Вирусы и защита от них

← →
alex_ant © (2007-10-07 15:06) [80]

Живу без антивирусов с 2000 года. С тех пор не было ни одного прецедента потери информации. Вообще не вижу в антивирусах смысла. Соблюдаю несколько правил, которые соблюдал и с антивирусом:
— Не использую OutLook и все неизвестные письма сразу посылаю в трэш (ActiveX — до сих пор отличная дыра).
— Не использую Internet Explorer (тоже ActiveX).
— Если чую, что чего-то не того (неизвестные процессы, странная сетевая активность) — делаю восстановление системы.
— Держу хороший файервол, без него никак. На настройки файервола должен висеть пароль.
— Всю жизненно важную информацию в запароленных архивах регулярно скидываю в ящик на gmail.com. Так что даже к смерти винта или к квартирной краже готов всегда. :)

← →
Anatoly Podgoretsky © (2007-10-07 15:13) [81]

> alex_ant (07.10.2007 15:06:20) [80]

> Живу без антивирусов с 2000 года.

Откуда тогда же знаешь, что у тебя нет вирусов.

← →
vp, bar (2007-10-07 15:20) [82]

>>Anatoly Podgoretsky © (07.10.07 15:13) [81]
Ну даже и есть. Если вирус никак не может в сеть вылезти (файрвол хороший), то единственное что он может сделать вредного - это данные попортить. А тут бекап лучше всякого антивируса.

← →
Anatoly Podgoretsky © (2007-10-07 15:24) [83]

> vp, bar (07.10.2007 15:20:22) [82]

Ты откуда пишешь то сюда, с компьютера или как?

← →
Anatoly Podgoretsky © (2007-10-07 15:24) [84]

> vp, bar (07.10.2007 15:20:22) [82]

А бекапы ты делаешь ежедневно и сколько версий хранишь.

← →
alex_ant © (2007-10-07 15:26) [85]

Я не говорил, что их нет, я говорил, что «С тех пор не было ни одного прецедента потери информации».

Если же у меня есть такие волшебные вирусы, которые тихо-мирно живут, не портят информацию, не загружают процессор, не создают кучу процессов... пусть живут. Эволюция... Романтика!

Жаль только нет их, скорее всего. :(

← →
vp, bar (2007-10-07 15:26) [86]

>>Anatoly Podgoretsky © (07.10.07 15:24) [83]
С телефона, шиплю и свистю :)
С компьютера, если точнее с ноута. А что?

← →
Anatoly Podgoretsky © (2007-10-07 15:27) [87]

> vp, bar (07.10.2007 15:26:26) [86]

А то, что файрвол тебе тогда не помощник, посылка сообщений будет идти от имени системных процессов, например от Интернет Эксплорер.

← →
vpbar © (2007-10-07 15:33) [88]

>>Anatoly Podgoretsky © (07.10.07 15:27) [87]
А кто же вирус туда пустит? Или мой шутка в [66] - не такая уж шутка

PS Приношу извинения за раздвоение личности. Один раз пошутил (не тут) а
оно запомнилось. И главное если под своим ником входишь, то пароль просит. А так пускает без проблем.

← →
alex_ant © (2007-10-07 15:37) [89]

> А то, что файрвол тебе тогда не помощник, посылка сообщений
> будет идти от имени системных процессов, например от Интернет
> Эксплорер.

Предполагается, что хороший файервол ставится на чистую машину, далее он отслеживает изменения в разрешенных приложениях. Если происходят какие-то модификации исполняемых файлов он переспрашивает разрешить ли это сделать и вообще разрешать ли приложению опять лезть в Инет.

> А бекапы ты делаешь ежедневно и сколько версий хранишь.

«Жизненно важная информация» это буквально несколько мегабайт файлов, которые ты регулярно меняешь: адресная книга, исходники, документы. Файлы, которые не были изменены с даты последней резервной копии, ни кто не заставляет снова архивировать. Думаю, не нужно объяснять, что рипы 40-ка DVD"шек к «жизненно важной информации» не относятся...

← →
homm © (2007-10-07 15:41) [90]

> Файлы, которые не были изменены с даты последней резервной
> копии, ни кто не заставляет снова архивировать.

