Трояны. Как бороться ?

← →
nikkie © (2004-08-13 14:44) [40]

>ГДЕ ДЫРУ В ЗАЩИТЕ ИСКАТЬ ???
фаервол точно все входящие запрещает? кстати, даже это не гарантия защищенности атаки из вне. когда была эпидемия msblast - я только прикалывался читая жалобы здесь на форуме, поскольку считал, что Outpost защитит. до тех пор, пока не словил его из локальной сети, атака произошла, пока Outpost запуститься не успел - я только включил компьютер, логин не успел сделать, а он мне - RPC error. версия была Free, в Pro вроде писали про улучшение на эту тему.

каким браузером пользуешься, какая почтовая программа?

← →
Anatoly Podgoretsky © (2004-08-13 14:50) [41]

nikkie © (13.08.04 14:44) [40]
Это потому что этот файрвол не часть системы и запускается слишком поздно.

← →
Prohodil Mimo © (2004-08-13 15:18) [42]

интересно получается : вирусня всякая прописывает свою загрузку чуть ли не перед запуском винды, а файрвол после загрузки юзера?

← →
Рамиль © (2004-08-13 15:23) [43]

> [42] Prohodil Mimo © (13.08.04 15:18)

С чего ты взял? момент заражения и запуск разные вещи.

← →
Holy (2004-08-13 15:27) [44]

Prohodil Mimo © (13.08.04 15:18) [42] Если троян уже на вашей машине, то на фаирвол нечего пенять... Локальная сеть у Outpost"а среди поключений, где разрешен нетбиос, а может и галку доверенные поставил... Вот тебе и ловля из локалки...

← →
Prohodil Mimo © (2004-08-13 15:28) [45]

[43] Рамиль, ты меня не так понял

смысл вопроса был такой : почему файрвол не грузится раньше остальных ?

← →
Рамиль © (2004-08-13 15:32) [46]

> 45] Prohodil Mimo © (13.08.04 15:28)

Ну, так бы и сказал, ты же спрашивал почему вирусы раньше фаервола грузятся. это у производителя спарашивать надо. И фаервол, который работает не службой ни на что, ИМХО, не годится. Только порядок загрузки служб для меня темный лес...

← →
nikkie © (2004-08-13 16:02) [47]

>почему вирусы раньше фаервола грузятся
это ваши домыслы. Outpost Free точно также сервисом прописан был. в своей истории я нигде не говорил, что фаервол запускается только когда я логин делаю. но и сервис может оказаться слишком поздно.

>Это потому что этот файрвол не часть системы и запускается слишком поздно.
мне казалось, что они заменяют какие-то системные библиотеки...

← →
NeyroSpace © (2004-08-13 16:14) [48]

QuestionX (13.08.04 00:43) [34]
ActiveX в IE отключи и в инете не шарься по темным углам.

← →
Anatoly Podgoretsky © (2004-08-13 17:08) [49]

nikkie © (13.08.04 16:02) [47]
Если они так делают, то их надо расстреливать за это!!!
Не важно, файрвол должен быть как бы частью ядра, по крайней мере должен управляться из ядра и запускаться ранее сети, вот тогда есть гарантия. Иначе есть небольшая, но достаточная пауза для заражения. Что ты и прочувствовал на саоей шкуре.

← →
Prohodil Mimo © (2004-08-13 17:12) [50]

А встроенный в ХР когда грузится?

← →
nikkie © (2004-08-13 17:40) [51]

из сравнения Outpost Pro и Free версий:

http://www.agnitum.com/products/outpost/profree.html
During Windows" start-up, Outpost Firewall 2.0 begins protecting your system before any malicious program has a chance to be loaded. Outpost Firewall 2.0 protects your system from first start up to final shut down.

вопрос только, отнесли ли они RPC-систему к malicious program. :))

← →
YurikGL © (2004-08-13 17:41) [52]

У NIS было обновление - грузиться до всех процессов, но нажимая Ctrl+alt+del выяснил, что это - не так.
У NAV есть один минус - я не нашел адреса на который им вирусы новые посылать, а так имею вирус, который NAV не видит, а KAV видит.
З.Ы. пользую NAV-м.

