Версия для печати темы
Нажмите сюда для просмотра этой темы в обычном формате
Россия-2 _ Разное _ О вирусах (виндовых)
Автор: IVK 9.9.2009, 13:45
Надо быть очень невезучим, чтобы нарваться на какой-то из немногочисленных вирусов, способных запуститься в Linux. К тому же там не принято переключаться в режим администратора (root) без особой надобности, из-за чего вирусу сложно получить права администратора, без которых реального вреда системе не причинить. Тогда как для Windows написано чудовищное количество вредоносных программ. Причём почти все пользователи работают в Windows с правами администратора, и любой вирус, проникший в систему, перехватывает эти права и без помех вытворяет всё, на что способен. Проблему в значительной мере решают антивирусы. Но если на компьютере установлены обе упомянутые системы, то Linux сам может фактически выполнять роль антивируса для Windows.
Основной переносчик компьютерной заразы сейчас — разного рода флэшки (и подобные им устройства — к примеру, встроенная память мобильника). Обычно при подключении флэшки к заражённому компьютеру вирус копируется на флэшку; когда её потом вставляют в другой компьютер, вирус копируется на его винчестер. Но без Windows это невозможно : поскольку почти любой вирус — это программа, написанная под Windows, то без неё он не может запуститься, а значит — и копировать себя куда бы то ни было. Так что в момент подключения флэшки должен быть запущен Linux. Тогда вирус не сможет перелезть ни с компьютера на флэшку, ни наоборот. А чтобы по ошибке не скопировать его вручную, надо копировать именно то, что вам нужно, а не всё содержимое флэшки без разбору.
Освобождать флэшки от заразы тоже лучше из Линукса. Дело в том, что чистить заражённую флэшку из заражённой же Windows — дело зачастую безнадёжное, даже если применять самый радикальный способ — форматирование. Да, непосредственно после форматирования на флэшке действительно ничего нет. Но уже через секунду-другую там может появиться копия сидящего в Windows вируса. 
И вряд ли вы её увидите : обычно файлы вируса скрытые. Тем более что некоторые вирусы отключают в Windows саму возможность отображения скрытых файлов. Вот и получается, что форматирование очистило флэшку от чего угодно, но только не от вируса.
Если же запущен Linux, то видно всё содержимое флэшки, включая файлы, которые в Windows помечены как скрытые. Так что можете всё не спеша просмотреть (особенно — любимый вирусами корневой каталог), исходя из принципа : флэшка — не компьютер, на ней не должно быть ничего такого, что непонятно её владельцу, но нужно для её работы. Если видите файл неизвестного происхождения и назначения — удаляйте. Особое внимание обращайте на исполняемые файлы (программы) Windows (расширения обычно .exe, .bat) — если они появились на флэшке неизвестно откуда, то это наверняка файлы вирусов; не поленитесь записать их названия, прежде чем удалять. Файлы с расширением .inf тоже очень подозрительны (например, широко используемый вирусами autorun.inf). А если желаете просто очистить флэшку, то удалите всё её содержимое; форматировать нет необходимости. Получается, что форматирование флэшек — не такое уж действенное средство против вирусов : в Windows оно часто не срабатывает, а в Linux оно излишне.
Что касается лечения от вирусов самой Windows, то это гораздо сложнее : в дебрях операционной системы вирусам есть где спрятаться. Простой (хотя не всегда надёжный) способ их уничтожения здесь один — антивирус. Так что этого вопроса здесь касаться не буду. Скажу только одно : если пользоваться флэшками (и прочими подобными устройствами) с учётом вышесказанного и не открывать файлы, пришедшие (по электронной почте, например) неизвестно от кого, то вирусам будет очень затруднительно проникнуть в вашу Windows.
Примечание. Потенциально опасен запуск Windows-программ из Линукса (через Wine и подобные программы-переходники). Правда, тут возможности вируса ограничены с разных сторон, и всё же некоторая угроза есть. Я в этот вопрос особо не вникал (тем более, что до самого последнего времени просто не запускал в Линуксе Windows-программы, не было необходимости). А между тем вопрос важный. Может быть, кто-то из посетителей форума его разъяснит? Но одно, по-моему, очевидно : если в вашем Линуксе запущена виндовая программа, то не подключайте к нему в это время флэшки, не проверенные перед тем на вирусы.
Автор: Смит 1.3.2010, 0:49
А для чего существует ClamAV? Я в том смысле, что насколько правильно утверждение, что линуксу антивирь не нужен вообще?
Второй вопрос - фаерволл для работы в инете. Что и как здесь лучше использовать?
Автор: DimonMMK 1.3.2010, 1:11
Главная цель Clam AntiVirus — интеграция с серверами электронной почты для проверки файлов, прикреплённых к сообщениям. Также часто практикуется использование ClamAV для проверки ресурсов Samba на файловых серверах под *NIX.
Вы имеете в виду персональный фаерволл на рабочей станции, типа виндовых TPF или AdAware? А зачем он в Linux? Банеры и попап-окна прекрасно режутся средствами современных браузеров, а вирусы и трояны в *NIX- вопрос неактуальный. DDoS'ить локальную машину тоже будут наврядли. Так в чем тогда смысл? Может, я чего не понимаю?
Автор: Смит 1.3.2010, 1:44
Я имел ввиду что-то типа виндовых http://www.agnitum.ru/ Outpost Fierwall. Да персональный для защиты рабочей станции.
Согласен, вопрос правда вроде неактуален.. У меня виндовое мышление и во все эти прелести просто сложно поверить.
Я работаю в довольно грязной сети - провайдер монополист. Под виндами без фаерволла даже за пять минут появляется что-то подозрительное по действиям, а иногда цепляешь заразу просто оставаясь на связи. Но видимо этоу часть Вы относите к вирусам и троянам.