Хм… А потом паонадлобится ресторе и не найдешь одного бекапа за год, в котором как раз нужный файл последний раз изменялся.

← →
alex_ant © (2007-10-07 15:50) [91]

> Хм… А потом паонадлобится ресторе и не найдешь одного бекапа
> за год, в котором как раз нужный файл последний раз изменялся.

Ну... для меня такая проблема не стоит, т. к. я знаю, что если файла нет в последней резервной копии, его актуальная версия будет в предыдущей резервной копии. А если нет и там, то в предыдущей относительно предыдущей и т. д.

Кроме того, уверен, что есть программы автоматизирующие этот процесс... Можно даже систему контроля версий использовать, только сервер нужно ставить на какой-нибудь другой машине... Но мне это не надо, и так хорошо.

← →
homm © (2007-10-07 15:59) [92]

> Ну... для меня такая проблема не стоит, т. к. я знаю, что
> если файла нет в последней резервной копии, его актуальная
> версия будет в предыдущей резервной копии. А если нет и
> там, то в предыдущей относительно предыдущей и т. д.

Я тебе о том и говорю, что для полного востановления всего проекта тебе понадобятся бекапы за год, и если хоть один посеешь, пиши-пропало.

← →
alex_ant © (2007-10-07 16:07) [93]

> Я тебе о том и говорю, что для полного востановления всего
> проекта тебе понадобятся бекапы за год, и если хоть один
> посеешь, пиши-пропало.

Пока вроде всё надежно... Gmail помирать не собирается...

← →
antonn © (2007-10-07 16:12) [94]

"потери информации" - это когда со своего компа исчезают файлы нужные, или когда используя троян злоумышленик получает key-лог с клавы, куки, и тп?
Причем тут фаерфол вообще не понятно, можно и без фаервола получить "письмо счастья". Или зайти на форум, где используя уязвимость ставится троян на комп.

← →
alex_ant © (2007-10-07 17:47) [95]

> Причем тут фаерфол вообще не понятно, можно и без фаервола
> получить "письмо счастья". Или зайти на форум, где используя
> уязвимость ставится троян на комп.

Не знал, что нужно проговаривать такие очевидные вещи...

1. Файервол отслеживает любые изменения выполняемых компонентов любых сетевых приложений. Троян, используя уязвимость, незаметно поставить не удастся. Файервол спросит тебя: «Internet Explorer хочет поменять содержимое DLL таких-то и таких-то. Заблокировать это действие?». Жми «Блокировать» и работай дальше.

2. Файервол отслеживает обращение к сети любых приложений. Допустим поставился тебе троян, полез он в Инет, а файервол спрашивает тебя: «Пускать неизвестную программу "windows media player.exe", время создания файла которой 30 минут назад, в Интернет»? Жми «Не пускать», иди и смотри что это за зверь, если что — сразу убивай.

P. S. Имеется ввиду не стандартный виндусовый файервол, а нормальный... Типа там Outpost или ZoneAlarm.

← →
Anatoly Podgoretsky © (2007-10-07 18:26) [96]

> alex_ant (07.10.2007 17:47:35) [95]

1. зачем трояну в обязательном порядке, что то менять?
2. спросит ли насчет того, что Интернет Эксплорер, хочет в Интернет?

← →
vpbar © (2007-10-07 18:29) [97]

>>Anatoly Podgoretsky © (07.10.07 18:26) [96]
Спросит. У меня спросит.

← →
Anatoly Podgoretsky © (2007-10-07 18:34) [98]

> vpbar (07.10.2007 18:29:37) [97]

И что ты ответишь?

← →
vpbar © (2007-10-07 18:35) [99]

Нет, конечно. Ну если оно только не хочет на micosoft.com

← →
sniknik © (2007-10-07 18:41) [100]

> а нормальный... Типа там Outpost
это типа тот который даже не знает, что за одним ip может быть не один сайт, и "обвиняет" первый попавшийся? (вспомним ветки про "скан" с дельфимастера)

> Спросит. У меня спросит.
и что ты ему ответишь? вот типа нажимаеш ты в IE чтото отправить и тебя спрашивает "IE хочет в инет. и чтото отправить". ???

