Февральский фуршет
-
просто из детства запомнилась картинка по ящику где сидит какойто умный дядка, судя по титрам ваш коллега по конторе, сидит и тычет в какой-то текст со соловами "вот он, вирус". С тех пор мучался вопросом. Хотя сам в свое время программы для микроконтроллеров так редактировал, но сильно сомневался что такое возможно для сложно архитектуры современных pc.
-
.com или .exe вирус в большинстве случаев записывается в конец файла (бывает и в начало, но реже), поставив из заголовка переход на свой код с возвратом в код зараженной программы после выполнения своих действий. Таким образом, открыв файл по кнопке F3 в фаре (в те времена вообще-то актуален был волков коммандер или нортон) и перейдя в конец - код вируса отлично виден. Причем не нужен тут никакой HEX режим, обычный символьный достаточен. Концовка незараженного exe файла типична, если файл не упакован какими-нибудь upx-ами, таким образом плотный вирусный код в конце отчетливо виден. Можно оценить размер, а наметанным взглядом и название вируса, если сейчас эпидемия и его код на виду и на слуху у вирусолога.
-
-
- kukalyakin
- 15.02.2009 6:38
- ↑
- →
Что за хрень — любой установленный на компьютере браузер открывает рекламные окна. Это явно какой-то вирус, но KIS2009 его не видит.
-
-
-
- kukalyakin
- 15.02.2009 6:51
- ↑
- →
Хм.
ВинВиста сп1 русская Ультимейт. Браузеры — IE7, FF3, Опера 9.
Открывается сайты с рекламой, в адресах как правило есть сайт goole.ws (именно так). -
-
Сдается мне, что у вас fake-антивирус или adware. Посетите форум http://virusinfo.info/, вам там обязательно помогут.
-
-
- vinslivins
- 15.02.2009 6:45
- ↑
- →
два вопроса на выбор)
когда перестанут добавлять ложные срабатывания на кряки?
либо
сколько вы за это получаете?) (за один кряк) -
-
-
- vinslivins
- 15.02.2009 6:52
- ↑
- →
я просто не понимаю, что должен делать безобидный кейген, чтобы дать ложное срабатывание.
неужели считывание каких-нибудь айдишников хардов, процессора или чего-то ещё - это опасно?..
(всё равно, спасибо за ответ :) -
-
-
- vinslivins
- 15.02.2009 7:09
- ↑
- →
а. вспомнил реальный волнующий вопрос. не знаю, кого спросить)
где-то в компьютерре давно писали, что сделали алгоритм автоматической генерации эксплоитов по анализу патчей на программный продукт, и эта продемонстрированная система якобы работает.
вопрос - это полный капец, или раз ещё ничего с тех пор не стряслось и не слышно, то э.. не знаю, где-то ошиблись, или там - "паранойя это плохо") ?
и ещё вопрос - есть ли где-нибудь исследование, какова доля заражённых систем, на которых антивирусы по каким-то причинам ничего не находят?
то есть (я неспециалист), варианты я так понимаю:
- антивирусы (например касперский) так хорошо написаны, что обнаружат любые вирусы, если они есть в базах
- есть какие-то вирусы, которые устроены так, что их уже никак не обнаружить после активации
(если да, то как много таких замечательных программ?)
(и какие самые продвинутые средства - например в WinXP - они используют?) -
-
1) Да, вполне реально реализовать систему, которая будет определять наличие уязвимости сравнивая пропатченный модуль и непропатченный. Идея основывается на сравнении двух графов (см. как пример BinDiff). За полностью автоматический режим я не ручаюсь, так что скорее - это параноя :)
2) Исследования такие врядли возможны. Насчет обнаружения могу сказать, что есть отдельный подвид вирусов - руткиты. Они могут скрывать свое присутствие в системе. С ними случаются проблемы. Руткиты популярны и используются довольно часто. Таким образом, ситуация вполне реальна (есть в базах, но не ловим). Обычно используется перехват системных функций, процедур драйверов файловой системы и т.п. -
Обратитесь в службу поддержки (если антивирус лицензионный) или на сайт http://virusinfo.info/. Обязательно укажите, что у вас на компьютере именно этот вирус и вам помогут.
Его описание - http://www.viruslist.com/ru/viruses/encyclopedia?virusid=96428
Цитирую:
"Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry" -
-
- vinslivins
- 15.02.2009 7:16
- ↑
- →
:)
ну и да - какая у вас там всех квалификация (те, кто анализирует вирусы) - все суперкрутые хакеры и огромный стаж ассемблера?
