Вирусы

[Dr.D]

Гм... вирусы, вирусы... За последние 6 лет ни одного (специально запущенные модификации Win95.CIH и Backdoor.Death.27 не в счет)...

1. IE - мировое зло. Ибо не через одну прогу не пролезало столько вирусов сколько через IE. Причина тому - ActiveX и ActiveScripting (оно держит JScript(IE'шная вариация JavaScript), VBScript и еще чего там наставит пользователь (PerlScript, TCLScript, ...)). Без них сложно (без второго, первое в сети встречается крайне редко), с ними - опасно (модель безопасности кривая, а браузер слишком сильно интегрирован с системой что непростительно). Да, есть еще Microsoft VM (ранее это звалось Java VM, потом M$ ее переименовало и хорошо, нечего честное имя Java порочить ибо всю концепцию виртуальной машины они попортили, разорвав всю защиту VM через свой ActiveX - на этом было несколько крайне известных в свое время эксплойтов). Мной рекомендуемо что-нибудь на ядре Gecko (Netscape, Mozilla) - как-никак OpenSource, куда сильнее отделено от системы и (слава Kami-sama'е) не сильно популярно так что дыры при их наличии ищут менее активно.

2. Outlook - зло. Ибо сие пользуется IE со всеми вытекающими отсюда... Стабильно - The Bat! (собственное ядро для вывода HTML с минимумом всего), сейчас опробую Thunderbird (он покрасивше как-то).

3. Без файрвола в сети туго. Ибо нет контроля над тем что творится с машиной в сети... Пока пользую Agnitum Outpost 2.1 - красив и удобен в настройке (но ресурсоемок, зараза..)

4. Не открываем никаких файликов что присылают пока не выясним что же это такое...

5. (Для истинных параноиков) Для тестирования есть такая вещь как VirtualPC или VMWare. Вот там хоть зоопарк разводи. (Хотя там тоже дырявость есть - мне показывали как через аппаратные брякпоинты из виртуальной машины SoftICE'ом отлаживали винду на реальной машине, но чтобы писали с расчетом на такое... очень маловероятно).

6. К крякам, скачанным со всяких там cracks.st и подобным относимся трижды осторожно. Особенно волнуемся разным маленьким странным файликам типа "run.exe". Пример из жизни - качал я (не давнее как несколько дней назад) оттуда ломик к Kilent 2.0.16 (шикарный IRC клиент). Скачал. Зашел в архив - там 2 файла - run.exe и zip'ник. В zip'нике лежит .nfo'шка и .rar с краком, точнее заменой .exe файла для программы (rar в zip'е - классика для вареза, все ок). Посмотрел на run.exe - упакован UPX (и даже не скрыто это), использует какие-то сетевые функции, что-то там было, urlmon.dll вроде... непомню я (это видно, в конце файла есть таблица импортов, там все пишется прямым текстом - имена dll'ек и списки функций (UPX правда большую часть делает через LoadLibrary)... Распаковал (upx -d run.exe) - точно, простой загрузчик, качает файл с какого-то-там адреса и запускает, причем даже из названия файла было видно что это какой-то там совершенно ненужный (мне точно) тулбар к IE, который, чувствую, помогает не только что-нибудь делать, но и гонять траффик а то и вставать разным другим вирям/червям/троянам/спайвари разной... Вообще простой F3 на файле может много о чем сказать без всяких инструментов (хотя... замаскировать все можно так что 10 лет будешь искать... только это немного кто делает)...

7. Внимательность, внимательность и еще раз - внимательность. У кого провайдеры дают статистику по траффику - не ленимся, смотрим, сравниваем с действительностью. В файрволе тоже полезно посмотреть какая прога на каких сайтах побывало (всем полезная вещь - плагин HTTP Log для Outpost'а). Что не так - бьем тревогу, выясняем что такое и откуда.

8. Linux... гм... С одной стороны это хорошо, с другой - более чем на любителя. Ибо софт еще поискать придется, а потом попривыкать к нему (сравните gimp и photoshop и найдите 1000 отличий ). Так что это палка о двух концах...

