к хипс. что прошло сквозь одно - споткнется об другое.
Это там был downloader, а в другой раз там может быть русток.z. Автор rku помнится говорил на ам про обход рустоком с DefenseWall. Я не знаю, правда это или нет - вам виднее, но ничто не идеально, ничто нельзя исключать. Поэтому две стены лучше чем одна.
Ну да, собсбвенно то, о чём я всегда говорю- первая линия защиты состоит из firewall+HIPS, поскольку не базируются на модели чёрных списков, антивирь как вторая линия защиты от уже известных угроз. Проблема в том, что пиарщики антивирусных компаний позиционируют антивирус как средство защиты первого эшелона, и многие ведутся на этот развод. И когда малварь его пробивает насквозь, то вот и начинают бегать по форумам с криком "где ту дают по-настоящему хороший антивирус, ХХХ говно".
Может, старые версии и пробивались, новые намного стабильнее в этом смысле. Но тот "Це", что я смотрел, мою защиту не пробивал.
http://www.softsphere.com - DefenseWall, DefencePlus
Илья, я с Вами согласен что панацеи нет и ближайшее время не предвидится, и, к сожалению обычных пользователей, мальвары "обновляются" намного чаще и интенсивнее чем защита.Может, старые версии и пробивались, новые намного стабильнее в этом смысле
Простой пример: только что проинсталлированая система на чистый винт и установлен знаменитый антивирус+обновления+все настройки на параноика. Исталируется eMule, создаётся акк оьычного пользователя и из под него запускается eMule с понижеными привилегиями и скачивается файл (кряк) с доступноступными xxxxx фрагментами. После скачивания из архива запускается файл, который "хочет пропатчить .ехе" и система виснет, да ещё так что даже мышка скрекочет как сорока. После запуска всё нормально, но меганавороченый брендовский антивирус уже благополучно не запускается, а при попытке запустить вручную пишет что это не win32 приложение. Инсталятор тоже не хочет. Всё "безвредное" даёт запустить. Кстати, AVZ распознаёт как вредный даже переименованый
Первая реакция: Ох и ацтой этот антивирь!!!
Хотя моё ИМХО что самое слабое звено здесь был пользователь, которого нельзя "обновить", можно только заменить или обучить.
Последний раз редактировалось NRA; 26.12.2008 в 10:22.
Нас объединяет то, что разъединяет
Под ограниченной учёткой никакой драйвер не поставишь, вот вам и супер защита от изветсных и неизвестных руткитов
rav, интересно, а ваша программа когда под ограниченной учёткой работает- имеет привилегированные права ?
Я знаю, например каспер имеет права локальной системы когда в ограниченной учётке работаешь.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Но только не от ring3-руткитов.
Нет, конечно, я что, на идиота похож? Там специальное API для взаимодействия с драйвером, позволяющее работать с моими ветками реестра. Заранее отвечу на вопрос- для недоверенной зоны это API принципиально недоступно. А для любителей пошалить его можно запаролить, без знания пароля пользоваться им нельзя вообще будет.
http://www.softsphere.com - DefenseWall, DefencePlus
Спасибо за ответ.User-mode-подобные не особо опасны и их довольно легко обнаружить.
Пока ещё к счастью не научились из 3 кольца к серединке подбираться или уже есть претенденты?
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
И в первую очередь от них
Что нужно ring3-руткиту для работы ? Есму нужно инжектить что-то в память других процессов, создавать там троянские потоки (например для инжекта своих DLL или выполнения своего кода), прописываться в автозапуск. Под ограниченной учетной записью писать в память других процессов он не сможет, с троянскими потоками тоже выйдет облом, системные ключи автозапуска (в частности для внедрения DLL во все процессы) также будут недоступны на запись. Поэтому R3 руткит под ограниченной учетной записью нормально работать не сможет ...
Процесс может открыть другой процесс в том случае, если их уровень привилегий совпадает либо у второго он ниже. Кстати, аналогично и с установкой хуков. Таким образом, если пользователь работает под учёткой с пониженными привилегиями, ring3 руткит запросто сможет работать. Более того, ключи автозапуска из HKCU доступны. Просто мало кто так работает, поэтому многие трояны и руткиты работают исходя из модели "могу всё".
http://www.softsphere.com - DefenseWall, DefencePlus
Но вреда он при этом собственно никакого вреда системе не нанесет ... и укорениться в ней толком не сможет (атака равноценного юзеровского процесса и записи в автозагрузку текущего юзера - это все ерунда). В остальном такой руткит не опаснее трояна, который убивет все файлы в профиле юзера ... он не страшен системе, страшен только для файлов юзера
А это мало кого, в общем, интересует. А вот пошифровать чего важного, или потребовать авторизации чего-нибудь через SMS, пошпионить, показать рекламу, установить AntivitusXP 2009, подменить выдачу гугла- это всё запросто. И именно на этом деньги делаются. Ты забываешь, что малварьные технологии не существуют просто ради того, чтобы быть. Они существуют для извлечения прибыли.
http://www.softsphere.com - DefenseWall, DefencePlus
чего?.. могу гарантировать, что через неделю (т.к проверяли на вирустотале) образцы уже детектились ЛК - поэтому можно было давать их классификацию.?..
