О вирусах (виндовых), Linux в роли антивируса для Windows Опции Поделиться

[MySh]

Персоналные фаерволлы дают возможность например видеть всю сетевую активность. Например чего откуда куда лезет из инета и куда лезут запущенные на компе процессы. Или для линукс это тоже неактуально?

Wireshark, например, как раз для этого.

А бывает и сами узеры, с перепугу вирусы инсталлируют

Особенно часто такое почему-то случается с теми, кто сидит «В Контакте».

[Slavianin]

Особенно часто такое почему-то случается с теми, кто сидит «В Контакте».

Ну так, один из первых (или уже первый?) по посещаемости сайтов рунета, ясно что и на статистику он влияет сильнее.

[ИВК]

Особенно часто такое почему-то случается с теми, кто сидит «В Контакте».

Ну так, один из первых (или уже первый?) по посещаемости сайтов рунета, ясно что и на статистику он влияет сильнее.

Популярность популярностью, но вообще-то, по-моему, от типичного пользователя "контакта" (особенно когда он увлёкся общением) можно ожидать чего угодно. Тем более что в вопросах сетевой (как, впрочем, и внесетевой) безопасности он, как правило, не шибко разбирается, и ему что виндовс, что вирус...

[time]

Пользуюсь Альтовскими дистрибутивами. С вирусами на флешке сталкиваюсь часто. Но был у меня такой случай. Вернул мне недавно приятель флешку с моими фотографиями (у него цифровик фотоаппарат). Смотрю в Линуксе— на ней наборчик из autoran.inf, thrumb (кажется) и каталога _Restore. Дело обычное — начал удалять. Всё, кроме каталога _Restore удалилось, а , вот каталог оказался неубиенным. Нет доступа — и всё! Ни на смену прав, ни на переименование. Хотя линукс права на каталог показывает пользовательские. Зашёл под root. Устроил листинг содержимого. Часть файлов определилась в названиях кракозябрами с указаниями прав и всего прочего, а часть определилась как «неизвестный файл» без опознавательных знаков. Ни удалить, ни переименовать , ни изменит права на них мне не удалось. Оставил я этот каталог на флешке до лучших времён, когда руки дойдут. Но с таким каталогом я встретился впервые.

[Drool]

А чё, отформатировать нельзя было?

[AIL]

Аналогия с военными действиями, пусть и оборонительного характера, здесь не совсем подходит. Скорее речь может идти о профилактике террористических актов. Недавно, перечитывая журнал Каганова, наткнулся на статью которая дает ответ на многие поднятые в этом обсуждении вопросы. Почитайте, в этой статье Леня обошелся без ненормативной лексики и объяснил все про вирусы и *NIX очень просто и исчерпывающе.

Про захваты самолетов и компьютерные вирусы.

Очень правильная статья. Основную мысль можно выразить ещё так: зачем делать интеллектуальную защиту, там, где возможно создать физическую. Ассоциация с непроницаемым барьером в самолёте между пилотами и пассажирами как нельзя кстати. Пилот должен быть абсолютно изолирован от пассажиров.

Сообщение отредактировал AIL - 6.8.2010, 6:32

[AIL]

Или точнее сказать так. Зачем предпринимать меры интеллектуальной защиты, там где это можно осуществить на абсолютно физическом уровне, с меньшими затратами и потерями.

Сообщение отредактировал AIL - 6.8.2010, 4:32

[time]

Прошло две недели после форматирования флешки и сегодня опять наблюдаю появление каталога _Restore. Теперь уже заходить в каталог не стал (после обращения к нему в предыдущем случае мне пришлось форматировать флешку). В консоли из-под рута всё прекрасно удалилось. Из интернета он опять пришёл, что ли?

[ИВК]

Из интернета он опять пришёл, что ли?

Из интернета на компьютер под виндой, с него - на флэшку.
Вообще-то _Restore - какой-то (уж не помню какой) виндовый служебный каталог, он мог зачем-то быть создан виндой, а не вирусом (хотя, возможно, виндой по приказу вируса ).

[ИВК]

Удивляюсь тому, что большинство вирусов (по крайней мере, из попадающихся мне) использует для автозапуска файл с одним и тем же названием autorun.inf. И в результате конфликтуют между собой из-за него. Поэтому на флэшке бывает обычно только один вирус, даже если она долго бродила по заражённым компам и должна просто кишеть вирусами, если бы они не ссорились между собой из-за авторана. Я понимаю, что вирус по натуре вредитель, но зачем они ещё и друг другу вредят?

[Drool]

Удивляюсь тому, что большинство вирусов (по крайней мере, из попадающихся мне) использует для автозапуска файл с одним и тем же названием autorun.inf. И в результате конфликтуют между собой из-за него. Поэтому на флэшке бывает обычно только один вирус, даже если она долго бродила по заражённым компам и должна просто кишеть вирусами, если бы они не ссорились между собой из-за авторана. Я понимаю, что вирус по натуре вредитель, но зачем они ещё и друг другу вредят?