← →
Anatoly Podgoretsky © (2007-10-07 18:41) [101]

> vpbar (07.10.2007 18:35:39) [99]

Любое твое действие, например выход на delphimaster.ru
И насколько я знаю, файрволы спрашивают не про сайты, а про программу, разрешать ли ей выход в Интернет. Не устанешь говорить да/нет, особенно с российским Интернетом, где каждый сайт считает долгом обратиться еще к десятку других сайтов с каждой страницы, всякого рода шпионы?

← →
vrem (2007-10-07 18:43) [102]

файрволл чаще спрашивает - компоненты такие то изменились - ок или блокировать?

← →
vpbar © (2007-10-07 18:46) [103]

>>Anatoly Podgoretsky © (07.10.07 18:41) [101]
Ну во-первых. Лично я сижу в опере. Поэтому излишняя активность IE мня насторожит :).
Во-вторых, какой же это файрвол, если он не сможет спросить разрешен ли адрес сайта или нет.
В третьих можно сидет через прокси. И там уже настроить достув к сайтам.

← →
Anatoly Podgoretsky © (2007-10-07 18:46) [104]

> sniknik (07.10.2007 18:41:40) [100]

> это типа тот который даже не знает, что за одним ip может быть не один сайт, и "обвиняет" первый попавшийся? (вспомним ветки про "скан" с дельфимастера)

:-)

← →
Anatoly Podgoretsky © (2007-10-07 18:48) [105]

> sniknik (07.10.2007 18:41:40) [100]

> и что ты ему ответишь? вот типа нажимаеш ты в IE чтото отправить и тебя спрашивает "IE хочет в инет. и чтото отправить". ???

Вот это то я и хочу от него узнать, он что откажется от работы в Интернет?.
А ведь это наиболее типичное поведение в наше время, те-же плагины к браузерам.

← →
alex_ant © (2007-10-07 19:04) [106]

> Anatoly Podgoretsky © (07.10.07 18:26) [96]
>
> 1. зачем трояну в обязательном порядке, что то менять?

Использование уязвимости и установка трояна (если быть точнее червя) это всегда «что-то менять». Вы ведь не думаете, что трояны волшебным образом копируют себя на компьютер и сами запускаются? И вообще, если установка трояна не затронула никакие исполняемые компоненты, файервол не позволит ему передавать данные.

Тут под трояном понимается некая программа, которая должна установиться на компьютер жертвы и передавать кому-то конфиденциальные данные с компьютера пользователя. Т. е. не имеются ввиду трояны, выдающая себя за полезную программу, которую пользователь по глупости ставит сам.

> 2. спросит ли насчет того, что Интернет Эксплорер, хочет в Интернет?

Хороший Internet Explorer будет пущен. Как только его кто-то подправит (вирус, троян, что угодно), файервол скажет вам какие компоненты были изменены, ли вообще была произведена замена всего приложения и спросит что делать. Тут уж сами думайте, что изменило IE, установка плагина Flash или недавние похождения на astalavista.com.

P. S. Напомните мне, что я нахожусь на форуме программистов, а то постоянно забываю... :)

← →
Anatoly Podgoretsky © (2007-10-07 19:08) [107]

> vpbar (07.10.2007 18:46:43) [103]

К прокси у меня замечаний нет, если он на другой машине.

← →
Anatoly Podgoretsky © (2007-10-07 19:11) [108]

> alex_ant (07.10.2007 19:04:46) [106]

> Вы ведь не думаете, что трояны волшебным образом копируют себя на компьютер и сами запускаются?

Например просьба на delphimaster.ru потестировать программу.

> Anatoly Podgoretsky © (07.10.07 18:48) [105]
> Вот это то я и хочу от него узнать, он что откажется от
> работы в Интернет?.
> А ведь это наиболее типичное поведение в наше время, те-
> же плагины к браузерам.

Извините, но не вижу проблемы. Что вам мешает запретить изменение приложения?
— Программа IE сейчас хочет измениться компоненты такие-то. Разрешить?
Вариантов может быть два:
1. Разреши, я же ставлю плагин для «Дежавю»...
2. Не разрешай, я ведь лажу по сомнительным сайтам...