Вообще у меня задумка с кем-нибудь объединиться и потестить что-нибудь (например антируткиты ну или на худой конец антивирусные пакеты).
Для открытости тестирования и его нужности надо взять штук 10 популярных современных малваре, юзающих руткит технологии, предварительно написать их описания (типа того как тут - http://virusinfo.info/showthread.php?t=31173 что бы всем было видно что вообще тестили, только если тест антируткитов, то поподробнее описать именно эту сторону вопроса...).
Затем протестировать антируткиты на них - тестить можно по нескольким параметрам, как-то: умение обнаружить (все или частично), умение удалить (все или частично), возможность восстановить хуки (если таковое требуется и возможно - все зависит от того, как скрываются)... ну и еще что-то придумать...
Но о чем это я?.. Да о том, что я считаю, что правильнее было бы постить названия еще зловредов и их краткое описание, если уж на подробные не хочется тратить время...
а это практически имеет очень небольшое значение в данном тесте при таком механизме тестирования, когда новость файла определяется его палимостью на вирустотале....Имелись ввиду обновления программ защиты, их новые версии и сборки, которые "к сожалению" антималвары все еще выходят...
// ...
Все беды от тотального злоупотребления учетными записями с правами администратора.Достаточно открыть любую тему в разделе "помогите", и у пользователя в 99% случаев стоит какой-то антивир. Тем не менее, зараза успешно размножается. Я понимаю, что вирусолечители могут не успевать за вирусописателями в чем-то, но... в моем конкретном случае Dr.Web-овский spider засек появление вирусни, но не смог придушить на начальном этапе. И после этого вылечить тоже не смог. Зачем мне такой антивирус, не понятно... И от этого грустно ибо навивает мысли о каком-то лохотроне...
Вопрос. Есть у кого нибдь данные - в США и Европе тоже 99 из 100 домашних пользователей работают под админом?
К Boom - ты ведь не под администраторам работаешь?
С позиций общей интеллигентности - цифры должны быть близки к этому. Обыватель не знает, что такое разграничение прав.
И не хочет знать.
Простой пользователь работает с настройками по умолчанию, и если по умолчанию ему предлагает пользователя с правами Администратора, то он и будет под ним работать. Откуда он может знать, что работать под Администраторам плохо? Учат ли этому где-нибудь?И не хочет знать.
Если зайти на домашнюю страницу какого не будь антивируса или ресурса по компьютерной безопасности, то там будет куча советов про то что обязательно надо антивирус, продвинутый personal firewall (встроенный в Windows XP г...но) , antispyware. Что регулярно надо обновлять антивирус, OS и другие программы, что не надо открывать файлы от полученные от неизвестных персон. А совет о том что не надо все время работать с правами Администратора удастся найти с большим трудом, если вообще удастся найти. Получается так, что те, который могли бы посоветовать пользователям, как безопасней работать, занимается рекламой своих продуктов, и в принципе не заинтересованы в этой самой безопасной работе на компьютере. Например я, после того как перешел на работу под Limited User, первым делом избавился от антивируса, из-за ненадобности (какой смысл от того что антивирус 10x в день проверять одну и туже программу на заражение, если она в принципе не может быть заражена).
Встроенный виндовый файервол очень хорошо выполняет свою основную задачу- защита от входящих подключений. А защита исходящих не есть задача файерволов, это задача HIPS.
http://www.softsphere.com - DefenseWall, DefencePlus
Согласен с Вами.
ИМХО, потому микрософт и выпустила связку из брандмауэра и защитника. И во встроенной в ОС справке висты можно найти интересные полезные рекомендации по использованию контроля учетных записей пользователей, проводника программного обеспечения и пр. И все это, самое главное, работает в совокупности не хуже самых разрекламированных антивирусных программ. А кто захочет снова вспомнить про микрософтовы дыры, пусть помнит-не-забывает, что ни один антивирус гарантий тоже не дает. "А если не видно разницы, так зачем платить больше?"
Я и не говорю что, встроенный Windows Firewall плох. Даже наоборот, он очень стабильный, хорошо выполняет свою работу, и по сравнении с некоторыми “продвинутыми” personal firewall, хорошо сам себя защищает. Если пользователь работает с правами Limited User, то он не может его отключать или изменить его настройки. А у некоторых “продвинутых” personal firewall, нет разницы с какими правами пользователь работает, изменить правила, и даже отлучить firewall может любой пользователь.
По поводу того что Windows Firewall – г....но, это я только высказал точку зрение многих сайтов посвященный компьютерной безопасности.
Вообще непонятно, кому пришла в голову мысль что хороший firewall,это тот который хорошо защищает других пользователей от исходящего локального заражение пользователя, у которого этот firewall установлен. Странно, только то,что это разделение на “хороший / плохой” firewall относится только к Windows (результаты leak tests на MacOS, Linux, BSD никак не удается найти).
Тоесть?И не хочет знать.
Ваши права в разделе
Ответить с цитированием
