Возможно ли технически поймать вирус без браузера

← →
Кто б сомневался © (2011-02-11 02:06) [0]

Возможно ли технически закачать вирус вирус без браузера с удаленной машины, без других средств в случае если машина чистая и на ней ничего не запущено, втч. большинство служб кроме сетевых отключены (работает около 10 критических служб на Win 7), втч отключен Explorer.
Если да, просьба объяснить как. Я таких механизмов не знаю.

← →
Кто б сомневался © (2011-02-11 02:07) [1]

Имеется ввиду только по сети и интернету.

← →
Кто б сомневался © (2011-02-11 02:09) [2]

Перефразируя: Можно ли подхватить вирус при такой ситуации?
Считаем что антивируса также нету

← →
*** (2011-02-11 02:54) [3]

Да. Бывают дыры в сетевых сервисах. Лет 10 назад была такая эпидемия на винде, более поздних примеров не знаю, не админил с тех пор.

← →
KilkennyCat © (2011-02-11 03:08) [4]

подхватить - нет. а вот впихнуть в эту машину, да, через вышеупомянутые дыры.

← →
Германн © (2011-02-11 03:27) [5]

> Возможно ли технически поймать вирус без браузера
>
> Кто б сомневался © (11.02.11 02:06)

А ведь мы тебя предупреждали!
Ты сейчас спрашиваешь о возможности "конкретной" техники заражения.
Над этим работают "специалисты". И с той стороны и с этой. И тех и других ты игнорировал! Так получи и не плачься!

← →
Германн © (2011-02-11 03:38) [6]

> Считаем что антивируса также нету
>

А так же считает что файервола тоже нету. (сам об этом говорил).
Но во всемирной помойке сидишь.
Так на что же ты рассчитываешь не имея никакой защиты?

← →
RWolf © (2011-02-11 10:06) [7]

> *** (11.02.11 02:54) [3]

Sasser — это 2004 год.

← →
Leshiy_ (2011-02-11 10:31) [8]

Win32.HLLW.Shadow (DrWEB) / Net-Worm.Win32.Kido (Kaspersky)
2008-2009гг

← →
brother © (2011-02-11 11:40) [9]

если файервола нет, то можно через дыры словить... а так - нет...

← →
Омлет © (2011-02-11 12:06) [10]

Все помнят Msblast..

← →
Anatoly Podgoretsky © (2011-02-11 12:58) [11]

> большинство служб кроме сетевых отключены

Приплыли.
Между прочим вирусы существовали задолго до браузеров.

Sasser, Msblast из последних Kido/Confisker, очень цепкий собака.

← →
Кто б сомневался © (2011-02-11 13:28) [12]

> И тех и других ты игнорировал! Так получи и не плачься!

Герман ты о чем? Я ничем не заразился, а если и получу заразу, то удалю ее ручками.
Я юзаю Outpost без антивирусов, и без доп. модулей, уже вот который год (лет 7).

Я спрашиваю т.к. моя программа, которая создает "игровой режим" или игровую платформу, - отключает большинство объектов в Windows для повышения производительности. Она также умеет отключать и антивирусы и сеть итп - как скажешь ей.
Вот поэтому и спрашиваю есть ли вероятность.
Если это возможно, повторюсь - механизм действия какой? Что закачает программу вирус на компьютер?

← →
Кто б сомневался © (2011-02-11 13:31) [13]

> Между прочим вирусы существовали задолго до браузеров.

да, но качались то они все равно через юзера.

← →
RWolf © (2011-02-11 13:33) [14]

> Если это возможно, повторюсь - механизм действия какой?
> Что закачает программу вирус на компьютер?

внедрение произвольного кода в процесс на удалённом компьютере через подходящую уязвимость.
произвольный код = вирус.

← →
Кто б сомневался © (2011-02-11 13:39) [15]

> внедрение произвольного кода в процесс на удалённом компьютере

Чтобы внедриться, нужно сначала локально присутствовать на машине. Эксплоиты возможно, но только при условии если они есть. В основном находят эксплоиты в часто используемых объектах - таких как Explorer и IE. Они все отключены. Отключено все, кроме сетевых служб.

