Форум: "Прочее";
Текущий архив: 2011.05.29;
Скачать: [xml.tar.bz2];
ВнизВозможно ли технически поймать вирус без браузера Найти похожие ветки
← →
Кто б сомневался © (2011-02-11 02:06) [0]Возможно ли технически закачать вирус вирус без браузера с удаленной машины, без других средств в случае если машина чистая и на ней ничего не запущено, втч. большинство служб кроме сетевых отключены (работает около 10 критических служб на Win 7), втч отключен Explorer.
Если да, просьба объяснить как. Я таких механизмов не знаю.
← →
Кто б сомневался © (2011-02-11 02:07) [1]Имеется ввиду только по сети и интернету.
← →
Кто б сомневался © (2011-02-11 02:09) [2]Перефразируя: Можно ли подхватить вирус при такой ситуации?
Считаем что антивируса также нету
← →
*** (2011-02-11 02:54) [3]Да. Бывают дыры в сетевых сервисах. Лет 10 назад была такая эпидемия на винде, более поздних примеров не знаю, не админил с тех пор.
← →
KilkennyCat © (2011-02-11 03:08) [4]подхватить - нет. а вот впихнуть в эту машину, да, через вышеупомянутые дыры.
← →
Германн © (2011-02-11 03:27) [5]
> Возможно ли технически поймать вирус без браузера
>
> Кто б сомневался © (11.02.11 02:06)
А ведь мы тебя предупреждали!
Ты сейчас спрашиваешь о возможности "конкретной" техники заражения.
Над этим работают "специалисты". И с той стороны и с этой. И тех и других ты игнорировал! Так получи и не плачься!
← →
Германн © (2011-02-11 03:38) [6]
> Считаем что антивируса также нету
>
А так же считает что файервола тоже нету. (сам об этом говорил).
Но во всемирной помойке сидишь.
Так на что же ты рассчитываешь не имея никакой защиты?
← →
RWolf © (2011-02-11 10:06) [7]
> *** (11.02.11 02:54) [3]
Sasser — это 2004 год.
← →
Leshiy_ (2011-02-11 10:31) [8]Win32.HLLW.Shadow (DrWEB) / Net-Worm.Win32.Kido (Kaspersky)
2008-2009гг
← →
brother © (2011-02-11 11:40) [9]если файервола нет, то можно через дыры словить... а так - нет...
← →
Омлет © (2011-02-11 12:06) [10]Все помнят Msblast..
← →
Anatoly Podgoretsky © (2011-02-11 12:58) [11]
> большинство служб кроме сетевых отключены
Приплыли.
Между прочим вирусы существовали задолго до браузеров.
Sasser, Msblast из последних Kido/Confisker, очень цепкий собака.
← →
Кто б сомневался © (2011-02-11 13:28) [12]
> И тех и других ты игнорировал! Так получи и не плачься!
Герман ты о чем? Я ничем не заразился, а если и получу заразу, то удалю ее ручками.
Я юзаю Outpost без антивирусов, и без доп. модулей, уже вот который год (лет 7).
Я спрашиваю т.к. моя программа, которая создает "игровой режим" или игровую платформу, - отключает большинство объектов в Windows для повышения производительности. Она также умеет отключать и антивирусы и сеть итп - как скажешь ей.
Вот поэтому и спрашиваю есть ли вероятность.
Если это возможно, повторюсь - механизм действия какой? Что закачает программу вирус на компьютер?
← →
Кто б сомневался © (2011-02-11 13:31) [13]
> Между прочим вирусы существовали задолго до браузеров.
да, но качались то они все равно через юзера.
← →
RWolf © (2011-02-11 13:33) [14]
> Если это возможно, повторюсь - механизм действия какой?
> Что закачает программу вирус на компьютер?
внедрение произвольного кода в процесс на удалённом компьютере через подходящую уязвимость.
произвольный код = вирус.
← →
Кто б сомневался © (2011-02-11 13:39) [15]
> внедрение произвольного кода в процесс на удалённом компьютере
Чтобы внедриться, нужно сначала локально присутствовать на машине. Эксплоиты возможно, но только при условии если они есть. В основном находят эксплоиты в часто используемых объектах - таких как Explorer и IE. Они все отключены. Отключено все, кроме сетевых служб.
← →
RWolf © (2011-02-11 13:46) [16]
> Чтобы внедриться, нужно сначала локально присутствовать
> на машине. Эксплоиты возможно, но только при условии если
> они есть. В основном находят эксплоиты в часто используемых
> объектах - таких как Explorer и IE. Они все отключены. Отключено
> все, кроме сетевых служб.