гм) и есть ли какие-нибудь курсы по созданию "продуктов", нетрадиционно использующих операционную систему и собственный код - с целью защиты от взлома, или там защиты от вирусов, ну и подобных вещей -
-
-
- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 7:49
- ↑
- →
Лицензионный пользователь Касперского. Скажите, вы не в курсе, почему так медленно скачиваются обновления (1-3 килобайта в секунду), эта проблема только у меня или нет? Каналы разные, что на 10 килобайтах, что на 10 мегабитах, что в России, что в командировках, - та же история. Интересует именно ваше мнение изнутри, т.к. читал в интервью с Касперским его ответ, что дело в нелицензионных пользователях, которые перегружают сервера. Есть бооольшие сомнения, т.к. имею прямое отношение к вебу, однако думать дальше имеет смысл зная объемы трафика. Это конфиденциальная информация?
P.S. Пользуюсь настолько редко, что писать в ТП и т.п. не вижу выгоды :) увидел сообщение - решил спросить. -
-
Рекомендую все-таки обратиться в Службу Поддержки, т.к. это ненормально. Перегружают сервера обновлений как лицензионные, так и нелицензионные пользователи. Все скачивают обновления, а пропускная способность каналов и нагрузка на сервера - ограничена.
У меня у самого на домашнем и на ноутбуке стоит KIS, проблем со скоростью обновлений я не замечал, за исключением некоторого начального момента, когда скачивается файл, в котором находится информация о том, что необходимо обновлять. Может быть ошибка в функции считающей скорость? :)
Объемы трафика - конфиденциальная информация. -
-
- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 8:07
- ↑
- →
Спасибо большое за ответ! Скоро может жизнь заставать длительное время жить под Windows, видимо обращусь, раз это не нормально.
У меня KAV6, такую версию купили на работе, не знаю, могу ли я обновиться на более новую версию (можно ли это пока действует лицензия) и нужно ли (принесет ли большую скорость работы) :) Использую на ноутбуке hp dv2000t (2x1.8 Ghz / 32bit, 2 Gb RAM). -
-
-
- foto_ilych
- 15.02.2009 9:32
- ↑
- →
Тоже заметил - был KIS6 поставил KIS2009 - обновления стали очень медленно скачиваться и на десктопе и на ноуте.
-
-
Я пользуюсь лицензией уже около трех лет. Скорость скачивания действительно катастрофически медленная. Особенно это заметно при новой установке или при полной переустановке, когда нужно скачивать _все_ вирусные базы. При этом скорость очень медленная независимо от версии антивируса.
При автоматических ежедневных обновлениях это не так критично и не так заметно, так как новые базы обычно небольшие по объему. -
-
- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 8:00
- ↑
- →
Ещё вопрос, если можно. Как-нибудь можно узнать на вирус-листе актуальное число именно руткитов и червей под Mac / Linux / BSD, обнаруживаемых Касперским. Когда в последний раз пытался оценить их число запутался во всяких простеньких DDoS-тулах на C, примитивных шелл-скриптах и прочей чуши, которая сама по себе появляется только после заруткичивания или взлома другим способом :)
Скажите, почему так популярны черви под Windows? Что вносит больший вклад - незащищенность платформы (по разным причинам) или больший коммерческий интерес (пусть на Unix-серверах много вкусного и широкие каналы / большие мощности, зато опасность потерять анонимность и сложность взлома?)... Ваши соображения? -
-
По-моему, возможности поискать так конкретно нет. То есть, можно выискать всех представителей конкретной операционной системы (по ключевому слову, например, Linux), но подвиды - сомнительно.
Вообще, большинство вирусов/троянов нацелены на получение коммерческой выгоды. Прежде всего, это воровство каких-либо данных, а также использование мощностей для самого разного(спам, ддос, трафик). Unix имеет такие же проблемы с безопасностью, как и Windows, просто Windows используется большинством людей. Соотв-но выгоднее организовывать те же botnets на ОС Windows, чтобы потом уже использовать их в других целях. Вирусописатели используют то, что популярно и совершенно не важно, что Unix может быть вкуснее и быстрее, экономический profit меньше. -
-
- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 8:20
- ↑
- →
1) Спасибо. Жаль.
2) "такие же проблемы" - опасная фраза :) проблемы разные, но есть у всех, скорее так. Вы натолкнули меня на ответ. Я удивлялся - проще же взломать десяток серверов на 100 мбитах, чем несколько тысяч дохлых зомби выхаживать... Зато этот десяток просуществует несколько часов, а тысячи будут лечить долго. Спасибо. -
-
"Такие же проблемы" - я имел ввиду, что нет 100% защищенной системы. У всех ОС есть дыры и любую можно взломать, было бы желание/время/знания.
