как избавится от этой заразы?

← →
koha! (2009-10-30 16:44) [0]

:KAVICHS:$DATA - прицепляется ко всем файлам. и померает если файлы копировать на FAT32..

А интересно если файлы перемещать или копировать в ext3 или из под линух эта зараза умрет или выживет?

← →
antonn © (2009-10-30 16:55) [1]

это дополнительный файловый поток, метка касперского

← →
antonn © (2009-10-30 16:56) [2]

не зараза, вполне документированная и полезная в некоторых случаях вещь.

← →
Сергей М. © (2009-10-30 17:00) [3]

> koha! (30.10.09 16:44)

Это Касперский нагадил.

Возьми пилюлю от Руссиновича streams.exe и запусти ее
streams.exe -s -d *.*
в корне тома, подлежащего лечению

← →
koha! (2009-10-30 17:08) [4]

> antonn © (30.10.09 16:56) [2]
> не зараза, вполне документированная и полезная в некоторых
> случаях вещь.

нам лишние вполне документированные руткиты от касперского не нужны...
Вообще паражает с какой легкостью антивирусные кампани сами впаривают руткиты и форм граберы, например КАV7 устанавливает 3 стелз процесса, я один в дамп сбросил и отдал челу, который крут в написании руткитов и в дизасимблировании.. и он определи что этот код не имеет сигнатур и хейдеров, но работает по прерыванию и что это форм грабберы, но вот скажите зачем KAV нужно знать что я пишу в браузере и какие форумы посещаю и как это может быть связано с антивирусной безопасностью...
после этого наша конторка отказалась от использования KAV и с главного сервера его тоже убрали.. Но ведь и дуругие "гавноантивирусы" то тоже не лучше тот же NOD32 все новые версии имеют стелс процессы и форм граберы... мда стоит задуматся...

← →
antonn © (2009-10-30 17:12) [5]

Ты хочешь чтобы антивирус представлял из себя пользовательскую программку типа calc.exe, с одной кнопкой "удалить все вирусы навсегда"? :)
Я не разбираюсь в компьютерной безопасности в таких глубинах, потому не обсуждаю зачем ему нужны стелс-процессы и зачем форм-граббер. Вероятно на это есть причины, которых я не знаю.

← →
Сергей М. © (2009-10-30 17:15) [6]

> этот код не имеет сигнатур

Сигнатур может не быть только у полностью самомодифицируемого кода.
Сомневаюсь что руткиту, живущему в стелс-процессе, да еще и закрытому от любопытных глаз привелегиями нулевого кольца, оно так уж надо - непрерывно самомодифицировать себя до последнего байта)

← →
koha! (2009-10-30 17:15) [7]

> Сергей М. © (30.10.09 17:00) [3]
> > koha! (30.10.09 16:44) Это Касперский нагадил.

О.. еще как нагадил.. быдло ПО стучит и докладает, еще замечен в воровстве оригинального кода...

← →
DrPass © (2009-10-30 17:16) [8]

> antonn © (30.10.09 17:12) [5]
> Я не разбираюсь в компьютерной безопасности в таких глубинах,
> потому не обсуждаю зачем ему нужны стелс-процессы и зачем
> форм-граббер. Вероятно на это есть причины, которых я не
> знаю.

Успешное существование других антивирусов, которые не загаживают компьютер, говорит об обратном :)

← →
antonn © (2009-10-30 17:19) [9]

У меня 3 года без всяких переустановок отлично живут две системы, сервер с каспером и десктоп с НОД32 (еще версии 2.5). Ну работают, не глючат, где там загаживания я не вижу :)

← →
Сергей М. © (2009-10-30 17:21) [10]

> он определи что этот код ..работает по прерыванию

А что, прочие руткиты могут работать не по прерыванию ?
Это же их ключевой метод получения управления)

← →
koha! (2009-10-30 17:26) [11]

> Сергей М. © (30.10.09 17:15) [6]

Ну незнаю как это происходит, я веть тоже еще не до азов спец, но эти процесы могут устанавливаться специальным образом, думаю драверами, а затем их "подчищают" в памяти, чтобы не обнаружили т.е. удаляют сикнатуры и структуры. вот например KAV7 маскирует дравер под другой дравер serials и что интересно, что после удаления KAV маскированный дравер остается в системе, вотвам еще "подарок" вопрос а зачем да все за тем же я так полагаю что бы потихоничку чтучать или собирать приватную инфу...