Ддосить правда никто не будет.
А вот как с сознательным взломом извне?
И неужели под линукс нет ни одного кейлоггера например, который шлет набранные пассы куда-то там? Понятно, что он на комп еще как то должен попасть. Но ведь кроме виро-троянового канала из сети могут быть и другие?
Персоналные фаерволлы дают возможность например видеть всю сетевую активность. Например чего откуда куда лезет из инета и куда лезут запущенные на компе процессы. Или для линукс это тоже неактуально?
Автор: kostyalamer 1.3.2010, 9:08
Фаревол есть в Мандрива, причем при установке системы можно выбрать уровень безопастности ( я как то выбрал повышенный сдуру и забыл про это, потом долго настраивал сетку между двумя компами, а ведь у них есть еще параноидальный ). В Альте тоже имеет место быть:
|
Есть еще SELinux http://ru.wikipedia.org/wiki/SELinux для любителей трудностей ( по моему в Fedora ставится по умолчанию ),из антивирусов, кстати есть еще Avast под Linux
Автор: robinzoid 1.3.2010, 12:13
У меня Clamav, чтоб ненароком кому другому заражённый файл не переслать. Мне-то по-барабану, а ему поплохеет...
А насчёт взлома - книга естьhttp://www.radikal.ru
Можно скачать - посмотреть... Если актуально. Сам-то я в этом ноль.
Автор: DimonMMK 1.3.2010, 13:45
*NIX- по сути, набор мелких программ. Все крупные пакеты- мозаика из кусочков. Не удивлюсь что кто-то уже наваял GUI для netstat'a, получив таким образом визуализатор сетевой активности. И встроил в него блокиратор пакетов. Почему нет? Но большинству хватает и консольного netstat'a. Мало? Ну, есть куча снифферов, кто мешает натравить их не на чужой а на свой сетевой интерфейс, получив таким образом персональный фаерволл? Обычно в эти дебри никто не лезет- пользователю в никсах это просто незачем. Но это возможно, и файерволл в Мандриве- тому подтверждение. А спецы- особ статья, у них конечно есть любой инструментарий. Но мы вадь не про них говорим, так?
Автор: and 1.3.2010, 19:17
У меня кстати в мандриве файервол , срабатывал примерно раз в месяц выдавая сообшение "попытка сканирования порта с IP...."
Автор: А.И.Агафонов 5.3.2010, 11:51
Давно намеревался обратить внимание на то, что в начале был взят частный случай (примерно того же рода, что «инфекция передаётся при поцелуях») – заражение вирусом происходит при разного рода контактах, а контакты более всего осуществляются посредством инета. Поэтому и заражение чаще происходит при использовании сети, а не «флешек».
Более того,- если говорить именно об источнике вирусов – более непосредственным источником таковых является именно сеть, в каковую происходит ввод информации от анонимных источников (насколько понимаю, т.наз. «ай-пи-адреса» в качестве идентификационной информации ненадёжны), но трудно представить себе такую ситуацию: пришёл знакомый и «наградил» своего товарища собственноручно изготовленным вирусом.
Дальнейшее обсуждение сие упущение в некотором роде аннулировало.
К нему обращу внимание на следующий момент.
Речь зашла о защитном/антивирусном п/о для Линукса. Просмотр обмена вызвал такую аналогию: потребовалось осуществить военные действия оборонительного характера. Вопрос: какие средства лучше всего применить в конкретной ситуации? Специалист может посоветовать, к примеру, такой набор: т.к. действия происходят в городе, то уместных средств – два, каски и бронежилеты (ДЗОТы и бронетехника менее уместны). И далее будет осуществлён выбор конкретных марок-моделей изделий.
Но может быть и сразу осуществлён переход к «конкретике»: используйте «Шлемы» и «Кольчуги» (названия условные).
И обычно таковой «перескок через ступеньку» характерен. Причём, если «каски» и упоминаются, то как «стилволы».
Автор: IVK 6.3.2010, 1:07
Для жертвы вирусов актуально не то, откуда они изначально берутся, а то, как попадают на его компьютер. По моим наблюдениям, с флэшек и подобных usb-накопителей они проникают на компы гораздо чаще, чем из Интернета. Возможно, это субъективно : вирусами не интересуюсь, сталкивался с ними раз 15-20, для статистики это маловато.
Автор: DimonMMK 6.3.2010, 14:12
Аналогия с военными действиями, пусть и оборонительного характера, здесь не совсем подходит. Скорее речь может идти о профилактике террористических актов. Недавно, перечитывая журнал Каганова, наткнулся на статью которая дает ответ на многие поднятые в этом обсуждении вопросы. Почитайте, в этой статье Леня обошелся без ненормативной лексики
и объяснил все про вирусы и *NIX очень просто и исчерпывающе.http://lleo.aha.ru/dnevnik/2009/10/22.html
Автор: robinzoid 6.3.2010, 14:58
Если человек может обойтись без ненорматива, тогда зачем он его выдаёт??
Про самолёты... Ну есть такая должность "бортинженер" и есть куча кабелей-трубок подо всей обшивкой салона. От кабины до хвоста включительно.
Без связи... В салоне разгерметизация, летчики тупо держат свои 11 км, прилетает 200 трупов.
А про вирусы объяснено толково. Понятно и доходчиво.
Автор: kostyalamer 6.3.2010, 16:45
Действительно, вот может же Леня на нормальном литературном языке объясняться 
Автор: А.И.Агафонов 6.3.2010, 18:00
А одна из существенных тенденций в развитии инфосферы – всё большее сетевое взаимодействие.