необязательно; Sasser просто посылал кривой запрос сетевой службе компьютера-жертвы, чем вызывал переполнение буфера.
← →
Кто б сомневался © (2011-02-11 13:52) [17]Дело в том, что для того чтобы внедриться, нужно чтобы машина пользователя взаимодействовала с удаленной. Чтобы что-то принимало эти данные.
Обычно пишут - "позволяет удаленному пользователю выполнить произвольный код на целевой системе." Но для того чтобы эти данные загрузить - вот здесь как правило играет роль либо браузер, либо юзер, либо ..
> необязательно; Sasser просто посылал кривой запрос сетевой
> службе компьютера-жертвы,
Да он то посылает, но прежде он должен запуститься.
http://www.securelist.com/ru/descriptions/old50204
> При запуске червь копирует себя в корневой каталог Windows
> с именем "avserve.exe" и регистрирует себя в ключе автозапуска:
>
> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
> "avserve.exe" = "%WINDIR%\avserve.exe"
>
> Создает в памяти уникальный идентификатор "Jobaka3l" для
> определения своего присутствия в системе.
>
> Запускает FTP службу на порту TCP 5554 и запускает 128 процедур
> своего размножения. В ходе работы червь пытается вызвать
> си
← →
RWolf © (2011-02-11 13:56) [18]
> Дело в том, что для того чтобы внедриться, нужно чтобы машина
> пользователя взаимодействовала с удаленной. Чтобы что-то
> принимало эти данные.
сетевые службы обслуживаются вполне конкретным процессом — svchost.exe.
вот он и примет эти данные.
а дальше — переполнение буфера, исполнение вредоносного кода, компьютер заражён.
← →
Кто б сомневался © (2011-02-11 14:05) [19]Понятно вобщем. Такой вопрос, скорее к админам, если запущен стандартный файрволл, он может как то помочь? Я с ним вообще не разбирался.
← →
Кто б сомневался © (2011-02-11 14:17) [20]Или как таковой защиты от эксплоитов нет? Антивирус также не поможет, т.к. он различает по сигнатурам, если код новый, то он не различит его как вирус.
← →
Кто б сомневался © (2011-02-11 14:26) [21]Полазив по списку эксплоитов , удалось просуммировать вот что: в основном эксплоиты касаются либо IE, Explorer, либо (в большинстве стороннего софта) .
Т.е. риск заражения очень низкий, если ничего не запущено, и установлена к примеру Win 7. Конечно вероятность того что найдут новые лазейки есть.
Поэтому вопрос остается - может ли стандартные Win файрволл как то в этом помочь?
← →
Омлет © (2011-02-11 14:35) [22]> Кто б сомневался © (11.02.11 14:26) [21]
> Поэтому вопрос остается - может ли стандартные Win файрволл как то в этом помочь?
Зависит от уязвимости, которую будет использовать вирус.
Есть какой-то смысл в отключении фаервола? Задача - выставить зад наголо?
← →
Кто б сомневался © (2011-02-11 14:35) [23]
> а дальше — переполнение буфера, исполнение вредоносного
> кода,
А если включен DEP? сейчас ведь он у многих по дефолту включен.
← →
Кто б сомневался © (2011-02-11 14:37) [24]
> Омлет © (11.02.11 14:35) [22]
> Зависит от уязвимости, которую будет использовать вирус.
>
> Есть какой-то смысл в отключении фаервола?
А как конкретно он может помочь? Я что-то никак не пойму. Если будет такая дыра, какую юзал Sasser. Толку от него не будет.
← →
*** (2011-02-11 14:40) [25]
> Омлет © (11.02.11 12:06) [10]
>
> Все помнят Msblast..
Да, это был он.
← →
RWolf © (2011-02-11 14:41) [26]
> А если включен DEP? сейчас ведь он у многих по дефолту включен.
DEP отсекает класс уязвимостей, основанных на переполнении буфера, расположенного на стеке.
По дефолту включен для служб Windows.
← →
Anatoly Podgoretsky © (2011-02-11 14:46) [27]
> Она также умеет отключать и антивирусы и сеть итп - как
> скажешь ей.
По признакам это можно считать злобным трояном, я бы уши оборвал.
← →
Anatoly Podgoretsky © (2011-02-11 14:47) [28]
> да, но качались то они все равно через юзера.