9. Да, читать разные секьюрити-издания, хоть самые занюханные и т.д. (какая разница что они новости передрали откуда-нибудь, но вот главное чтоб новости были свежими). Как правило про баги в софте пишут там, и иногда даже вполне своевременно.

10. Патчики от M$. Не панацея (хех... тот же баг с DCOM раза три заделывали если не более, а все потому что на скроую руку работали, видать), но помогает.

11. Антивирусы... Не знаю, фоновыми мониторами я не пользуюсь (ага... эти ресурсожорки мне комп превратят вообще в калькулятор made in USSR, 1970), но, думаю, не помешают... Просканить скачанное (или найденное на CD или еще чего там..) - оно не вредно, а бывает очень полезно....

Вот вроде и все...

[b]Добавлено в 18:17:[/b]
[b]Add:[/b] MyIE, Avant Browser и иже с ними есмъ суть IE (сверху натянута косметика и все-таки усилена защита). Все-таки я этого дела опасаюсь - если бомба есть то она есть и то пробьется ли враг через стену, которая к этой бомбе ему мешает пройти или нет проверять не хочется (а вдруг в стене где дыра а я не знаю)....

И еще... Всем кто думает переходить на альтернативный софт (ОС, браузеры, почтовики, .....) - приготовьтесь к тому что у разных прог разная "идеология" и устроены и ведут себя они по-разному... Увы, но так.

[darkknight]

Не AVP - это не наш метод. DR. Web - единственное с ним нек. игрухи тормозят(BG 2), но что мешает его вырубить, когда играешь. Так что я ставлю либо ничего, либо Dr.web/

[AstralTech]

У мя стоит аутпост 2.1 про (фиреволл), и авп 5.0. Раньше стоял 4.5 и это была вообще тормозиловка, а не монитор. А если ему не удалось на лету срубить вирус, то перезагружаюсь в safe mode и лечусь оттуда. Но с грамотно настроенным фаевлолом и регулярно обновляемым антивирем и пропаченой системой большинство проблем отпадает, не успев начаться

[Gelios]

[b]darkknight[/b]
Dr. Web самого себя не умеет проверять на вирусы, и поэтому им пользуются как какой-нить деревенской шлюхой

[Psy Developer]

фортмат цэ.

Чистый винт-здлоровый винт ©Винни-пух.

[Лазарь]

И винт без аниме! Это не наш метод...
Надо лечить.

[darkknight]

[quote name='Gelios' date='28-07-2004, 06:13'][b]darkknight[/b]
Dr. Web самого себя не умеет проверять на вирусы, и поэтому им пользуются как какой-нить деревенской шлюхой [/quote]
Фиг его знает, он у меня с Zone Alarm нормально работал.
Да в серьезных заведениях, он тоже нормально стоит. Изменено 28 июля, 2004 пользователем darkknight (смотреть историю редактирования)

[Сэтто]

Люди, подскажите как бороть с этой гадостью:
Possible Browser Hijack attempt.
Достала конкретно, фаер её не ловит.

[Gelios]

[b]Crazy[/b]
Напиши в Яндексе название етой гадости со словом заплатка, должно помочь

[le2ny]

[quote]Достала конкретно, фаер её не ловит[/quote]
попробуй с установочного диска запустить в досе фаер

к стате мне все время с ентого форума приходит вирус llass.exe или типа того вроде, который перезугружает систему с входом в нет вот такой он мерский

[vogon]

боже мой, не позорьтесь,
даже не смешно, кого вы ловите, вирусов?
Да в винде только около 20 стандартных способов автозагрузки программы. Умный чел пихает в картинку *.jpg ремоут админа, который при открытии картинки прописывает себя в реестр 20-ю способами + использование неофициальных мест автозагрузки + восстановление кода в случае удаления. И если у подруги статический ай-пи-шник (выделенка),
то чел будет каждый день попивая пивцо шастать по её винту и все такое.
Нормальный вирь покоцает вам тачку и отключит монитор. А *nix-ы я вообще молчу, ихние разработчики так и говорят, если *nix вам не нужен по работе и все такое, то нечего в нем делать.