Леонид Каганов привлёк моё внимание ещё рецензией на фильм Германа «Трудно быть богом», в коей заметно приблизился к причинам событий (каким образом - кратко http://abs.rusfforum.org/index.php?action=vthread&forum=11&topic=1427&page=2 от 13.10.08); в указанном тексте такового приближения, к сожалению, не состоялось – приведён вариант борьбы со следствиями. Уязвимый, разумеется.
Терроризм (насилие, запугивание, нанесение ущерба) – что силовой, что компьютерный – своей базой имеет противостояние более существенное, чем индивида/группки индивидов и общества; противостояние именно глобальных «центров управления» (претендующих на оное).
Но – выделю отдельно - отличие принципов работы систем безопасности Виндоуз и Линукс рассмотрено образно и вполне популярно.
Хотя, проводя параллель между антивирусным п/о и средствами войсковой защиты, и – ступенью ниже,- конкретными наименованиями программ и фирм, я хотел обратить внимание на частое смешивание разноуровневых понятий-названий.
В инфосфере вполне понятные и логичные упрощённые/сокращённые варианты терминов (вроде «кондёров», «трансов», «качпоков» и прочих «че-ха») массово заменяемы искажёнными англоязычными аббревиатурами (вроде упомянутых здесь «попап-окон») или названиями конкретных программ («фаервол»?), не говоря уж о вообще ни к чему не «привязанных» «терминах» (вроде «блю-туза»). Даже технически грамотный человек начинает путаться во всей этой неразберихе.
Автор: IVK 6.3.2010, 19:17
Обычный путь распространения : комп - флэшка - другой комп - другая флэшка - третий комп.... Причём один комп может заразить много флэшек, одна флэшка - много компов. А откуда началась цепочка - пусть и из Интернета - какое до этого дело пострадавшим? Из инета заразился один комп, а от него, посредством флэшек - множество; то есть от инета пострадал один человек, а потом от флэшек и тому подобных usb-вирусоносителей - много.
Блютуз - название вполне конкретной технологии, и никакой путаницы этот термин не вносит. А вообще в очередной раз напоминаю, что для обсуждения подобных вопросов у нас есть темы http://forum.russ2.com/index.php?showtopic=1801 и http://forum.russ2.com/index.php?showtopic=1802, а если обе не устраивают, то в подразделе http://forum.russ2.com/index.php?showtopic=1802 можно открыть новую тему.
Автор: А.И.Агафонов 6.3.2010, 19:58
«Создатель вируса – сеть – компьютер» - путь разве не более обычный? Т.наз. «вирусные эпидемии» запускаемы именно в сети. И наиболее сложная задача, полагаю,– именно защита компа (особенно серверов) от заражения из инета.
По «синему зубу» - http://forum.russ2.com/index.php?showtopic=1802&st=0&gopid=19682&#entry19682 .
Автор: IVK 6.3.2010, 23:22
Так ведь защищают - те же провайдеры, например; и довольно эффективно (иначе инет вообще не мог бы работать, вирусы его сожрали бы). Но я же говорю о конечном пользователе - см. первый пост темы, а также заголовок и подзаголовок подраздела - это ведь для новичков написано, а каждый из них беспокоится о своём компьютере, но никак не о серверах и Интернете вообще - всё равно на них он влиять не может. Не так уж комфортно чувствуют себя вирусы в Интернете. Другое дело - на флэшках, владельцы которых обычно не соблюдают даже элементарных мер безопасности.
Автор: А.И.Агафонов 6.3.2010, 23:57
Ответ
Вот самолет и подводная лодка это наше
Если также исходить из личного опыта - ни с одним случаем проникновения вируса с "флешки" не сталкивался (т.к. подключаема оная к компьютерам с действующим антивирусным п/о), а вот из инета за десять последних лет "просочился" уже не один десяток.
Автор: IVK 7.3.2010, 0:22
Ну и замечательно. А вот я часто общаюсь с гораздо менее предусмотрительными юзерами - и содержимое флэшек у них соответствующее.
Это достоверные факты или подозрения, ложные срабатывания и т. п.? Что касается "моих" вирусов с флэшек, мобильников, даже с цифрового фотоаппарата, то они вполне реальны : сидят у меня в "обезьяннике". А в инете я за несколько лет "виндовой" жизни нарывался на вирусы дважды - оба раза в результате грубейших нарушений правил безопасности - впрочем, Каспер их прихлопнул раньше, чем они успели что-либо сделать.
Но, повторюсь, я вполне допускаю, что моё мнение субъективно, так как маловато опыта.
Автор: А.И.Агафонов 7.3.2010, 0:33
Вот, имя "пойманного" четыре года назад сохранилось: GVSU.EXE-378C50AO.pf . Более ничего предъявить не могу - коллекционированием не занимаюсь.
Но напомню: ранее я не ставил АВ-п/о вообще, предпочитая переставлять ОС. Поэтому с инета за два-три месяца обычно что-то "ловил" - начинались различного рода сбои. Когда они серьёзно осложняли жизнь - производил "тотальную зачистку".
Последние два года пользовался Avira, в режиме сканирования - периодически что-то отлавливалось.
Недавно поставил Avast - один трофей уже есть.
Автор: IVK 7.3.2010, 0:40
Не буду спорить, вполне возможно. Замечу только, что вирусы часто залезают в файловое хранилище, и тогда переустановкой винды их не уничтожить. Если переустановка раз за разом давала нужный эффект, то вполне возможно, что сбои были не из-за вирусов.
Автор: А.И.Агафонов 7.3.2010, 15:36
Автор: IVK 7.3.2010, 15:58
То есть все пользовательские файлы при такой зачистке уничтожаются?! Ну, я понимаю, резервное копирование на DVD... но это же крайне неудобно - да и ненадёжно, вирус и туда может проскочить.
