Поделитесь способами отлова неизвестных вирусов...

← →
Knight © (2004-03-31 15:24) [0]

сабж...

← →
Anatoly Podgoretsky © (2004-03-31 15:29) [1]

Очень просто, нажимай Delete если в почте, а со стороны ничего не бери. Если это не подходит то запускай на санитарной машине.

← →
Rule © (2004-03-31 15:32) [2]

а как ловить неизвестные вирусы, на то они и не известные вирусы что они неизвестные
хотя есть один спопоб, если что-то не так то лови :)

← →
raymond © (2004-03-31 15:33) [3]

Пользуй антивирус.
Если нужно именно ловить, то не пользуй.
З.Ы. Таким способом можно отлавливать и неизвестные вирусы.

← →
TUser © (2004-03-31 15:36) [4]

Спросить у Касперского. Можно еще наваять прогу, которая просканирует диск, запишет размеры exe/dll-файлов, а потом будет тоже самое делать раз в сутки, скажем. При изменении размера - визжать диким голосом. Правда, как тут недавно справдливо отмечалось, вирусы, внедряющиеся в исх. код - это нонче редкость. Все больши пишут червяков, реже - макросные вири. Против них такое не покатит. Можно аналогично вести логи запущенных процессов, как только появятся новые, которые ранее не запускались - предупреждать. Прокатит против некрутых вирусов на машине, где работает секретарша, которой кроме аськи, ворда и аутглюка ничего не надо. Если чато запускаются новые процессы (каких раньше тут не было) - то такую прогу ты прибьешь через пару дней со злости, наплевав на все вирусы.
Это то, что в голову стукнуло после прочтения сабжа.

← →
Rule © (2004-03-31 15:41) [5]

ну могу сказать что не так страшен для админа спам как антиспамовые там защиты и системы, стоко лишней работы приходится делать чтоб доказать всем что ты не спамер, вот то и про вирусы, хочешь быть защищенными тогда возьми геморой на голову следить за всем и вся

← →
Knight © (2004-03-31 19:34) [6]

> raymond © (31.03.04 15:33) [3]
> Пользуй антивирус.

KAV с последними обновлениями молчит.

> Anatoly Podgoretsky © (31.03.04 15:29) [1]
> Очень просто, нажимай Delete если в почте, а со стороны
> ничего не бери. Если это не подходит то запускай на санитарной
> машине.

Подходит... Делаю это на работе уже несколько дней, удаляя по 5-6 писем с вложенными файлами...
Но в наш адрес это ладно... так ведь приходят ошибки с почтовых серверов об отправке писем ОТСЮДА причём во всех отмечается, что в них были разные вложения (rar, zip, exe, doc... etc.), а так же отчёты Dr.Web, уведомляющих о том, что во вложениях обнаружены разные букашки. Вот и гложут сомнения, то ли заражен кто-то у кого есть наш адрес, то лм мэил попал туда куда не надо, то ли письма идут отсюда, хотя, как уже писал, антивирь молчит, в журнале ФВ ничего подозрительного не видно... Что можете посоветовать?

← →
Anatoly Podgoretsky © (2004-03-31 20:05) [7]

Ой я же неправильно ответил, ты же хочешь поймать, с этим прсще
Запускай все неизвестное и поймаешь.

← →
Piter © (2004-03-31 20:08) [8]

TUser (31.03.04 15:36) [4]
Можно еще наваять прогу, которая просканирует диск, запишет размеры exe/dll-файлов, а потом будет тоже самое делать раз в сутки, скажем.

ага, эта прога Adinf называется...

← →
Knight © (2004-03-31 20:19) [9]

ха-ха... шутники... блин :(

← →
sniknik © (2004-03-31 21:35) [10]

вот такое например

Уважаемый Отправитель sniknik@rambler.ru !

Сообщение, отправленное с Вашего адреса (возможно вирусом
с другого компьютера) по адресу(ам) t.a.lubimova@shatura.com
инфицировано и не было доставлено.

--- Dr.Web report ---
Найден(ы) следующий(е) вирус(ы):
infected with Win32.HLLM.Netsky.35328

Детализированный отчет Dr.Web:
drweb.tmp.tdeUim - archive MAIL
drweb.tmp.tdeUim - archive MAIL
drweb.tmp.tdeUim/html.1 - Ok
drweb.tmp.tdeUim/message.scr infected with Win32.HLLM.Netsky.35328

Статистика сканирования Dr.Web:
Evaluation key used !
Infected : 1

--- Dr.Web report ---

Ваше сообщение сохранено в карантине под именем:
drweb.quarantine.Q98O3p

---
Антивирусная защита почтовых серверов
Dr.Web(R) Daemon for Unix (разработан в Daniloff"s Labs)
(http://www.drweb.ru, http://www.DialogNauka.ru)

--------------------------------------------------------------------------------

Return-Path: <sniknik@rambler.ru>
Received: from shatura.com (shatura.anetstv.ru [81.23.130.60])
by mail.shatura.com (turbo_mega_MS_mail) with ESMTP id BD9AE7837A
for <t.a.lubimova@shatura.com>; Wed, 31 Mar 2004 10:09:23 +0400 (MSD)
From: sniknik@rambler.ru
To: t.a.lubimova@shatura.com
Subject: Mail Delivery (failure t.a.lubimova@shatura.com)
Date: Fri, 30 Jan 2004 10:10:26 +0300
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20040331060923.BD9AE7837A@mail.shatura.com>

получил сегодня (и не только)
основное в этом сообщении "возможно вирусом с другого компьютера"
ясен перец с другого, с этого я дня 3 уже ничего не посылал, и на сайт рамблера не заходил..., значит у когото мой адрес вирус себе в базу подцепил и подставляет его теперь в поле from, ну или на рамблере "полтергейтс" завелся сам от меня почту шлет (и в отправленых не сохраняет).

Во-во слово в слово, только адреса другие... я тоже больше к тому склоняюсь, что у меня всё тип-топ :)

>KAV с последними обновлениями молчит.

Дык для эвристического анализа обновления не нужны.
ИМХО, хорошая штука, но если серьезно, новый "неизвестный" вирус - сам написал? :-)

Я обычно ловлю неизвестные вирусы сачком.
Попробуйте сами, помогает :)

хочешь поделюсь вирусом? звать HTML.redlof.A в нагрузку могу дать антивирус, потому что NAV его не лечит, а KAVом я не пробовал.

Поделитесь способами отлова неизвестных вирусов... Найти похожие ветки