-
Должен ли антивирус после удаления зловреда ворующего пароли , предупреждать о необходимости смены
Сейчас очень популярны троянцы которые воруют пароли из
компьютеров юзеров.( e-mail, ftp, web-money, ICQ, онлайн игры, пароли от сайтов, пароли от учётных записей ...) Есть даже такие, которые при помощи сворованных
паролей+логинов от ftp , автоматом авторизуются на сайтe жертвы и
встраивают трояны в сам сайт .
Было бы здорово, если бы антивирусная программа кроме
того что удаляет- предупреждала и советовала пользователю менять
пароли, так как ими уже пользуются другие.
Таких программ-воров паролей можно обычно узнать по аббревиатуре PSW, ldpinch в сообщении антивирусной программы .
Последний раз редактировалось drongo; 27.10.2007 в 01:25.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Считаю "да" в случае, если троян обнаружен в активном состоянии.
Если просто как файл на диске - затрудняюсь ответить.
-
-
Поддержу DVi. Только если обнаружен в активном состоянии, потому что если каждый раз будет предупреждать, то юзер замахается менять пароли, в какой-то из разов плюнет, и не поменяет, а тут активное заражение и прощай денежки и аська
In Avira & Dr.Web we trust!
-

Сообщение от
DVi
Считаю "да" в случае, если троян обнаружен в активном состоянии.
+1.

Сообщение от
DVi
Если просто как файл на диске - затрудняюсь ответить.
Думается, тоже надо. Если троян найден в SVI - велика вероятность того, что он был активным. Только предупреждение пользователю должно быть с другой формулировкой, наверное.
Последний раз редактировалось borka; 27.10.2007 в 23:50.
Причина: правка
---
С уважением,
Borka.
-

Сообщение от
DVi
Считаю "да" в случае, если троян обнаружен в активном состоянии.
Если просто как файл на диске - затрудняюсь ответить.
+2
-
-
Полагаю, что нет. Нередки случаи, когда вредоносное ПО успешно восстанавливается после удаления или имеет недетектируемые компоненты.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
-
Выскажу несколько соображений по теме:
1. Ситуация - "запускается процесс troyan.exe, его знает сигнатурный сканер и монитор блокирует запуск трояна и убивает его. При этом выясняется, что это PSW троян". В данном случае следует просить у пользователя заменить пароли ? По логике нет, т.е. монитор блокировал его запуск
2. Аналог ситуации 1, то troyan.exe уже несколько дней "живет" на ПК и монитор обнаружил его только сейчас (на момент появления трояна он его не умел ловить). В данной ситуации пароли могли быть переданы. В данной ситуации сообщать быть может и нужно, но не известно, сколько времени этот троян ужу существует на ПК и запускался ли он ранее, и передавал ли он что-либо куда либо.
3. Аналог ситуации 2, но троян найден сканером на диске. Возникает вопрос - запускался ли он хоть раз ?! Это сложный вопрос - например, находим троян в кеше браузера. Вопрос в том, он только загрузился или еще и был запущен эксплоитом ?!
4. Аналог ситуации 2, но недетектриемый на момент появления на компьютере troyan.exe запускается, отправляет пароли и затем самоуничтожается. Как быть в данном случае ? Через пару дней антивирус станет его детектировать, но объекта для проверки уже нет
Получается, что если внимательно проанализировать ситуации, то сообщение о надобности заменить пароли практически бесполезно. Единственный вариант, когда оно оправдано - это когда монитором ловится процесс трояна или сканером ловим трояна, записанного в автозапуск - т.е. имеет высокую вероятность того, что он хоть раз запускался, и при этом этот троян был пропущен антивирусным монитором и прочими подстемами типа проактивки. И то, если троян сработал день-два назад, то пароли могут уже успеть использовать.
Поэтому мое мнение - гораздо правильнее не предупреждать, а блокировать по поведенческим параметрам. Например, по доступу к ключам реестра и файлам, содержащим пароли, по факту скрытной передачи чего-то в Инет и т.п. - т.е. сочетание Firewall, эвристики, проактивки и чего-то типа антишпиона в KIS7
-
-
+1 Менять всегда. Лучше лишний раз сменить, чем потом рвать волосы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Предупреждать стоит, если есть опасность кражи паролей, ведь порой народ по названию не отличает дозвонщик от пинча (сегодня на работе был свидетелем такого события)
-
-
Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...
В качестве примера можно опенсорсный TrueCrypt использовать...
-
Надеюсь, что никто не обижается, но сам я не верю в защите в реальном времени. Если такой зверь попался бы у меня, я:
- снёс бы ОС без вопросов (такой системе уже нельзя доверять) и
- пересмотрел бы политику безопасности.
Paul
-

Сообщение от
Shark
Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...
В качестве примера можно опенсорсный TrueCrypt использовать...
Вы полагаете, что хранение одного в двух разных местах - это более безопасно, чем в одном?
-
-
-
-

Сообщение от
Shark
Предупреждать - не знаю, а вот хранить в защищёном хранилище стоило бы...
В качестве примера можно опенсорсный TrueCrypt использовать...
Не вижу смысла что антивир хранил пароли в защищенном хранилище... или я возможно не правильно понял?
-
-
Junior Member
- Вес репутации
- 63
Все можно делать проже, отрубаете запоминалку и юзаем пасвы при каждом входе, а по факту доступа на частопосещаемые ресурсы, тут еще проще, можно сделать строку с воодом логина и пасворда, это не сложно сделать в ручную, достаточно просто раскрыть стартовою страничку и найти блок с воодом логина и повторить ресурсные переменные.
По факту напоминаний, пожалуй ДА!!! Но сделать этот процес управляемым, тоесть юзер должен сам настраивать период напоминания. Сделать несколько груп, напримаер админ, средний юзер и юзер, в первом случаи напоминать будет например раз в неделю, во втором раз в месяц, а в третьем раз в квартал. Это просто как пример, сроки естетсвенно надо уточнять. Еще сделать надо пункт с опытным юзером, где он сам выстовит время напоминания.
P.S. Неплохо бы еще сделать динамику паролей, для юзеров, которые используют один пароль на все подряд, пусть выставит три-четыре пароля и задаст динамику автосмены, реально пароль хранится в виде ссылки на блок, а в самом блоке храним пароль, причем производим замену пароля раз в период на автомате (сложность только в отличаи структуры ресурсов, придется делать каталог примеров)
[FONT=Times New Roman]Таких как я много, только я такой один![/FONT]
-

Сообщение от
DVi
Вы полагаете, что хранение одного в двух разных местах - это более безопасно, чем в одном?

Я полагаю, что хранение паролей в Зашифрованном Виде (как например в iWallet) пусть даже на диске, поможет решить проблему.
-

Сообщение от
drongo
Было бы здорово, если бы антивирусная программа кроме того что удаляет- предупреждала и советовала пользователю менять пароли
Комплексный пакет все должон уметь. И будить хозяина по утрам, и петь его детям на ночь колыбельные по расписанию.
Последний раз редактировалось [quote]; 09.10.2008 в 13:38.
Причина: опеч
-
Скорее всего да, но учитывая замечания DVI... также это должно отключаться при необходимости и учитывать общие настройки системы, а также особенности данного вируса - например если затрагиваются пароли почты, то и рекомендовать менять именно их, а не все пароли вообще.