Автор: and 7.3.2010, 18:50
Только что проверил флэшку после фотомастерской. Нежданно негаданно появился autorun.inf и некое kvtrn.exe
Автор: DimonMMK 7.3.2010, 19:25
О, фотомастерские и копицентры- это такой рассадник непуганых вирусов... Как-то мы про них и забыли, а зря...
http://ithappens.ru/story/2243
Не понимаю я сисадминов в принт-центрах! Ежедневно у них распечатываются сотни самых разнообразных документов от банальных копий до цветных визиток и чертежей формата А1. Все флешки попадают в один комп, конфигурацию которого и так нельзя назвать подходящей. На бедном системнике, еле-еле ворочая библиотеками и реестром, который напоминает городскую свалку, заикаясь и кашляя, работает старая добрая Windows XP, в защите которой стоит доблестный Касперский. Кого волнует, что авторан не отключён, а бедный Каспер говорит, что не ел обновлений уже 380 дней? Кого волнует, что в скромном гигабайте памяти висят консоли управления всеми принтерами и МФУ в этом заведении (я насчитал два струйника, три лазерных, два плоттера и три страшных МФУ размером с письменный стол), а также Microsoft Office, Photoshop и прочие радости типографской деятельности?
И что получается: прихожу что-нибудь распечатать, даю флешку, девушка втыкает ее в USB-хаб. В мирном царстве вирусов раздаётся сигнал: «Тревога — обнаружено устройство!» — и весь этот террариум табунами летит на флешку. Затем девушка открывает «Мой компьютер» и запускает Касперского. Доходяга пыхтит-скрипит; то ли эвристика срабатывает, то ли какой-то вирус древний таки попадается, и она с озабоченным видом говорит: «А у вас-то вирусы на флешке!» Делаю грустное лицо и киваю — не буду же её расстраивать, что у меня дома Убунту.
Воткнув флешку в свой домашний комп, я обнаружил восемь скрытых экзешников в корне, авторан, пару VBS, действие которых я так и не понял, и три папки с батником и экзешником внутри каждой — итого чёртова дюжина вирусов!
Автор: А.И.Агафонов 7.3.2010, 20:10
Автор: IVK 13.3.2010, 22:06
В Линуксе я раньше не пользовался антивирусами вовсе. А поскольку винду уже больше года почти не включаю, то получается, что файловое хранилище всё это время вообще ничем не проверялось, хотя активно пополняется. Так что скачал базы Clamav и занялся проверкой. Для пробы натравил его на обезьянник с арестованными вирусами; Clamav их всех до единого раскусил и личности установил. Потом проверил всё прочее. Тут антивирус вытащил нескольких подозреваемых в троянстве, из которых, на мой взгляд, действительно подозрительна только одна не так давно скачанная веб-страничка. Остальные - виндовые программы, которые лежат у меня несколько лет и проверялись Каспером - он на них не реагировал, а как они могли заразиться за последний год - не представляю. Тут, похоже, ложная тревога - у Clamav'а какая-то своя логика. Например, один из предполагаемых троянов - виндовый инсталлер Спринта (программа для спутникового Интернета; её линуксовым аналогом я пользуюсь в данный момент) мог вызвать у него подозрение тем, что Спринт при запуске создаёт собственный прокси-сервер и соответственно манипулирует портами; но это так, догадки. Как бы то ни было, а Clamav проверил мои файлы, а я проверил его самого ("лучше один раз увидеть...") и убедился в том, что виндовых вирусов он ловить умеет. Как и в том, что за год работы в инете без всякой защиты я почти ничего зловредного оттуда не притащил.
Автор: robinzoid 19.3.2010, 22:43
А бывает и сами узеры, с перепугу вирусы инсталлируют. Как мне тут захотели. Почему-то умилило. Ну а будь я на винде...
http://radikal.ru/F/s001.radikal.ru/i195/1003/49/35c3fc5cbdb8.jpg.html
Автор: ВладВлад 21.3.2010, 20:28
Как есть истинная правда))) Из последних моих "посмотрите, у нас что-то с компьютером случилось"... 80% - сей способ инсталляции)))
Автор: and 23.4.2010, 19:14
Кстати порадовал сегодня гугл. Ищу технические условия (ТУ) на некую железяку. В гугле щелкаю на рекламный баннер сайта 1-tu.ru
Появляется изящная страничка со строительной касочкой и надписью "Самая полная база технических условий (ТУ) (более 420000) "
Ввожу поиск ТУ ...опа нашлось. Скачать документ word... Только вместо вордовского файла скачивается exe:( Ага, а попробуем что нибудь экзотическое
Ввожу нецензурно xxx ТУ. Есть такое ТУ и опять exe...
Но ниче научатся пацаны ...
Автор: MySh 11.6.2010, 0:15
Wireshark, например, как раз для этого.
Особенно часто такое почему-то случается с теми, кто сидит «В Контакте».
Автор: Slavianin 11.6.2010, 0:43
Ну так, один из первых (или уже первый?) по посещаемости сайтов рунета, ясно что и на статистику он влияет сильнее.
Автор: IVK 12.6.2010, 12:42
Особенно часто такое почему-то случается с теми, кто сидит «В Контакте».
Ну так, один из первых (или уже первый?) по посещаемости сайтов рунета, ясно что и на статистику он влияет сильнее.
Популярность популярностью, но вообще-то, по-моему, от типичного пользователя "контакта" (особенно когда он увлёкся общением) можно ожидать чего угодно. Тем более что в вопросах сетевой (как, впрочем, и внесетевой) безопасности он, как правило, не шибко разбирается, и ему что виндовс, что вирус...