Потому-что автозапуск возможен только посредством одного файла - autorun.inf, вот потому каждый вирус его на себя и старается перетянуть. Кстати, вирусов на флешке может быть куча, я это видел не единожды, но запускаться будет последний, перехвативший на себя autorun.inf.

P.S. Есть забавный способ вакцинации флешек (да и любых других перезаписываемых носителей), который можно сделать только из-под линукса или МакОС - создаем на флешке (или что там у нас) каталог autorun.inf, а чтоб умные вирусы его не удалили - в этом каталоге создаем пустой файл с именем con. Удалить этот файл винда не в состоянии генетически, а из-за него и каталог autorun.inf она удалить тоже не сможет. Умный вирус сможет переименовать его, но такой случай, мне кажется, не каждый вирусмейкер предусмотрит.

[ИВК]

автозапуск возможен только посредством одного файла - autorun.inf

Вроде есть ещё desktop.ini и, вроде бы, ещё и другие подобные файлы. Хотя утверждать не берусь, в вирусах никогда особо не разбирался, нет необходимости, у меня с ними мир

Кстати, вирусов на флешке может быть куча, я это видел не единожды, но запускаться будет последний, перехвативший на себя autorun.inf.

Я тоже видал по несколько вирусов на флэшке, но вирусы, у которых их собратья отобрали авторан и которые поэтому запускаются разве что вручную - это вроде как уже не вирусы, а пародия на них. И чаще всё-таки на флэшке один вирус; несколько - это исключение из правила... и ни одного вируса - это тоже исключение

создаем на флешке (или что там у нас) каталог autorun.inf, а чтоб умные вирусы его не удалили - в этом каталоге создаем пустой файл с именем con. Удалить этот файл винда не в состоянии генетически

А, собственно, почему? Будь в имени файла обратный слэш - тогда, пожалуй, винда его не сможет удалить, а con почему недопустимое имя?

[and]

Потому-что автозапуск возможен только посредством одного файла - autorun.inf, вот потому каждый вирус его на себя и старается перетянуть. Кстати, вирусов на флешке может быть куча, я это видел не единожды, но запускаться будет последний, перехвативший на себя autorun.inf.

P.S. Есть забавный способ вакцинации флешек (да и любых других перезаписываемых носителей), который можно сделать только из-под линукса или МакОС - создаем на флешке (или что там у нас) каталог autorun.inf, а чтоб умные вирусы его не удалили - в этом каталоге создаем пустой файл с именем con. Удалить этот файл винда не в состоянии генетически, а из-за него и каталог autorun.inf она удалить тоже не сможет. Умный вирус сможет переименовать его, но такой случай, мне кажется, не каждый вирусмейкер предусмотрит.

Любопытно!
А можно ли сделать эту папку не переменуемой?
Или сделать псевдо вирус, который запускается в винде и перезаписывает autorun.inf с этим файлом.
Или скриптик на линуксе соответствующий при монтировании флешки?

[and]

Потихоньку веду поиск информации о возможности промышленной автоматизации под линукс.

Вот тут небольшая подборка о критической уязвимости особо ответственных промышленных виндовс систем (недавние события на бушерской аэс):
http://www.computerra.ru/vision/548561/
http://ru.wikipedia.org/wiki/Stuxnet
http://www.vz.ru/news/2010/10/4/437096.html

Т.е. все довольно серьезно.

Чтобы этого избежать, нужно разрабатывать свои опен сорсные SCADA системы. И такие проекты ведутся:
http://ru.wikipedia.org/wiki/OpenSCADA
http://oscada.org/ru/glavnaja/

[YYY]

Любопытно!
А можно ли сделать эту папку не переменуемой?

Нет

Или сделать псевдо вирус, который запускается в винде и перезаписывает autorun.inf с этим файлом.
Или скриптик на линуксе соответствующий при монтировании флешки?

Распространяю под GPL
Пользуйтесь на здоровье

Прикрепленные файлы

 usb.zip ( 556.81 килобайт ) Кол-во скачиваний: 2

 

[ИВК]

ФБР: Сотни тысяч компьютеров, зараженных вирусом DNS Changer, могут отключить от Интернета с 9 июля
Всё это, конечно, круто... но возникают по меньшей мере два вопроса : зачем отключать заражённые компьютеры от инета и (если есть зачем), то не много ли ФБР берёт на себя в этой истории? ведь речь о компьютерах по всему миру; и антивирусные компании для чего существуют, если этот ФБР-ский сайт в данном случае так необходим? Или я совсем уже отстал от жизни в плане вирусной угрозы?