Ты жестоко ошибаешься, пользователь лишнее звено.
← →
Anatoly Podgoretsky © (2011-02-11 14:48) [29]
> Кто б сомневался © (11.02.11 13:39) [15]
И это тоже неверно, даже логиниться не надо, чтобы получить заразу. Например KIDO
← →
Anatoly Podgoretsky © (2011-02-11 14:50) [30]
> Кто б сомневался © (11.02.11 13:52) [17]
У тебя есть взаимодействие - сеть, чего еще надо, хватит изуродованой машины с отключеным антивирусом и файрволом. Не обязательно оба отключать.
← →
Кто б сомневался © (2011-02-11 14:53) [31]
> По признакам это можно считать злобным трояном, я бы уши
> оборвал.
Антивирус не отключается пока сам пользователь не решит это. если юзер хочет чтобы в игровом режиме было все чисто (если он играет single player без сети нах ему этот антивирус?).
Так вот, если он хочет, он отключает самозащиту антивируса (самозащита ключей автостарта всмысле), и программа отключает антивирус вместе с остальной кучей ненужного в игре хлама.
← →
Anatoly Podgoretsky © (2011-02-11 14:56) [32]
> Понятно вобщем. Такой вопрос, скорее к админам, если запущен
> стандартный файрволл, он может как то помочь? Я с ним вообще
> не разбирался.
Конечно может, но частично, защитит не открытые порты, но беззащитен от нормально открытых.
Выше приведеные типы червей, им никак файрвол не помог, а после заражения вообще полный швах наступал, и что было запущено вообще отключал. А ведь для защиты от этих трех червей хватало своевременно установленых заплаток, поскольку защита существовала задолко до использования уязвимостей.
Вообще хакеры в последнее время ленивые люди, они не изобретают, не ищут дыры, а ждут когда Микрософт выпустит заплатку, анализирую ее и выпускают эксплоит. Иногда на это уходило до 8 месяцев, а жертв они все равно найдут, а если нет то им поможет "Кто б сомневался"
← →
Омлет © (2011-02-11 14:58) [33]> Кто б сомневался © (11.02.11 14:37) [24]
> А как конкретно он может помочь?
Стандартный фаервол фильтрует даже больше входящий трафик, чем исходящий.
"Брандмауэр Windows 7 обеспечивает защиту клиентского компьютера сразу после установки ОС. Он блокирует большую часть незапрошенного сетевого трафика, пока иные правила не будут установлены администратором или групповой политикой."
http://download.microsoft.com/Documents/rus/security/Windows_7_Security_Guide.doc
← →
Anatoly Podgoretsky © (2011-02-11 14:58) [34]
> А если включен DEP? сейчас ведь он у многих по дефолту включен.
А с чего ты решил, что вирус через DEP будет атаковать.
← →
Кто б сомневался © (2011-02-11 14:59) [35]
> А с чего ты решил, что вирус через DEP будет атаковать.
Потому что других вариантов в моем случае нет.
← →
Anatoly Podgoretsky © (2011-02-11 15:00) [36]В безопасности не бывает мелочей.
← →
Anatoly Podgoretsky © (2011-02-11 15:01) [37]> Кто б сомневался (11.02.2011 14:59:35) [35]
Какой наивный кульхачкер
← →
Кто б сомневался © (2011-02-11 15:07) [38]
> Какой наивный кульхачкер
Какой консервативный с признаками паранойи одмин.
Если серьезно, - дано: система где все отключено втч Explorer, кроме крит. служб и 3 проверенных сетевых служб. Других условий нет.
Заразить машину можно только через дыру в эти сетевых службах.
Как по другому заразить я пока не представляю. Если в представляете, то представьте.
← →
Омлет © (2011-02-11 15:12) [39]> Кто б сомневался © (11.02.11 15:07) [38]
> Если серьезно, - дано: система где все отключено втч Explorer, кроме крит. служб и 3 проверенных сетевых служб.
Какой в этом практический смысл? Освободить 25 Мб оперативной памяти?
Фаервол точно не стоит отключать.
← →
Игорь Шевченко © (2011-02-11 15:15) [40]
> Как по другому заразить я пока не представляю
ты не на тот форум обратился. когда будешь на тот обращаться, не забудь IP компьютера с отключенными антивирусами указать
Страницы: 1 2 вся ветка
Форум: "Прочее";
Текущий архив: 2011.05.29;
Скачать: [xml.tar.bz2];
Память: 0.55 MB
Время: 0.004 c