Автор: time 5.8.2010, 16:37
Пользуюсь Альтовскими дистрибутивами. С вирусами на флешке сталкиваюсь часто. Но был у меня такой случай. Вернул мне недавно приятель флешку с моими фотографиями (у него цифровик фотоаппарат). Смотрю в Линуксе— на ней наборчик из autoran.inf, thrumb (кажется) и каталога _Restore. Дело обычное — начал удалять. Всё, кроме каталога _Restore удалилось, а , вот каталог оказался неубиенным. Нет доступа — и всё! Ни на смену прав, ни на переименование. Хотя линукс права на каталог показывает пользовательские. Зашёл под root. Устроил листинг содержимого. Часть файлов определилась в названиях кракозябрами с указаниями прав и всего прочего, а часть определилась как «неизвестный файл» без опознавательных знаков. Ни удалить, ни переименовать , ни изменит права на них мне не удалось. Оставил я этот каталог на флешке до лучших времён, когда руки дойдут. Но с таким каталогом я встретился впервые.
Автор: Drool 5.8.2010, 19:51
А чё, отформатировать нельзя было?
Автор: AIL 6.8.2010, 3:33
и объяснил все про вирусы и *NIX очень просто и исчерпывающе.http://lleo.aha.ru/dnevnik/2009/10/22.html
Очень правильная статья. Основную мысль можно выразить ещё так: зачем делать интеллектуальную защиту, там, где возможно создать физическую. Ассоциация с непроницаемым барьером в самолёте между пилотами и пассажирами как нельзя кстати. Пилот должен быть абсолютно изолирован от пассажиров.
Автор: AIL 6.8.2010, 4:06
Или точнее сказать так. Зачем предпринимать меры интеллектуальной защиты, там где это можно осуществить на абсолютно физическом уровне, с меньшими затратами и потерями.
Автор: time 25.8.2010, 13:55
Прошло две недели после форматирования флешки и сегодня опять наблюдаю появление каталога _Restore. Теперь уже заходить в каталог не стал (после обращения к нему в предыдущем случае мне пришлось форматировать флешку). В консоли из-под рута всё прекрасно удалилось. Из интернета он опять пришёл, что ли?
Автор: IVK 25.8.2010, 18:30
Из интернета на компьютер под виндой, с него - на флэшку.
Вообще-то _Restore - какой-то (уж не помню какой) виндовый служебный каталог, он мог зачем-то быть создан виндой, а не вирусом (хотя, возможно, виндой по приказу вируса
).
Автор: IVK 26.8.2010, 13:28
Удивляюсь тому, что большинство вирусов (по крайней мере, из попадающихся мне) использует для автозапуска файл с одним и тем же названием autorun.inf. И в результате конфликтуют между собой из-за него. Поэтому на флэшке бывает обычно только один вирус, даже если она долго бродила по заражённым компам и должна просто кишеть вирусами, если бы они не ссорились между собой из-за авторана. Я понимаю, что вирус по натуре вредитель, но зачем они ещё и друг другу вредят?
Автор: Drool 26.8.2010, 14:02
Потому-что автозапуск возможен только посредством одного файла - autorun.inf, вот потому каждый вирус его на себя и старается перетянуть. Кстати, вирусов на флешке может быть куча, я это видел не единожды, но запускаться будет последний, перехвативший на себя autorun.inf.
P.S. Есть забавный способ вакцинации флешек (да и любых других перезаписываемых носителей), который можно сделать только из-под линукса или МакОС - создаем на флешке (или что там у нас) каталог autorun.inf, а чтоб умные вирусы его не удалили - в этом каталоге создаем пустой файл с именем con. Удалить этот файл винда не в состоянии генетически, а из-за него и каталог autorun.inf она удалить тоже не сможет. Умный вирус сможет переименовать его, но такой случай, мне кажется, не каждый вирусмейкер предусмотрит.
Автор: IVK 26.8.2010, 18:09
Вроде есть ещё desktop.ini и, вроде бы, ещё и другие подобные файлы. Хотя утверждать не берусь, в вирусах никогда особо не разбирался, нет необходимости, у меня с ними мир
Я тоже видал по несколько вирусов на флэшке, но вирусы, у которых их собратья отобрали авторан и которые поэтому запускаются разве что вручную - это вроде как уже не вирусы, а пародия на них. И чаще всё-таки на флэшке один вирус; несколько - это исключение из правила... и ни одного вируса - это тоже исключение
А, собственно, почему? Будь в имени файла обратный слэш - тогда, пожалуй, винда его не сможет удалить, а con почему недопустимое имя?
Автор: and 26.8.2010, 18:26
P.S. Есть забавный способ вакцинации флешек (да и любых других перезаписываемых носителей), который можно сделать только из-под линукса или МакОС - создаем на флешке (или что там у нас) каталог autorun.inf, а чтоб умные вирусы его не удалили - в этом каталоге создаем пустой файл с именем con. Удалить этот файл винда не в состоянии генетически, а из-за него и каталог autorun.inf она удалить тоже не сможет. Умный вирус сможет переименовать его, но такой случай, мне кажется, не каждый вирусмейкер предусмотрит.
Любопытно!
А можно ли сделать эту папку не переменуемой?
Или сделать псевдо вирус, который запускается в винде и перезаписывает autorun.inf с этим файлом.
Или скриптик на линуксе соответствующий при монтировании флешки?
Автор: and 26.10.2010, 19:07
Потихоньку веду поиск информации о возможности промышленной автоматизации под линукс.
Вот тут небольшая подборка о критической уязвимости особо ответственных промышленных виндовс систем (недавние события на бушерской аэс):
http://www.computerra.ru/vision/548561/
http://ru.wikipedia.org/wiki/Stuxnet
http://www.vz.ru/news/2010/10/4/437096.html
Т.е. все довольно серьезно.
Чтобы этого избежать, нужно разрабатывать свои опен сорсные SCADA системы. И такие проекты ведутся:
http://ru.wikipedia.org/wiki/OpenSCADA
http://oscada.org/ru/glavnaja/
Автор: YYY 26.10.2010, 20:31
А можно ли сделать эту папку не переменуемой?
