skype.exe это программа Интеренет-телефонии (www.skype.com), что-то вроде ICQ.
Я просто из-за излишней подозрительностидумал о маскировке червя под skype
skype.exe это программа Интеренет-телефонии (www.skype.com), что-то вроде ICQ.
Я просто из-за излишней подозрительности
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
да не за что - но прислать то ее всеравно стоит - на [email protected] - я ее в базы безопасных включуСообщение от Крецл
skype.exe это программа Интеренет-телефонии (www.skype.com), что-то вроде ICQ.
Я просто из-за излишней подозрительности
Отправил. Весит 12 Мб.
Спасибо, я ее помещу в базы безопасных
Вопрос к Олегу. А может стоит сделать так, чтобы AVZ писал какой процесс или программа использует этот порт?
AVZ это пишет, к примеру:
---
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 12 TCP портов и 17 UDP портов
>>> Опасно: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe)
---
Такая же информация есть и в 'Сервис' -> 'Открытые порты TCP/UDP'.
Я так понимаю, это на известные или стандартные, как их ещё назвать, а вот у меня тоже было как описано:" Опасно, порт 1034 ...", а вот что его использовало, такого не было. Или я не прав?
Маловероятно, что такое могло быть... Насколько я себе представляю логику работы AVZ, для каждого порта, который отображается в списке портов TCP/UDP, обязательно должен быть указан процесс (вместе с именем программы), который его использует. Если это не так, то, скорее всего, это был какой-то глюк.
И еще: если про какой-то порт написано "опасно!", то рядом с номером порта должно быть краткое описание "зверей", которые могут этот порт использовать в своих неблаговидных целях! А в списке открытых портов такая строка к тому же выделяется красным цветом.
Последний раз редактировалось aintrust; 22.06.2005 в 20:19.
Ладно, в следующий раз более внимательно посмотрю.
aintrust абсолютно точно описал логику проверки портов, я могу только внести небольшое уточнение - отображение соответствия порт<->процесс происходит только в XP и W2K3. В W2K такое возможно с помощью некоторого шаманства, но в AVZ это не реализовано.
И все-таки я оказался неправ, предположив, что в линейке Windows 9x и в Windows 2k процессы также отображаются...Каюсь!
Вывод: переползайте на "современные" операционки!
У меня на работе W2k, а на другие ОС нужны деньги.С людьми в сером знакомиться не хочется.
Плиз, если я чего-то не понял, или повторил ранее сказанное, не судите строго.
О логике работы программы.
На мой взгляд, в архитектуре программы заложены два параллельных механизма работы. (И это несколько запутывает пользователя программы, каким я являюсь, по мере дальнейшего усложнения функционала программы.)
1. анализ-сканирование системы с блокированием-без блокирования руткитов, с последующим запуском сканирования с включением параметров лечения.
2. параллельно создан механизм создания-просмотра таблицы инфицированных, подозрительных файлов-объектов с последующим их анализом-(отложенным) удалением.
Замечания.
1. На сегодняшний день непонятна логика отложенного удаления файла. Какие файлы будут удалены? Те, что выбраны в режиме диалога, или те, что были обнаружены в результате сканирования и не были излечены в данном сеансе работы AVZ?
2. Есть ли смысл в параметре “проверять - не проверять запущенные процессы”? (Если однозначно – проверять!) Чтобы отключить повторную проверку при сканировании диска? (В данном случае, лучше перестраховаться и проверять процессы всякий раз.)
3. Несколько непонятна логика с параметрами лечения.
Подозрительные объекты копируются в карантин при сканировании без лечения или при лечении? (если при лечении, тогда почему данный параметр доступен для выбора без флажка «выполнить лечение»?)
Насколько я понимаю, в карантин помещаются подозрительные файлы для их последующего анализа и вынесения им приговора – удалить или восстановить, типа, «казнить или помиловать». Да, эти действия доступны при работе уже с карантином.
Предложение.