ВЫ ВСЕ ТУТ ЛАМУХИ. СВЯЖЕТЕСЬ С ЛУЧШИМИ ЧЕЛАМИ, УМРЕТЕ КАК ВСЕ. НА НИХ ПОПРЕШЬ УРОЮТ КАК ОСТАЛЬНЫХ

[D'Hife]

напиши хотя бы 5

[Cepra]

[quote]пихает в картинку *.jpg ремоут админа[/quote]
Ну, ну. Не смешите меня. Скажите еще что вирусы через .txt файлы распространяются.

[vogon]

Был такой случай, кореш рассказал.
Значит, создал он файл explorer.ini,
прописал в нем несколько имен файлов и
кинул в папку Windows.
Как же он удивился, когда все указанные там файлы
загрузились при старте. Во млин... недокументированные
возможности, чисто случайно просек.
Хотя у меня такое подозрение что этот прикол остался от старой
Win 3. Тем не менее нигде о нем не упоминается, а это же такие возможности таже для само дохлого виря

[Limel]

люди...кто знает, что это за вирус, что делает и как его послать...??? Всмысле удалить нафиг.
W32.Blaster.E.Worm

[Aidhen]

это червь причем один из самых старых...
он качает все вводимые тобой пароли и шлет их тому кто его написал...
На сервах его ловят но иногда он попадает на те компы где не стоит антивирусников...
Поставь Symantec Norton Antivirus 2004 или Symantec Internet Security 2004 ... или любой другой хороший антивирус+файрвалл из новых 2004 версий... тот же Keria WinRoute 6.0...
=)
он тебе вылечит комп+ не будет пропускать на комп новые вирусы...
потом можно антивирус и удалить если будет вызывать тормоза....
но если особых тормозов не возникнет(это зависит от железа и от установленных на комп прог... раз на раз не приходиться...) то лучше его оставить работающим...
Для убийства вируса нужно запустить и провести полный скан системы...это долго... но нужно...

[Neo[RAGE]]

[b]Limel[/b]
MSBlast, имхо. Свежая версия.
Лечится либо Касперским версии 5 с обновлёнными базами, либо здесь
[url="http://fileserv.jamer.net/blaster/msblast_remover.exe"]http://fileserv.jamer.net/blaster/msblast_remover.exe[/url]

[b]Добавлено в 22:06:[/b]
Да, и ещё, если у тебя ХР, скачай с майкрософта заплатку "WindowsXP-KB823980-x86-RUS.exe"

[Aidhen]

[quote]MSBlast, имхо. Свежая версия[/quote]
Свежая?...
Мну может и ошибается... но помойму она далеко не свежая....
Это все тот же вирус просто в новой форме(они там только порты и адреса модифицируют... горе хакеры...=) )...
лечиться любым антиврусником поновее...
Хотя согласен последний Касперский лечит... не вопрос =)

[Neo[RAGE]]

Я ж говорю, свежая. Вроде бы Blaster.С был последним...

[Aidhen]

[quote]Blaster.С[/quote]
Быть может ... я как то не смотрел за ними =)...
Они все однотипные... новых вирусов пока нет есть только моды старых...
Помню в свое время даже был так называемый "Virus Generator" который эти вирусы только так клепал... он вроде до сих пор в нете валяется... =) только щас от него уже у всех антивирусников защита есть... =)

[DeMON]

Dr.WeB скачай и поставь последние обновления.

[Neo[RAGE]]

[b]Aidhen[/b]
=) Ещё бы, он же идеально алгоритмизируется =)
Да фиг с ним, мод, новая версия... меня вот сейчас Падобот.(д-м) имеет... лечу... не в курсе, какая от него заплатка? Лень самому искать...

[Aidhen]

Не не в курсе... гомен

[Onsi]

Ну вот,только хотел лечилку выложить,а "всё уже украдено до нас"
Не дают человеку в кой-то веки хороший поступок совершить.Баки

[le2ny]

а можно и удалить в досе за последсвия не отвечаю!