Да, сейчас решаются некоторые проблемы на уровне крупных ISP.
http://www.secureblog.info/articles/407.html -
Не windows платформы слищком разнообразны. Вспомнить хотябы просто количество linux дистрибутивов. И каждый из них имеет сугубо свои уникальные дыры. И еще не известно что там пользователь дополнительно наворотил (а уж он то наворотил, это точно). Кроме того пользователи linux зачастую культурнее в плане безопасности. Кроме того благодар репозиториям объям скачиваемой информации сильно меньше. Хотя дистрибутивы типа ubuntu и прочие user-friendly представляют в такой ситуации интерес для гадов, но в целом просто невыгодно гадать какая именно система перед нами и что именно в ней уязвимо.
-
-
- i_veneno_i
- 15.02.2009 8:25
- ↑
- →
Не знаю, по Вашей части ли вопрос, но тем не менее.
Недавно на работе получили счет за очередной месяц от провайдера. Превышение лимита в 3 раза при том, что раньше никогда не превышали. Поставили на компы программу, измеряющую, сколько какая прога жрет трафика. По ее данным чуть больше половины трафика жрет касперский. В итоге цифры получаются внушительные. До службы поддержки дозвониться не смогли, поэтому спрашиваю у Вас. Нормален такой расклад вещей? Касперский и должен есть половину трафика при полной защите компьютера или здесь какая-то неполадка? -
-
Надежность антивируса зависит от актуальности вирусных баз. При активном использовании интернета (хождение, например, на сайты для взрослых) необходимо часто обновлять базы. Желательно раз в час и обновление кушает трафик. Если есть возможность, то рекомендую сменить провайдера или тариф на безлимитный. Антивирус, который не обновляется - бесполезен.
-
-
- i_veneno_i
- 15.02.2009 8:39
- ↑
- →
Обновляем по требованию самой программы, раз в три дня примерно. На сайты для взрослых точно не ходим, видео не смотрим, большие файлы не грузим. Соответственно вопрос: может ли Касперский вот так просто кушать половину дневного трафика без обновлений его в течение дня?
-
-
Мои 5 копеек.
Антивирус К встраивается в систему как прокси-сервер и пропускает через себя весь сетевой трафик. Многие программы подсчета трафика считают этот прокси-трафик как трафик самого К.
Реальный размер обновлений можно посмотреть в отчетах обновления. При включенном автоматическом обновлении он составляет обычно порядка 500К в день. -
-
- rational_rabbit
- 15.02.2009 19:21
- ↑
- →
Я знаю еще два повода для кава/киса 2009 лезть в интернет:
Если он упал, то предложит отослать заархивированный дамп памяти. (пользователь должен подтвердить это действие). Можно проверить наличие дампов в папке \all users\application data\kaspersky labs (для vista program data\kaspersky labs).
Если запускается неизвестная антивирусу программа, то ее "благонадежность" проверяется отсылкой запроса на сервер ЛК (трафик минимален, отменяется снятием галок в "настройки\параметры\обратная связь"). -
-
-
- foto_ilych
- 15.02.2009 9:43
- ↑
- →
У меня KIS2009 (полное обновление) так кушает трафик по его отчетам:
05.02.2009 - 5,3М
07.02.2009 - 964К
10.02.2009 - 567К
12.02.2009 - 609К
т.е. ~ 5-10M в месяц. -
-
-
- i_veneno_i
- 16.02.2009 0:48
- ↑
- →
тем не менее, это так... причем такое происходит впервые, раньше кушали в 4 раза меньше трафика
-
-
-
- peter_repin
- 15.02.2009 17:57
- ↑
- →
Ну так у вас каждый компьютер качает себе обновление. Нужно это делать централизованно для всей компании.
-
-
-
- rational_rabbit
- 15.02.2009 19:45
- ↑
- →
У вас есть возможность сравнить актуальную информацию из программы учета трафика со статистикой провайдера? Дело в том, что веб-антивирус пропускает через себя весь трафик для проверки на вирусы, поэтому трафик может учитываться в этой программе дважды. На реально выкачанный объем данных из интернета это не влияет. Если есть подобное расхождение в данных от провайдера и от программы, то проблема не в каспере. (За исключением ошибочного учета трафика, конечно :о)
-
-
http://temainarod.ru/feb2009/t118558094.html#t119197582
Модули необходимо обновлять также как и вирусные базы. Иначе потом можете пожалеть о своем поспешном решении. -
-
- rational_rabbit
- 15.02.2009 19:09
- ↑
- →
Для обновления файла антивирусных баз применяется специальная технология, позволяющая выкачивать из сети только "разницу" между исходным и новым файлом. Модуль обновления не знает заранее, насколько эта разница велика, поэтому в графе "размер обновлений" указана примерная цифра.