← →
Eraser © (2009-10-30 17:30) [12]

> вопрос а зачем да все за тем же я так полагаю что бы потихоничку
> чтучать или собирать приватную инфу...

вряд ли. это прямое нарушение законодательства РФ (и не только), причем это нарушение легко доказуемо.

← →
koha! (2009-10-30 17:41) [13]

> Eraser © (30.10.09 17:30) [12]

Вот интересно как вы это будете доказывать? если это не определяется как вирус самим антивирусом и никогда не будет определяться потому что никогда не попадет в антивирусные базы касперского. Ну а если спецслужбы работают бок-обок с подобными компаниями, то кто будет шуметь по этому поводу? Вот еще вариант недавно Медведев похвалил лабораторию касперского.. откуда нам знать, что правительство в этом тоже не заинтересовано? Вот, например, Известное заявление NAV Semantec, что сновой версией NAV будет действовать такой механизм, который будет сразу же стучать в соответствуюющие органы, если на компутере будут найдены нарушения законности.. ну и т.д. и т.п. Все Аверы это делают уже давно но только негласно по тихому...

← →
koha! (2009-10-30 17:53) [14]

koha! (30.10.09 17:41) [13]

- продолжение мысли, седня ничего не происходит, так только одна компания заявила, что намерена стучать в провахранительные органы по факту незаконности, а что это такое "факт незаконности" седня это вредоносная программа, троян или вирус, а завтра? Может так стать, чт любой фильм скачанный из интернет или сети торрент уже будет "чудовищным" престплением и если уж у вас стоит такая программа, которая следит не только за антивирусам, но и стучит, то запросто власти могут обязать в обязательном порядке, что бы эта программа настучала по факту преступлениея.. А мы ведь знаем что в некоторых уголовных законах лица знающие или осведомленные о преступлении и не помогшие правосудию или правоохранительным органам тоже ответственны за сокрытие преступления или пособничество...

← →
Кто б сомневался © (2009-10-30 18:03) [15]

Я вообще без антивирусов живу. Стоит только Outpost firewall. Иногда раз в 2-4 месяца запускаю проверку файлов Dr.Web® CureIt которая бесплатна но содержит всю базу drweb. Еще ни разу не нашлось вирусов, за все 6 лет. Те что попадались, давил руками - с этим файрволлом они попадаются только с носителей.. Хотя я серфлюсь на разных сайтах, и кряки ищу итп.

← →
Eraser © (2009-10-30 18:04) [16]

> [13] koha! (30.10.09 17:41)

> Вот интересно как вы это будете доказывать?

элементарно. если в программном модуле есть код, который собирает приватную информацию, а тем более отсылает её, любая экспертиза это подтвердит.
как будто программа это какая-то неизвестная человеку сущность! )

← →
koha! (2009-10-30 18:18) [17]

> Eraser © (30.10.09 18:04) [16]
> > [13] koha! (30.10.09 17:41)

Но ведь вам тогда, придется обратиться к N экспертным учреждениям, а в чьем подчинении они находятся? Ну а, если это так и происходит с подачи или закрытию глаз N государственных структур, то когда они и найдут такой код, который ими же и одобрялся этими N гос-структурами, то врядли они скажут, что это вредный и нарушающий права человека код. Скажут, что это весьма нужная для государства вещь и нет там никакого вредоносного ПО. Да и вообще ничего не скажут просто все заглохнет... Вот яркий, пример, поправка в законе о связи "Спецслужбам и милиции официально разрешили читать переписку граждан" http://r3al.ru/index.php?showtopic=5865
по поводу этого а где массовые возмущения и митинги и сколько народу подало в суд отстаивать свои права?

← →
Игорь Шевченко © (2009-10-30 19:21) [18]

Если ты так боишься, почему до сих пор не под линуксом ? Болен ?

← →
Styx (2009-10-30 19:39) [19]

> почему до сих пор не под линуксом ?

Потому что упал :)

← →
koha! (2009-10-30 19:50) [20]

> Игорь Шевченко © (30.10.09 19:21) [18]
> Если ты так боишься, почему до сих пор не под линуксом ?
> Болен ?

