я, возможно, крамолу спрошу, но нафиг нужны все эти антивирусы, если они не защищают

[drongo]

Тоесть?

Пофигизмус юзерус (pophygismus userus)- основной вид пользователей в природе интернета

[9073]

Да не, если бы был массовый пофигизмус - тогда и антивирусов бы не стояло на большинстве компов. Если бы люди не думали о безопасности, но ведь стоят, значит думают. Просто никто из них не знает, не в теме, а те кто знают - молчат, чтобы денег заработать или стату понабивать.

Добавлено через 4 минуты

Я например всю жизнь не ведал о этой проблемме и считал и искал самый-самый антивирус. А оказалось смотреть надо было дальше. Антивирус это вторично, а может и ещё дальше.

Добавлено через 9 минут

Хотя, может и тотальный пофигизмус. Кароче - кому надо, тут уже вкурил.

[drongo]

Самая главная защитa -это уже говорили- brain.sys(exe), hands.dll
Следом идёт настройка системы, и только потом программы защиты.
Когда новый комп покупаешь -втюривают обычно ознакомительную версию антивируса на 3 месяца (она предустановлна) и после истечения срока лицензии большинство пользователей считают что у них есть защита и вряд ли даже заходили хоть раз в настройки



P.S.Система защиты- как постройка дома

Фундамент это brain.exe, hands.dll
Лобби- настройка системы, разграничение прав
Потом уже идут этажи и крыша-программы защиты и шифрования.
Файрвол- что-то вроде крыши
Без фундамента- защита рухнет как карточный дом, без лобби - не войдёшь

[PavelA]

У меня по этой терминологии: фундамента нет, лобби - нет, да и что это такое.
один этаж есть - а/вирус.
Это, правда, мой не совсем стандартный случай.

[drongo]

У меня по этой терминологии: фундамента нет, лобби - нет, да и что это такое.
один этаж есть - а/вирус.
Это, правда, мой не совсем стандартный случай.

В Израиле есть такое творение инженерной мысли- карaван называется( вагончик такой из гибса, ужас в таком жить )

[PavelA]

В Израиле есть такое творение инженерной мысли- карaван называется( вагончик такой из гибса, ужас в таком жить )

Офф: я всегда поражался тому, что строят для жилья в Штатах, да и у Вас. Это у нас в России не выстоит. {как много я этот мсж редактировал}[/офф]

[ivant]

А это мало кого, в общем, интересует. А вот пошифровать чего важного, или потребовать авторизации чего-нибудь через SMS, пошпионить, показать рекламу, установить AntivitusXP 2009, подменить выдачу гугла- это всё запросто. И именно на этом деньги делаются. Ты забываешь, что малварьные технологии не существуют просто ради того, чтобы быть. Они существуют для извлечения прибыли.

т.е., как понял я из Вашей с Олегом дискуссии, и под ограниченной учетной записью полноценно пользоваться инетом небезопасно? (для рядового юзера, разумеется, который никогда не слышал про hips)

[Зайцев Олег]

т.е., как понял я из Вашей с Олегом дискуссии, и под ограниченной учетной записью полноценно пользоваться инетом небезопасно? (для рядового юзера, разумеется, который никогда не слышал про hips)

Именно так и есть. На самом деле многие трояны в теории могли бы работать под ограниченной учеткой, но не работают по тем или иным причинам ... но нужно помнить, что
1. ворующий пароли троян без проблем утащит пароли пользователя, работая с пользовательскими правами. В 95% случаев его задавит даже встроенный Firewall, поскольку отключить его из под ограниченной учетной записи пользователя троян не сможет
2. Любая деструктивная зараза сможет из под пользовательской учетной записи зашифровать, уничтожить, повредить или своровать файлы пользователя
3. Рассылать спам можно и с правами пользователя, хоть опять-же даже встроенный FW задавит в такой ситуации подавляющее большинство спам-ботов.
Если к ограниченной учетной записи добавить хотя-бы HIPS, а того лучше современный антивирус-комбайн, то бой будет неравный - троян будет иметь сильно ограниченные права, тогда как антивирус - абсолютные.

[rav]

Ну, положим, встроенный в винду файер не сможет ничего сделать ни с правильно написанным похитителем паролей, ни с рассылкой спама. Его хватит только на запрет входящих подключений. Так что наличие любой системы поведенческой защиты есть насущная необходимость вот уже года три как минимум.

[Зайцев Олег]

Ну, положим, встроенный в винду файер не сможет ничего сделать ни с правильно написанным похитителем паролей, ни с рассылкой спама. Его хватит только на запрет входящих подключений. Так что наличие любой системы поведенческой защиты есть насущная необходимость вот уже года три как минимум.

Не все так плохо, можно обойтись и без HIPS Дело в том, что встроенный FW спрашивает, пустить тот или иной процесс в Инет или не пускать ... а обойти этот контроль под юзером не очень то выйдет, поэтому большинство троянов тупо пытаются его перенастройить, записав себя в доверенные

[priv8v]

да, одна запись в реестр - и все готово. мне, если честно, не встречались трои, которые бы пробовали обходить системный фаер как-то по-другому. все юзали этот примитивный (но при этом рабочий) метод...
конечно, то, что мне не встречались другие - это не показатель ситуации в целом, т.к возможно Олегу известны кучи других методов обхода системного фаера, но юзаются троян-мейкерами они не часто...