← →
RWolf © (2011-02-11 13:46) [16]

> Чтобы внедриться, нужно сначала локально присутствовать
> на машине. Эксплоиты возможно, но только при условии если
> они есть. В основном находят эксплоиты в часто используемых
> объектах - таких как Explorer и IE. Они все отключены. Отключено
> все, кроме сетевых служб.

необязательно; Sasser просто посылал кривой запрос сетевой службе компьютера-жертвы, чем вызывал переполнение буфера.

← →
Кто б сомневался © (2011-02-11 13:52) [17]

Дело в том, что для того чтобы внедриться, нужно чтобы машина пользователя взаимодействовала с удаленной. Чтобы что-то принимало эти данные.
Обычно пишут - "позволяет удаленному пользователю выполнить произвольный код на целевой системе." Но для того чтобы эти данные загрузить - вот здесь как правило играет роль либо браузер, либо юзер, либо ..

> необязательно; Sasser просто посылал кривой запрос сетевой
> службе компьютера-жертвы,

Да он то посылает, но прежде он должен запуститься.
http://www.securelist.com/ru/descriptions/old50204

> При запуске червь копирует себя в корневой каталог Windows
> с именем "avserve.exe" и регистрирует себя в ключе автозапуска:
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
> "avserve.exe" = "%WINDIR%\avserve.exe"
>
> Создает в памяти уникальный идентификатор "Jobaka3l" для
> определения своего присутствия в системе.
>
> Запускает FTP службу на порту TCP 5554 и запускает 128 процедур
> своего размножения. В ходе работы червь пытается вызвать
> си

← →
RWolf © (2011-02-11 13:56) [18]

> Дело в том, что для того чтобы внедриться, нужно чтобы машина
> пользователя взаимодействовала с удаленной. Чтобы что-то
> принимало эти данные.

сетевые службы обслуживаются вполне конкретным процессом — svchost.exe.
вот он и примет эти данные.
а дальше — переполнение буфера, исполнение вредоносного кода, компьютер заражён.

← →
Кто б сомневался © (2011-02-11 14:05) [19]

Понятно вобщем. Такой вопрос, скорее к админам, если запущен стандартный файрволл, он может как то помочь? Я с ним вообще не разбирался.

← →
Кто б сомневался © (2011-02-11 14:17) [20]

Или как таковой защиты от эксплоитов нет? Антивирус также не поможет, т.к. он различает по сигнатурам, если код новый, то он не различит его как вирус.

← →
Кто б сомневался © (2011-02-11 14:26) [21]

Полазив по списку эксплоитов , удалось просуммировать вот что: в основном эксплоиты касаются либо IE, Explorer, либо (в большинстве стороннего софта) .
Т.е. риск заражения очень низкий, если ничего не запущено, и установлена к примеру Win 7. Конечно вероятность того что найдут новые лазейки есть.
Поэтому вопрос остается - может ли стандартные Win файрволл как то в этом помочь?

← →
Омлет © (2011-02-11 14:35) [22]

> Кто б сомневался © (11.02.11 14:26) [21]
> Поэтому вопрос остается - может ли стандартные Win файрволл как то в этом помочь?

Зависит от уязвимости, которую будет использовать вирус.
Есть какой-то смысл в отключении фаервола? Задача - выставить зад наголо?

← →
Кто б сомневался © (2011-02-11 14:35) [23]

> а дальше — переполнение буфера, исполнение вредоносного
> кода,

А если включен DEP? сейчас ведь он у многих по дефолту включен.

← →
Кто б сомневался © (2011-02-11 14:37) [24]

> Омлет © (11.02.11 14:35) [22]
> Зависит от уязвимости, которую будет использовать вирус.
>
> Есть какой-то смысл в отключении фаервола?

А как конкретно он может помочь? Я что-то никак не пойму. Если будет такая дыра, какую юзал Sasser. Толку от него не будет.

← →
*** (2011-02-11 14:40) [25]

> Омлет © (11.02.11 12:06) [10]
>
> Все помнят Msblast..

Да, это был он.