я давно под линуксом...

> Styx (30.10.09 19:39) [19]
> > почему до сих пор не под линуксом ?Потому что упал :)

там в конце той ветки и указаны причины почему упал линукс .. все по причине железа "ни чето не вечно под луной"

а так то у меня два компа в роли серверов и один настоящий 2х-процессорный динозавр правда уже и древний, его по гайкам собирал, но все же пашет и я щас с него выхожу в инет...

← →
Кто б сомневался © (2009-10-30 20:49) [21]

> Игорь Шевченко © (30.10.09 19:21) [18]
>
> Если ты так боишься, почему до сих пор не под линуксом ?
> Болен ?

Гениальный ответ. Можно подумать под линухом нет вирусов..

> Кто б сомневался (30.10.2009 20:49:21) [21]

Запомни две аксиомы

1. Линукс не падает.
2. Под Линукс нет вирусов.

> [17] koha! (30.10.09 18:18)
> Но ведь вам тогда, придется обратиться к N экспертным учреждениям,
> а в чьем подчинении они находятся? Ну а, если это так и
> происходит с подачи или закрытию глаз N государственных
> структур, то когда они и найдут такой код, который ими же
> и одобрялся этими N гос-структурами, то врядли они скажут,
> что это вредный и нарушающий права человека код. Скажут,
> что это весьма нужная для государства вещь и нет там никакого
> вредоносного ПО. Да и вообще ничего не скажут просто все
> заглохнет...

Не нужны эксперты. Определит специалист средней руки. типа твоего друга.

> ам лишние вполне документированные руткиты от касперского
> не нужны...Вообще паражает с какой легкостью антивирусные
> кампани сами впаривают руткиты и форм граберы, например
> КАV7 устанавливает 3 стелз процесса, я один в дамп сбросил
> и отдал челу, который крут в написании руткитов и в дизасимблировании.
> . и он определи что этот код не имеет сигнатур и хейдеров,
> но работает по прерыванию и что это форм грабберы, но вот
> скажите зачем KAV нужно знать что я пишу в браузере и какие
> форумы посещаю и как это может быть связано с антивирусной
> безопасностью...

Прямым связанно. Надо же отличать это ты пишешь или какая шпионская программа. А стелс нужен по двум причинам. Первое чтобы не падала система при некорректном использовании что сплошь и рядом. Второе чтобы трояны не могли обходить антивирус простым способом.

По поводу того что стучит ну это запросто любая программа. Волков бояться в лесс не ходить.
Так что ищи дальше как найдешь скажи.

> Anatoly Podgoretsky © (30.10.09 21:06) [22]

Только вот не надо мне сказки сказывать, гуглом я пользоваться вроде умею.
По первой ссылке сразу -
http://www.linuxcenter.ru/lib/articles/security/viruses.phtml

← →
GDI+ (2009-10-31 00:15) [26]

> koha! (30.10.09 17:08) [4]
> и он
> определи что этот код не имеет сигнатур и хейдеров, но работает
> по прерыванию

Что такое прерывание в вашем понимании в WinNT?

Может то что он сидит на SSDT(System Services Descriptor Table). Здесь согласен, грязный метод, но успешно используется, так как иначе многие руткиты без загрузки из чистой системы не перехватить.

Так как PsSetLoadImageNotifyRoutine начинает работать (отсылать нотификации) только после загрузки драйверов ФС, даже если драйвер грузить первым.

> Кто б сомневался © (31.10.09 00:08) [25]

Вообще я хотел бы сказать, что нет такой системы сделаной человеком, которую другой человек не смог бы взломать. У линуха существует множество модификаций, что затрудняет написание вирусов, но основная причина - это популярность. Линукс не популярный у рядовых юзеров, вот и все, в основном юзают его технари, которые сразу выяснят что и где и почему.

> [27] Кто б сомневался © (31.10.09 01:03)

Основная причина отсутствия вирусов под Линукс - политика безопасности: работать только под юзером

> @!!ex (31.10.2009 08:11:28) [28]

А может в низкой популярности ОС и то, что большинство продуктов надо компилировать на машине жертвы.

> Только вот не надо мне сказки сказывать

Если п.1 неверен, см. п.1

как избавится от этой заразы? Найти похожие ветки