1. текстовый (информационный) лог программы является рабочим до тех пор, пока не включено сканирование диска. После включения сканирования диска (или при обнаружении зараженных, подозрительных файлов) – основным «рабочим логом» должна быть формируемая (как в drWeb, в старом PestPatrol еще) таблица инфицируемых и подозрительных файлов, причем для каждой категории объектов таблицы уже (перед сканированием, в параметрах лечения) определены параметры: «удалить-переместить в infected», «лечить», «в отчет», «переместить в карантин». Либо так: в основное окно программы по умолчанию выводится информационный лог, но при нажатии на кнопочки (информационный лог, таблица объектов) – можно переключать просмотр либо информационного лога, либо таблицы объектов.
2. Далее по таблицу – либо решение очистить (полностью, частично) таблицу, либо «исполнить наказание». Второе действие возможно как для отдельного объекта таблицы, так и для всей таблицы в целом. Во втором случае отрабатывают процедуры лечения-удаления, а для «особо неизлечимых» формируется-редактируется лог-таблица на отложенное удаление.
3. Тогда в главном меню программы – «отложенное удаление» – это есть просмотр-управление таблицей объектов для отложенного удаления (кстати, при последующем запуске АВЗ, или при запуске режима «отложенное удаление» можно проверить наличие в системе файлов приведенных в данной таблице для удаления, чтобы убедиться, что они действительно были удалены. Если по разным причинам данные объекты не были удалены, возможно повторное их удаление после новой перезагрузки).
И…, какой все-таки должна быть логика работы с АВЗ? Если допустить, что комп заражен руткитами, кейлоггерами.
По замечаниям:
1. Отложенное удаление позволяет удалить указанный пользователем файл (любой, хоть kernel32.dll) при его вызове из меню "Файл\Отложенное удаление". Кроме того, оно включается автоматически в ходе лечения - если обнаружен вредоносный объект и его удаление невозможно, то он автоматом ставиттся на отложенное удаление
2. Смысл есть - например, для админа, сканирующего что-то на сетевых ресурсах - многочисленны повторные проверки памяти могут занимать лишнее время
3. В AVZ есть два понятия - карантин и Infected. В карантин копируются подозрительные объекты (вручную или автоматом при включении птички на главном окне) - копирование в карантин не зависит от лечения. Infected - это папка, в которую помещаются резервные копии удаляемых в ходе лечения файлов (для коллекции или на случай востановления). Птичка "копировать удаляемые в Infected" имеет смысл только при включенном лечении - если лечение выключено, то она недоступна
по предложениям:
1. Это логично. Поэтому справа от протокола есть кнопка для вызова таблицы. В таблице отображаются только подозрительные объекты + объекты, признанные вредоносными в случае, если автоматическое лечение отключено. В ьаблице можно отметить любые файлы и поместить их в карантин или удалить (удаление обычное + отложенное автоматом)
2. Именно так и реализовано - только отложенное удаление срабатывает автоматом в случае невозможность выполнить обычное (об этом кстатив главном логе делается отметка)
3. Не совсем понял - для отложенного удаления таблица не нужна ... оно системное и как-бы дополниттельно инициировать его особой нужды нет ...
----
Если есть руткиты/кейлггеры, известные AVZ - он их прибъет при включенном лечении. Если подозрения - по однозначно стоит прислать на анализ логи и подозрительные файлы - в принципе, подробные рекомендации есть вот тут - http://z-oleg.com/secur/avz_doc/, раздел 6.
Понятно... отложенное удаление возможно выполнять из программы для файлов, еще не детектируемых АВЗ.
может быть, имеет смысл автоматически помечать вредоносные объекты в данной таблице при сканировании без удаления?
В 3.60 есть автопометка вредоносных объектов - по типам, все подозрения, все вирусы и т.п. - через меню по правой кнопке.
----------------
Тема закрывается по причине выхода 3.60
Олег, погляди на него повнимательней. похоже, что из-за него у нас человека уже не первый раз от инета отрубают. он кучу соединений создает типа:
CONNECT 80.108.122.231:443 HTTP/1.0
CONNECT 80.108.247.130:443 HTTP/1.0
CONNECT 83.248.137.15:443 HTTP/1.0
причем ломится, как и прописано в настройках, через прокси НО...
либо без логина/пароля, либо с неправильными
может это и шибка в программе, а может и...
а я дедушка-лето !
Ваши права в разделе