← →
Prohodil Mimo © (2004-08-13 17:48) [53]

[52] YurikGL, на любой шли :о)

← →
Anatoly Podgoretsky © (2004-08-13 17:54) [54]

nikkie © (13.08.04 17:40) [51]
Нет не отнесли, RPC нижний системный уровень, а вот их антивирус нет.

← →
Anatoly Podgoretsky © (2004-08-13 17:55) [55]

То есть RPC вообще не является программой, тем более вредоносной, пусть только попробуют его такой обозвать, достанется им от Микрософта по самое то :-)

← →
Anatoly Podgoretsky © (2004-08-13 17:57) [56]

YurikGL © (13.08.04 17:41) [52]
Тут еще более сложный аспект, что считать вирусом, что нет, эридически очень опасная вещь.

А Касперского Микрософт вообще поставил вне закона, у них там есть одна страница (адрес не спрашивай), где прямо сказано - деинсталируйте антивирус Касперского, если у вас проблемы с компьютером!!!

← →
nikkie © (2004-08-13 17:58) [57]

заявляю:
RPC - вредоносная программа.
ждем реакции Microsoft.

← →
Anatoly Podgoretsky © (2004-08-13 18:05) [58]

nikkie © (13.08.04 17:58) [57]
Ну ты не правомочен, не представляешь интереса для Микрософт :-)
А вот если такое заявит один из крупнейших производителей антивируса и нпа этом основаниее будет удалять RPC из системы, я бы с удовольствием посмотрел на них.

Между прочим я не шучу, уже были случаи, когда какая АВ фирма объявила некоторую программу вирусом и стала удалять, судебный ущерб был велик :-)

Поэтому наряду с антивирусами есть отдельный класс программ, которые чистят от adware/spyware но они в обязательном порядке спрашиваю насчет удаления веток в реестре и самой программы, это пользователь должен решить вредная она или нет.

← →
Agent13 © (2004-08-13 18:18) [59]

> А Касперского Микрософт вообще поставил вне закона, у них
> там есть одна страница (адрес не спрашивай), где прямо сказано
> - деинсталируйте антивирус Касперского, если у вас проблемы
> с компьютером!!!

You May Be Unable to Browse the Network ... This behavior can occur if your computer has the Kaspersky antivirus program installed ... To resolve this behavior, either remove the Kaspersky antivirus program or contact the following Kaspersky Web site to verify if there is a updated program that can resolve this behavior...
Оно? Да уж, нагловато как-то. Интересно, а дядя Каспер об этом читал? Хороший повод посудиться с Билли.

← →
Anatoly Podgoretsky © (2004-08-13 18:30) [60]

Не выйдет, поскольку проблема в антивирусе Касперского, с самим собой судиться. Этот Касперский антивирус много создал проблем в корпоративных сетях, при том они не нагло запрещают, а говорят сходите к дяде Касперу на сайт за обновленной версией, если такая появится.

← →
Vetek_2 (2004-08-13 22:30) [61]

Касперский - имхо лучший антивирь, но тока не в режиме монитора .. :))
- в последнее время он очень "поумнел", и находит все известные _распространённые_ трояны :)

← →
YurikGL © (2004-08-14 00:24) [62]

> Prohodil Mimo © (13.08.04 17:48) [53]
> [52] YurikGL, на любой шли :о)

Дык я на symantece вообще ни одного email-a не нашел :(

← →
Рамиль © (2004-08-14 11:21) [63]

> Касперский - имхо лучший антивирь, но тока не в режиме монитора
> .. :))

Полностью согласен:)

> У NAV есть один минус - я не нашел адреса на который им
> вирусы новые посылать, а так имею вирус, который NAV не
> видит, а KAV видит

Не надо там адреса, все сделано круче:)
Reports -> Quarantined Items -> View Report
File -> Add Item добавляешь на карантин подозрительный файл, потом правой кнопкой по нему и Submit to Symantec, дальше разберешься.

← →
QuasiLamo © (2004-08-14 12:25) [64]

а если activeX и java script в осле отключены эта гадость все равно пролезет?