А дальше спокойно используй свой IE как обычно…

> alex_ant (07.10.2007 19:13:49) [109]

> 2. Не разрешай, я ведь лажу по сомнительным сайтам...

Я уже просил огласить весь список.
Вот например delphimaster.ru сомнительный сайт или нет, а ведь после его посещения начинается стук с сервера.

> Хороший Internet Explorer будет пущен. Как только его кто-
> то подправит (вирус, троян, что угодно), файервол скажет
> вам какие компоненты были изменены, ли вообще была произведена
> замена всего приложения и спросит что делать. Тут уж сами
> думайте, что изменило IE, установка плагина Flash или недавние
> похождения на astalavista.com.
>
> P. S. Напомните мне, что я нахожусь на форуме программистов,
> а то постоянно забываю... :)

напоминаю, вы находитесь на форуме программистов, однако в конференции много людей, не связаных с программированием настолько тесно:) Чтоб получить вирус через ИЕ достаточно в нем самом ничего не изменять:) Но можно использовать уязвимость и запороть svchost, просто так, для куража. Пускать потом какие то программы в нет или нет - уже дело, после этого, десятое :)

> Например просьба на delphimaster.ru потестировать программу.

Это совсем другой разговор. От незнакомых челов вообще брать исполняемые файлы нельзя, и даже антивирусы тут гарантией не являются. В такой программе можно какие-нибудь нехорошие действия сделать под видом самых обыденных. Например, по случайному файлу удалять при каждом запуске. И ни одни антивирус не пикнет...

В общем это случай человеческого фактора... Можно ведь ещё на форуме написать, что если полить монитор ключевой водой, краски на экране станут ярче. Найдутся и те кто проверит...

> Чтоб получить вирус через ИЕ достаточно в нем самом ничего
> не изменять:)

Изменять будете не вы. :) Изменять будут всяческие ActiveX-компоненты расположенные на странице.

И вообще... я в своём первом сообщении написал, что юзать IE не нужно. :) Хотя бы потому, что запаришься реагировать на каждый запрос по изменению компонентов.

Юзайте Лису или Оперу. Для почты Летучую Мышь или Буревестника.

> alex_ant (07.10.2007 19:24:53) [113]

Антивирус не поможет, пока эту программу не классифицируют как троян, а на это надеяться не приходится.
А насчет не запускать, посмотри соответствующие ветки и удивись как много таких людей среди программистов.
А если еще взять и любителей вареза и бесплатного сыра?

> alex_ant (07.10.2007 19:33:54) [114]

Я помню сообщения об уязвимостях этих продуктов, которые кстати не затронули ИЕ, и производители пожимали плечами, мы мол пытаемся решить проблему.
Ну нет безопасных браузеров и быть не может, иначе подавляющее большинство сайтов нельзя будет посмотреть.

> Virgo_Style © (07.10.07 19:14) [110]
>
> надеюсь, ваш файерволл прошел все leak tests?

Не знаю... но слово Anti-Leak в нём встречается. :)

> alex_ant (07.10.2007 19:45:57) [117]

Огласи название файрвола.

> Огласи название файрвола.

Outpost Firewall Pro x64 ver. 4.0.964.6926 (582)

Обновления качаю регулярно. До этого использовал другой, но когда пересел на x64, это был единственный из известных файерволов, с поддержкой x64. Всем доволен.

Кстати, приведу типичный пример борьбы файервол + восстановление системы.

Лазал на «сомнительных сайтах» в Internet Explorer 7, в нём т. к. в Лисе сайт не работал корректно. Тут Outpost говорит: «IE хочет изменить свои компоненты. Разрешить?». Не вдумываясь нажимаю «Да». Тут же выскакивает сообщение от Outpost «Программа winsysdriver.exe хочет в Инет. Пускать?». Так, думаю, попал. Смотрю в диспетчере задач, точно — две копии висят, одну убиваешь, другая запускает её тут же, потому просто удалить невозможно. (Можно из безопасного режима). Ну, думаю, поимели меня. Иду в восстановление системы и восстанавливаюсь на «вчера». Загружаю чистенький компьютер.

Даже интересно...

Вирусы и защита от них - а надо оно? Найти похожие ветки