Нет
Или скриптик на линуксе соответствующий при монтировании флешки?
Распространяю под GPL
Пользуйтесь на здоровье
Автор: IVK 26.4.2012, 21:03
http://open-club.net/news/fbr_sotni_tysjach_kompjuterov_zarazhennykh_virusom_dns_changer_mogut_otkljuchit_ot_interneta_s_9_ijulja/2012-04-24-1323
Всё это, конечно, круто... но возникают по меньшей мере два вопроса : зачем отключать заражённые компьютеры от инета и (если есть зачем), то не много ли ФБР берёт на себя в этой истории? ведь речь о компьютерах по всему миру; и антивирусные компании для чего существуют, если этот ФБР-ский сайт в данном случае так необходим? Или я совсем уже отстал от жизни в плане вирусной угрозы? 
Автор: Drool 26.4.2012, 22:15
По-моему, речь идет не об отключении юзеров от интернета злобными сотрубниками ФБР. Зараженные машины вместо открытия желаемого сайта тихонько перенаправляются на некий сайт с рекламой. После разоблачения хакеров эти сайты, ясное дело прикрыли, и теперь инфицированные машины вместо интернета должны получить облом. Чтоб этого не произошло - были активированы какие-то ресурсы, возможно, какие-то альясы, редиректные узлы и т.п. Но скоро их отключат...
Автор: Drool 8.8.2013, 11:22
Перенесено из темы "http://forum.russ2.com/index.php?showtopic=1682&view=findpost&p=37022"
Например этого: http://www.proshkolu.ru/user/lyubow5906685/blog/412808/
Круто. У нас пока еще не встречался такой троян.
Автор: IVK 8.8.2013, 15:47
Вообще-то, если действительно зашифровать всё на двух терабайтных винчестерах - это же время нужно.
Автор: DanVol 9.8.2013, 22:47
Кому нужно комп обычного пользователя шифровать!? Троянов-блокираторов насмотрелся я всяких у народа . Вымогатели тексты подбирают грамотно - на многих действует, сначала бегут платить, а после, когда уже поняли, что это развод, обращаются за помощью. Лечится по разному, в зависимости от типа трояна. Эти баннеры-блокираторы подцепляют обычно на варезниках и порносайтах, а после просто от неловкости врут - в этом нетрудно убедится, просмотрев после разблокировки последние посещённые интернетстраницы. Что интересно, антивирусники в основном бессильны перед этой напастью.
Тут что-то из ряда вон выходящее, целый детектив. Не представляю, как можно сразу всё это узреть - "на моих глазах стали блокироваться все программы и 2 винчестера"
Да ещё и письмо с уведомлением...Да уж.Что-то отдалённо-похожее (не придираться - понимаю, что не то же самое
) не так давно случилось у меня на Windows, что в принципе, стало последней каплей. В одной из папок я храню разнообразную графику - картинки, обои, коллекции значков, свои какие-то графические поделки и т.д. В какой-то момент обнаружил, что не могу открыть эту папку - "у вас нет доступа". И всё. Что только не делал - всё напрасно, если папку и открыл как-то, то с каждым из файлов такая же история - нет доступа. В свойствах файла меня ни как пользователя ни как администратора просто не оказалось. Проделав кучу манипуляций с правами владения и разрешениями всё же можно получить доступ к файлу, но когда их может быть тысяча? И почему так вообще произошло? А из Ubuntu всё открывается без проблем.
Автор: Drool 9.8.2013, 22:55
Ссылку то хоть смотрел? Там человеку уже не один специалист пытался помочь, венду переставляли - данные зашифрованы. А смысл комп обычного пользователя шифровать есть - какая-то часть таки заплатит.
Автор: DanVol 9.8.2013, 23:29
Причём внимательно
Просто про такое первый раз слышу.
Автор: Drool 9.8.2013, 23:41
Я тоже. Но такого зловреда вполне допускаю. Более того, странно, что его до этого не встречал. Ведь снять банальный блокер проще, чем расшифровывать данные, при некоторых алгоритмах это даже становится бессмысленно. Больше шансов, что жертва отчается и заплатит. То, что никто не пришлет инструкцию по расшифровке - 99,9%.
Автор: Drool 9.8.2013, 23:44
Не обязательно. Можно перешифровать таблицу размещения файлов (для FAT) или главную файловую таблицу (для NTFS). Это небольшой объем, а результат будет эффективным.
Автор: Drool 9.8.2013, 23:48
Хотя вру! Все новое - http://ru.wikipedia.org/wiki/OneHalf
Автор: IVK 10.8.2013, 9:29
Никто, кроме авторов вируса или же и они не пришлют, даже получив деньги?
Автор: Drool 10.8.2013, 10:37
Я и имел ввиду авторов зловреда.
Автор: IVK 10.8.2013, 10:41
А вообще-то http://forum.kaspersky.com/lofiversion/index.php/t260680-0.html. В апреле ещё.
Автор: IVK 10.8.2013, 10:45
Если они давать ключ и не собираются, то им легче даже не шифровать MFT, а а просто её разрушить
Впрочем, по ссылке в моём предыдущем сообщении они всё-таки дают гарантии. Автор: Drool 10.8.2013, 11:10
Нет, ведь можно и расшифровать десятку-другому жертв. И этим сложить репутацию, что восстановить можно. Конечно, я не знаю авторов зловреда, может они всем уплатившим будут расшифровывать, просто исхожу из опыта блокеров, которые ловятся лопухами в нашем городе. Кто пробовал платить - никакого кода разблокировки, конечно же, не получил.
Автор: and 10.8.2013, 12:23
Кода не будет никогда, поскольку высылка кода разблокировки является доказательством преступного умысла. А так по счету выйдут на человека, а он говорит, я не причем, это хакеры где то достали мои контакты и дискредитируют меня, пожалуйста разберитесь с ними.