← →
Fisher (2004-08-14 13:54) [65]

Интересное дело.. Я два года гуляю по нету без файрвола, антиваируса, обновлений винды или ослика и прочей фигни. И не было ни одного случая ни атаки, ни вируса, ни трояна. Товарищи, в чем секрет вашей невезучести? %-)))

← →
nikkie © (2004-08-14 15:03) [66]

>QuasiLamo
>а если activeX и java script в осле отключены эта гадость все равно пролезет?
май 2004-го:
http://www.viruslist.com/index.html?tnews=1001&id=145235283
Гораздо раньше, в начале года, была обнаружена необычная уязвимость в ядре Internet Explorer версий 5.x и выше, связанная с обработкой BMP-изображений. Теоретическая возможность выполнения произвольного кода при просмотре «зараженной» BMP-картинки при помощи любой программы, использующей движок IE названных версий (в частности, уязвимы сам Internet Explorer 5.х и соответствующий Outlook Express) подразумевалась изначально, но реально действующий эксплоит к ней появился лишь в середине мая. TrojanDownloader.BMP.Agent.a - первый в истории компьютерных вирусов «троянец», представляющий собой специальным образом сконструированный файл формата BMP, при обработке которого ядром IE 5.х происходит скачивание из интернета и запуск некой программы (в данном случае - «бэкдора» Backdoor.Throd.a). Таким образом, злоумышленник может послать жертве сообщение электронной почты в виде HTML-страницы с «картинкой». При отображении этого письма в Outlook Express сработает эксплоит, и в систему будет без ведома пользователя установлен «троянец». Открытие уязвимости связано с нелегально распространенными в интернете исходными кодами Windows 2000. В одной из процедур обработки BMP-изображений неосторожно используются знаковые переменные для хранения беззнакового типа данных, в связи с чем возможно передать функции чтения BMP-файла отрицательное смещение и вызвать переполнение стека с последующим выполнением кода из него. В роли эксплоита выступает BMP-файл со специальным образом поправленным заголовком и помещенным по нужному смещению специфичным кодом.

>Fisher
>без файрвола, антиваируса, обновлений винды или ослика и прочей фигни.
>И не было ни одного случая ни атаки, ни вируса, ни трояна.
откуда же ты это можешь знать?
вот если бы ты сказал - я принципиально перехожу МКАД, не пользуясь переходами, и пока еще ни разу не сбили - в этом можно быть уверенным. как впрочем и в том, что еще не вечер.
почему ты не словил msblast год назад - я не знаю. может отдыхал месяц где, а может выходишь из-за прокси.

← →
DeadMeat © (2004-08-14 16:18) [67]

Насчет msblast... Дык и я его не поймал... И ничего у меня не стояло...

---
...Death Is Only The Begining...

← →
DeadMeat © (2004-08-14 16:19) [68]

В смысле стенок никаких не было...

---
...Death Is Only The Begining...

>Насчет msblast... Дык и я его не поймал... И ничего у меня не стояло...
два варианта я уже предложил. на самом деле есть еще один - у тебя не W2K/XP :)

Еще один вариант у него вообще компьютера нет.

Хе-хе... Ни один из вариантов не верен... ;)
И компьютер у меня есть, и WinXP стоит и отдыхать я не ездил ни куда...
Может мне просто повезло... ;)

---
...Death Is Only The Begining...

>DeadMeat
и ip реальный?

Может у него встроенный фаервол включен, а он не подозревает о его существовании:)

А еще проще внешний, о котором не то что не догадывается, но никогда в жизни и не узнает.

Да нет у меня огнестенки... В смысле раньше не было (тогда). А сижу я по диалапу, но IP ессесно не реальный.., но при этом ко мне часто стучаться всякие недохакеры с сетки нашего прова... И щас пытаются по разным портам побить. Притом самый распространенный - 445. В нете почитал, что это какой то старый вирь. Щас начали на 23 пробивать...
Так что хз почему меня стороной обошло...

---
...Death Is Only The Begining...

Откуда знаешь, что к тебе рвутся, файрвола то нет, или ты нам лапшу вещал ранее?

Не ну вообще... Я ж говорил тогда не было... год назад. А недавно я его поставил... Zone Alarm...

---
...Death Is Only The Begining...

Год назад из трех известных эксплоитов был Slammer

Эт кто?

---
...Death Is Only The Begining...

Пардон, претензия ни к тебе, это рыбачек лапшу вешает.

Трояны. Как бороться ? Найти похожие ветки