[Drool]

По-моему, речь идет не об отключении юзеров от интернета злобными сотрубниками ФБР. Зараженные машины вместо открытия желаемого сайта тихонько перенаправляются на некий сайт с рекламой. После разоблачения хакеров эти сайты, ясное дело прикрыли, и теперь инфицированные машины вместо интернета должны получить облом. Чтоб этого не произошло - были активированы какие-то ресурсы, возможно, какие-то альясы, редиректные узлы и т.п. Но скоро их отключат...

[Drool]

Перенесено из темы "Linux?"

Ну это до первого хорошего вируса зашифровавшего файлы и ждущего денег на расшифровку.
Например этого: http://www.proshkolu.ru/user/lyubow5906685/blog/412808/

Круто. У нас пока еще не встречался такой троян.

[ИВК]

Вообще-то, если действительно зашифровать всё на двух терабайтных винчестерах - это же время нужно.

[DanVol]

Вообще-то, если действительно зашифровать всё на двух терабайтных винчестерах - это же время нужно.

Кому нужно комп обычного пользователя шифровать!? Троянов-блокираторов насмотрелся я всяких у народа . Вымогатели тексты подбирают грамотно - на многих действует, сначала бегут платить, а после, когда уже поняли, что это развод, обращаются за помощью. Лечится по разному, в зависимости от типа трояна. Эти баннеры-блокираторы подцепляют обычно на варезниках и порносайтах, а после просто от неловкости врут - в этом нетрудно убедится, просмотрев после разблокировки последние посещённые интернетстраницы. Что интересно, антивирусники в основном бессильны перед этой напастью.
Тут что-то из ряда вон выходящее, целый детектив. Не представляю, как можно сразу всё это узреть - "на моих глазах стали блокироваться все программы и 2 винчестера" Да ещё и письмо с уведомлением...Да уж.
Что-то отдалённо-похожее (не придираться - понимаю, что не то же самое ) не так давно случилось у меня на Windows, что в принципе, стало последней каплей. В одной из папок я храню разнообразную графику - картинки, обои, коллекции значков, свои какие-то графические поделки и т.д. В какой-то момент обнаружил, что не могу открыть эту папку - "у вас нет доступа". И всё. Что только не делал - всё напрасно, если папку и открыл как-то, то с каждым из файлов такая же история - нет доступа. В свойствах файла меня ни как пользователя ни как администратора просто не оказалось. Проделав кучу манипуляций с правами владения и разрешениями всё же можно получить доступ к файлу, но когда их может быть тысяча? И почему так вообще произошло? А из Ubuntu всё открывается без проблем.

Сообщение отредактировал DanVol - 9.8.2013, 23:30

[Drool]

Ссылку то хоть смотрел? Там человеку уже не один специалист пытался помочь, венду переставляли - данные зашифрованы. А смысл комп обычного пользователя шифровать есть - какая-то часть таки заплатит.

[DanVol]

Ссылку то хоть смотрел?

Причём внимательно Просто про такое первый раз слышу.

[Drool]

Просто про такое первый раз слышу.

Я тоже. Но такого зловреда вполне допускаю. Более того, странно, что его до этого не встречал. Ведь снять банальный блокер проще, чем расшифровывать данные, при некоторых алгоритмах это даже становится бессмысленно. Больше шансов, что жертва отчается и заплатит. То, что никто не пришлет инструкцию по расшифровке - 99,9%.

[Drool]

Вообще-то, если действительно зашифровать всё на двух терабайтных винчестерах - это же время нужно.

Не обязательно. Можно перешифровать таблицу размещения файлов (для FAT) или главную файловую таблицу (для NTFS). Это небольшой объем, а результат будет эффективным.

[Drool]

Я тоже.

Хотя вру! Все новое - давно забытое старое

[ИВК]

То, что никто не пришлет инструкцию по расшифровке - 99,9%.

Никто, кроме авторов вируса или же и они не пришлют, даже получив деньги?

[Drool]

Никто, кроме авторов вируса или же и они не пришлют, даже получив деньги?

Я и имел ввиду авторов зловреда.

[ИВК]

А вообще-то вот про этот зловред. В апреле ещё.

[ИВК]

Я и имел ввиду авторов зловреда.

Если они давать ключ и не собираются, то им легче даже не шифровать MFT, а а просто её разрушить Впрочем, по ссылке в моём предыдущем сообщении они всё-таки дают гарантии.

[Drool]

Если они давать ключ и не собираются, то им легче даже не шифровать MFT, а а просто её разрушить

Нет, ведь можно и расшифровать десятку-другому жертв. И этим сложить репутацию, что восстановить можно. Конечно, я не знаю авторов зловреда, может они всем уплатившим будут расшифровывать, просто исхожу из опыта блокеров, которые ловятся лопухами в нашем городе. Кто пробовал платить - никакого кода разблокировки, конечно же, не получил.