Разрушать информацию тоже психологически не выгодно, если восстанавливать нечего, то денег никто не пришлет.
Автор: Drool 10.8.2013, 13:56
С информации с форума касперского - высылают код, информацию разблокируют. Мыло злоумышленника на гмайле, это США, уже проблемно. Плюс, скорее всего, он туда ходит через торроид, так что вычислить практически нереально.
Автор: DanVol 10.8.2013, 19:30
Вот это штучка.
Автор: IVK 13.8.2013, 0:12
http://habrahabr.ru/post/168677/.
Автор: Drool 13.8.2013, 11:27
Судя по описанию - это совершенно другой зловред.
Автор: IVK 13.8.2013, 11:40
В любом случае, они как-то связаны. Два (а может, их и больше) вируса со сходными симптомами едва ли могут появиться почти одновременно. Видимо, "завод-изготовитель" один
Автор: Drool 13.8.2013, 11:42
Судя по уровню сложности, вернее, по разнице сложности одного и другого - один просто послужил идеей для другого
Автор: IVK 27.8.2013, 22:36
Есть простой способ быстрой проверки винды на наличие вирусов : подключаешь ненадолго флешку, а потом в Линуксе смотришь, не появился ли на ней какой зловред. Интересно, насколько это надёжно? То есть многие ли вирусы в наше время не переползают на флешки и, следовательно, ускользают от обнаружения их таким методом?
Автор: Drool 27.8.2013, 22:53
Теоретически, вирусы должны пытаться как-то размножиться, в т.ч. и через сменные носители. Но вот специально таких трепанаций не проводил
Автор: IVK 27.8.2013, 23:13
А я обычно так и проверяю, когда кто-то рассуждает на тему "что-то комп тормозит и глючит, наверное, на нём толпа вирусов" Правда, заставить меня лечить винду от вредителей теперь уже очень сложно, но вот воткнуть флешку и таким образом проверить хотя бы, есть ли вообще в винде вирусы - это для меня не так уж обременительно Пока основным источником заразы в наших краях были флешки, этот способ выглядел весьма надёжным. А в последнее время инет у нас стал гораздо лучше, так что теперь народ будет в большом количестве ловить зловредов из инета, вот и задумался над этим вопросом.
Автор: Kagalar 19.2.2016, 10:47
Отличная статья! Защита ПК - важнейшая часть пребывания в сети. Лично я долго менял антивирусы, остановился на Аваст. Вместе с Windows работает идеально, не тормозит систему, предоставляет надёжную защиту от вирусов, не отнимает существенных ресурсов http://softcatalog.info/ru/programmy/avast-free-antivirus-2015-1#download-block
Автор: IVK 20.2.2016, 0:41
А Линукс в качестве антивируса не пробовали?
Автор: DanVol 23.2.2016, 1:11
Не видел ни одной рекламы антивирусов, говорящей об обратном
Автор: Koi.v2 23.2.2016, 13:52
Я когда виндовс пользовался много всего попробовал учитывая что я анимешник, а такие сайты часто бывают напичканы бякой и + лазание по всяким злачным сайтам пришел к единственному реально эффективному средству.
http://malwarerus.com/
Мало распиаренный затерявшийся в инете антивирус однако он не грузит систему, и намного более эффективен чем Касперский. Кроме того корректно удаляет занесенные черви активно пропущенные тем же avast который вообще мало от чего защищает, один пиар.
Автор: IVK 23.2.2016, 14:53
Вот это впечатляет:
Не вступает в конфликт с другими программами, не требует перед установкой удалить аналогичные антишпионы или антивирусы
Он как дополнение к Касперу может работать, получается? Или это излишне?
Автор: Koi.v2 23.2.2016, 21:41
Не знаю не пробовал я обычно касперского удалял.
Автор: Flipp 13.7.2016, 18:05
Все зависит от того какой у вас антивирус, таково и решение. Есть специальная прога http://www.softhome.ru/category/sistema/utility, для сноса, так сказать трудносносимых файлов. Наиболее распространенной вариантом является чистка реестра с http://softobase.com/ru/article/luchshie-programmy-dlya-optimizacii-windows. И в дальнейшем советую пользоваться только проверенными http://moiprogrammy.net/obzor-besplatnyh-antivirusov. От антивирусов столько же пользы сколько и вреда, так что после них все равно приходится подчищать.
Автор: kamazox 28.4.2017, 23:18
http://soft-update.ru/19-kaspersky-free-antivirus.html антивирус самое лучшее решение
Автор: alexander.sasha 21.9.2022, 19:13
https://news.drweb.ru/show/?i=14569&lng=ru&p=0&utm_source=email&utm_medium=drweb&utm_content=digest/?utm_source=email&utm_medium=drweb&utm_campaign=digest&utm_content=interesting_news&utm_term=20220914
В конце августа 2022 года в компанию «Доктор Веб» обратился один из клиентов в связи с возможной компрометацией корпоративных рабочих станций под управлением ОС семейства Linux. Признаком потенциального заражения являлись попытки загрузки троянского приложения-майнера Linux.Siggen.4074, которые успешно блокировались модулем SpIDer Gate, входящим в установленный на пострадавших компьютерах антивирус Dr.Web Security Space для Linux. Проведенный анализ показал, что на пострадавших компьютерах задача на скачивание трояна была прописана в планировщике cron.
Компания «Доктор Веб» напоминает, что инфраструктура любого предприятия, равно как и отдельные рабочие места, нуждаются в антивирусной защите независимо от используемых операционных систем. Ошибочно полагать, что компьютеры на базе Linux неинтересны злоумышленникам. Напротив, у них достаточно знаний и технических возможностей для совершения атак на пользователей этой платформы. И с ростом ее популярности в России можно ожидать увеличения числа подобных атак.