← →
RWolf © (2011-02-11 14:41) [26]

> А если включен DEP? сейчас ведь он у многих по дефолту включен.

DEP отсекает класс уязвимостей, основанных на переполнении буфера, расположенного на стеке.
По дефолту включен для служб Windows.

← →
Anatoly Podgoretsky © (2011-02-11 14:46) [27]

> Она также умеет отключать и антивирусы и сеть итп - как
> скажешь ей.

По признакам это можно считать злобным трояном, я бы уши оборвал.

← →
Anatoly Podgoretsky © (2011-02-11 14:47) [28]

> да, но качались то они все равно через юзера.

Ты жестоко ошибаешься, пользователь лишнее звено.

> Кто б сомневался © (11.02.11 13:39) [15]

И это тоже неверно, даже логиниться не надо, чтобы получить заразу. Например KIDO

> Кто б сомневался © (11.02.11 13:52) [17]

У тебя есть взаимодействие - сеть, чего еще надо, хватит изуродованой машины с отключеным антивирусом и файрволом. Не обязательно оба отключать.

> По признакам это можно считать злобным трояном, я бы уши
> оборвал.

Антивирус не отключается пока сам пользователь не решит это. если юзер хочет чтобы в игровом режиме было все чисто (если он играет single player без сети нах ему этот антивирус?).
Так вот, если он хочет, он отключает самозащиту антивируса (самозащита ключей автостарта всмысле), и программа отключает антивирус вместе с остальной кучей ненужного в игре хлама.

> Понятно вобщем. Такой вопрос, скорее к админам, если запущен
> стандартный файрволл, он может как то помочь? Я с ним вообще
> не разбирался.

Конечно может, но частично, защитит не открытые порты, но беззащитен от нормально открытых.
Выше приведеные типы червей, им никак файрвол не помог, а после заражения вообще полный швах наступал, и что было запущено вообще отключал. А ведь для защиты от этих трех червей хватало своевременно установленых заплаток, поскольку защита существовала задолко до использования уязвимостей.

Вообще хакеры в последнее время ленивые люди, они не изобретают, не ищут дыры, а ждут когда Микрософт выпустит заплатку, анализирую ее и выпускают эксплоит. Иногда на это уходило до 8 месяцев, а жертв они все равно найдут, а если нет то им поможет "Кто б сомневался"

> Кто б сомневался © (11.02.11 14:37) [24]
> А как конкретно он может помочь?

Стандартный фаервол фильтрует даже больше входящий трафик, чем исходящий.

"Брандмауэр Windows 7 обеспечивает защиту клиентского компьютера сразу после установки ОС. Он блокирует большую часть незапрошенного сетевого трафика, пока иные правила не будут установлены администратором или групповой политикой."
http://download.microsoft.com/Documents/rus/security/Windows_7_Security_Guide.doc

> А если включен DEP? сейчас ведь он у многих по дефолту включен.

А с чего ты решил, что вирус через DEP будет атаковать.

> А с чего ты решил, что вирус через DEP будет атаковать.

Потому что других вариантов в моем случае нет.

В безопасности не бывает мелочей.

> Кто б сомневался (11.02.2011 14:59:35) [35]

Какой наивный кульхачкер

> Какой наивный кульхачкер

Какой консервативный с признаками паранойи одмин.

Если серьезно, - дано: система где все отключено втч Explorer, кроме крит. служб и 3 проверенных сетевых служб. Других условий нет.
Заразить машину можно только через дыру в эти сетевых службах.
Как по другому заразить я пока не представляю. Если в представляете, то представьте.

> Кто б сомневался © (11.02.11 15:07) [38]
> Если серьезно, - дано: система где все отключено втч Explorer, кроме крит. служб и 3 проверенных сетевых служб.

Какой в этом практический смысл? Освободить 25 Мб оперативной памяти?
Фаервол точно не стоит отключать.

> Как по другому заразить я пока не представляю

ты не на тот форум обратился. когда будешь на тот обращаться, не забудь IP компьютера с отключенными антивирусами указать

Возможно ли технически поймать вирус без браузера Найти похожие ветки