[rav]

Не все так плохо, можно обойтись и без HIPS

Олег, всё именно плохо. Обойтись можно, но ценой такого геморроя и потерянного времени, что обычный пользователь скорее повесится, чес всё сделает правильно.

Дело в том, что встроенный FW спрашивает, пустить тот или иной процесс в Инет или не пускать

Встроенный файер спрашивает только в случае LISTEN- сокета. Реверсивные технологии работают без проблем.

а обойти этот контроль под юзером не очень то выйдет

А что, OLE под юзером уже не работает?

поэтому большинство троянов тупо пытаются его перенастройить, записав себя в доверенные

Они так делают просто потому, что так проще, а не потому, что по другому не получается.

Добавлено через 57 секунд

мне, если честно, не встречались трои, которые бы пробовали обходить системный фаер как-то по-другому.

Значит, ты слишком мало их гонял.

[priv8v]

Значит, ты слишком мало их гонял.

я не являюсь сотрудником ни одной АВ компании или вообще какой-либо компании в ИБ. что попадает - то реверсю. попадает не сильно много

[rav]

я не являюсь сотрудником ни одной АВ компании или вообще какой-либо компании в ИБ

Ну так я тоже. Но даже в тех линках, что проскакивают в закрытом разделе, есть зловреды, пользующие OLE для манипуляций с IE. Встроенный виндовый файер обходится на ура.

[priv8v]

есть зловреды, пользующие OLE для манипуляций с IE

Эмм... ну такое действительно встречается... но я просто не думал, что это делается для обхода системного фаера

[Зайцев Олег]

Ну так я тоже. Но даже в тех линках, что проскакивают в закрытом разделе, есть зловреды, пользующие OLE для манипуляций с IE. Встроенный виндовый файер обходится на ура.

Вот видимо малое число серьезно изученных зверей и дает о себе знать Нужно изучить скажем 100-150 тыс. зверей, желательно ITW, сравнить их поведение, и вот тогда можно говорить о ситуации в целом... и оно покажет, что конечно все можно обойти, все перехитрить, иесть примеры - но если взять реальную вероятность пострадать от этого для юзера - цифра будет невелика. Почему это так ? А потому, что зловреду нужно как-то попасть на ПК юзера (а многие дропперы сразу или инжектятся куда-то, или дропают что-то в системную папку, манипулируют системными ключами реестра и т.п.). Есть исключения, но это именно исключения, некий сравнительно небольшой % от общей массы. Приведу немного цифр: Например, 59% всех выловленных на данном форуме зверей были выловлены в папке Windows. Еще 6.5% - в Program Files, 7.5% - В TEMP папке, порядка 15-20% - в корне диска и мусорнице.... Т.е. в сумме получается, что порядка 80% найденных у юзеров в ходе существования ресурса VI зверей физически не могли попасть туда, куда они попали если бы работа шла под ограниченной учетной записью) ! Берем статистику посерьезнее - полмиллиона зверей. Там порядка 30% всего дропаемоего ими приходится на папки Windows\*, еще столько-же - в корень диска и сетевые папки (туча флеш червяков и прочей нежити, раскидывающей себя по дискам), порядка 5-10% ставятся в Program Files, еще 3% в стартап всех юзеров и т.п. Если взять выборку по используемым ключам реестра, использованию драйверов, инжекту чего-то куда-то и т.п., то выйдет, что если под ограниченной учетной записью нормально заработает порядка 5% зверей, то будет очень хорошо ... т.е. это означает, что очень грубо говоря защищенность ПК при работе под ограниченной учетной записью в 20 раз выше, чем при работе из под админа. Если взять банального пинча, то там по статистике лобовое обращение к PHP для передачи паролей + попытка клика по алертам защитного ПО (передача сводится к gethostbyname + connect + send).

[rav]

Олег, ты смотришь не текущую ситуацию. А я- на ту, что будет лет этак через пять минимум. Кроме того, ты не учитываешь распространённость конкретных зверей. Думаю, тогда проценты будут иными.

[priv8v]

Олег, а как часто встречаются и правильно ли работают из ограниченной учетки следующие зловреды:

есть зловреды, пользующие OLE для манипуляций с IE

(или большая часть из них улетает в топку из-за того, что пробует прописывать себя в системные папки и т.д?..)

А я- на ту, что будет лет этак через пять минимум

имхо, загнули... не ясно еще чего ждать от винды 7, которая вот-вот выйдет... а тут такой гигантский срок...

[rav]

имхо, загнули... не ясно еще чего ждать от винды 7, которая вот-вот выйдет... а тут такой гигантский срок...

А по-другому перспективные продукты разрабатывать не получается. Ты либо закладываешь туда лет пять форы перед всеми остальными, либо вылетаешь с рынка.

[ivant]

Нынешняя эпидемия... Правильно ли, что не было бы таких масштабных заражений, если бы пострадавшие работали с ограниченной учеткой?