Автор: YYY 25.9.2022, 21:52
Ура! Ура! Строян для линукса нашли
Может админ хотел намайнить немного себе на отпуск...
PS:
Помню как в 2010 мне с умным видом про важность антивируса для линукса втирали
А я считаю, что просто надо клавиатуру и мышку спиртом протирать и тогда никакие вирусы компутеру не страшны...
Автор: gostsdmitry 26.9.2022, 0:02
Может админ хотел намайнить немного себе на отпуск...
PS:
Помню как в 2010 мне с умным видом про важность антивируса для линукса втирали
А я считаю, что просто надо клавиатуру и мышку спиртом протирать и тогда никакие вирусы компутеру не страшны...
Ага. Особенно смешно читать, что чем новее "Винда", тем она защищённее!
Так и хочется сказать: А, ну-ка, исходный код от неё сюда! 
Автор: Koi.v2 26.9.2022, 1:34
Так и хочется сказать: А, ну-ка, исходный код от неё сюда! Вера в подтверждении не нуждается.
Автор: gostsdmitry 26.9.2022, 23:05
По-моему, даже заклятые "виндузятники" не верят в безопасность этой системы!
Автор: alexander.sasha 1.10.2022, 18:58
https://proglib.io/p/10-samyh-opasnyh-kompyuternyh-virusov-novogo-veka-2021-11-01
Автор: gostsdmitry 1.10.2022, 20:14
Прочитал.
ностальгия нахлынула...
Автор: alexander.sasha 1.10.2022, 21:35
https://www.ixbt.com/news/2022/09/30/hakery-pridumali-prjatat-virusy-v-izobrazhenij-naprimer-v-logotipe-windows.html
Для этого используется метод стеганографии
Хакеры находят всё новые способы взламывать системы. И на сей раз это стало возможным с помощью обычного изображения. Если точнее, злоумышленники спрятали код вредоносного ПО в картинке с логотипом Windows. Для этого они использовали метод стеганографии.
Этот метод позволяет скрывать текст или программный код прямо в изображении. Такой метод позволяет обойти традиционные защитные системы. При этом сама картинка не вызовет никаких подозрений и будет правильно отображаться.
Как оказалось, «заражённая» версия логотипа хранилась в общедоступных облачных сервисах, которые обычно пользуются доверием многих антивирусных систем. Её можно было найти даже на GitHub.
Для заражения системы вирус использовал уязвимости Microsoft Exchange ProxyShell и ProxyLogon на корпоративных ПК, которые были актуальны в прошлом году. После скачивания и извлечения кода вредоносное ПО могло получить повышенные привилегии в системе, подгрузить новые файлы и атаковать сеть компании.
Эксперты отметили, что для борьбы с этим нужно блокировать скачивание всех файлов из общедоступных ресурсов, а также установить последние обновления ОС.
Автор: vidsboku 2.10.2022, 9:43
На Винде вживую видел только одного трояна. Как-то раз фаервол тормознул от выхода в сеть программу firewall.exe. С маскировкой автор программы немного перестарался. Хотя... Смотря для кого, наверно.
А больше ничего не было. И, кстати, на Линуксе я бы этого трояна не засёк, ведь тут нельзя разрешать выход в сеть отдельно для конкретных приложений. Насколько я в курсе, конечно.
Автор: YYY 3.10.2022, 1:09
2002 год
"Paranoid Penguin..."
https://www.linuxjournal.com/article/6091
—uid-owner UID: matches packets generated by a process whose user ID is UID.
—gid-owner GID: matches packets generated by a process whose group ID is GID.
—pid-owner PID: matches packets generated by a process whose process ID is PID.
—sid-owner SID: matches packets generated by a process whose session ID is SID.
ЗЫ:
Тут знакомые попросили на виндовс "программы установить", а антивирусы то бесплатные тю-тю. Ни аваст ни авг с РФ не скачать...
Автор: gostsdmitry 3.10.2022, 1:18
Тут знакомые попросили на виндовс "программы установить", а антивирусы то бесплатные тю-тю. Ни аваст ни авг с РФ не скачать...
На личном опыте убедился в том, что антивирус не препятствует попаданию заразы в систему, а только помогает эту заразу из системы удалить. Иногда, вместе с системными файлами...
Автор: vidsboku 3.10.2022, 7:37
https://www.linuxjournal.com/article/6091
Спасибо, надо будет как-нибудь поразбираться. На Аллаха надейся, как говорится...
Автор: ИВК 3.10.2022, 19:09
И на уже установленных антивирусах базы не обновить?
Автор: YYY 3.10.2022, 19:34
а черт его знает.
качать антивирь с левых ресурсов с непонятными перспективами по обновлениям - это так себе вариант, в итоге оставил им дефендер и сказал что "и так пока сойдет"...
Автор: ИВК 3.10.2022, 19:53
Пожалуй, в такой ситуации зарубежные антивирусы будут (и чем дальше, тем в большей степени) лишь давать иллюзию защищённости, что ещё хуже, чем отсутствие антивируса вообще
Автор: YYY 3.10.2022, 21:09
Это да, но отечественные стоят денег.... Хотя надо было им каспера-free вкатить чтоб новый ноутбук превратить в пентиум-два по быстродействию
))Автор: alexander.sasha 3.10.2022, 22:44
Предпочитаю https://company.drweb.ru//
Пока стоит Касперский free
Автор: alexander.sasha 7.5.2023, 17:39
https://z-oleg.com/secur/avz/download.php— бесплатная утилита для создания Карантина, удаления подозрительных файлов и получения отчета о результатах исследования системы.
https://ru.wikipedia.org/wiki/AVZ
https://z-oleg.com/secur/avz_doc/
Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)