-
-
-
- archon_oleg
- 15.02.2009 18:47
- ↑
- →
а может быть написан? и именно по этому [что он самый лучший] о нем никто не знает (кроме автора естественно)
-
-
-
- r_y_b_a_k_o_v
- 15.02.2009 8:58
- ↑
- →
Простите, если впрос глупый. Слышал где-то, что вирусы не страшны компьютерам Macintosh. Это правда, или врут? )
-
-
Позволю себе процитировать информацию с сайта разработчика- Apple:
Apple одобряет широкое использование разнообразных антивирусных программ. Если создателям вирусов придется обходить больше одного приложения, это осложнит им жизнь, и сделает процесс написания вирусов более затруднительным
Данная новость бегала некоторое время на новостных сайтах :
http://www.cnews.ru/news/top/index.shtml?2008/12/01/329761 -
http://www.ozon.ru/context/detail/id/33
56624/
Здесь подробнее, чем ниже коммент. -
-
- andruxa3000
- 15.02.2009 14:08
- ↑
- →
Интересует тема названий вирусов, как они им даются, не всегда же название присутствует в "теле" вируса? Возможна ли ситуация, когда вы одному вирусу дадите два названия?
Антивирусные компании сотрудничают друг с другом, как я понял, как происходит обмен антивирусными базами, в каком виде, по каким правилам?
Почему на viruslist.com я не нахожу описания вируса (в основном описания какой-то новой модификации), а через гугл по названию, которое дает Каспер, находится, уже не помню какой-то сайт, на котором есть описания злобных действий вируса? -
-
Вирусный аналитик решает как он назовет данный конкретный экземпляр трояна, если никакое автоматическое средство не может определить к какому семейству он принадлежит. Интересные строчки, могут быть обнаружены в самом теле, иногда "поведение" или "реакция" на внешнее воздействие может дать имя. Например, найдено в одном из последних руткитов: если попытать прочесть память вирусного процесса, то вместо кода прочтем "Fuck you dumper" :)
Иногда возможна ситуация, когда у одного вируса окажется 2 названия, все мы люди - все ошибаемся.
Насчет сотрудничества, я уже писал о том, что антивирусные компании обмениваются __вирусными__ коллекциями, а не базами сигнатур.
На последний вопрос вы сами почти ответили ("новые модификации") - они на то и новые и описаний к ним еще не написано. Мы над этим работаем. -
-
- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 17:12
- ↑
- →
Нет. В число обязательных условий ещё входят:
1) своевременная установка обновлений (nightly yum), в общем-то как и везде (Windows)
2) грамотная настройка iptables (как минимум - закрыть заведомо неиспользуемые порты, как максимум - добавить что-то та state analisys), опять же как везде
3) установка как минимум двух противоруткитных пакетов
Вирусы под Linux - это руткиты и немного червей. От них надо и защищаться. -
-
-
- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 18:27
- ↑
- →
Ну так вопрос же был про ПОЛНУЮ защиту :-) - вот и ответ параноидальный. Про обновления совершенно согласен, поэтому они идут первым пунктом. В любом случае и тут руку на пульсе держать важно, а то может произойти ахтунг: https://www.redhat.com/archives/fedora-a
nnounce-list/2008-August/msg00012.html :-) -
-
-
- vanhelsing16
- 15.02.2009 17:36
- ↑
- →
Подцепил трояна, нечто вроде Trojan-Ransom.Win32.Hexzone. Это два dll с произвольным названием, прописавшиеся в IE как плагины и показывавшие рекламный блок с призывом прислать SMS для удаления. Я их вроде убил, но что-то ковырнули в TCP/IP, видимо, и теперь не могу подключиться к сети (сетевуха либо получает IP, но реально связи нет, либо (при переподключении вообще не может получить IP; сама карта точно работает). Касперский 7 и Ad-Aware ничего не видят. Можете ли Вы что-то посоветовать?
-
-
Посетите форум http://virusinfo.info/, вам там обязательно помогут или обратитесь в службу поддержки. Может что-то поломалось.
-
-
- hydrargentum
- 15.02.2009 18:15
- ↑
- →
Скажите как по вашему у кого выше квалификация у тех людей которые пишут вирусы или у тех которые их ловят?
В 00ые в вирмэйкинге был особый шик - сделать что-то неуловимое, интелектуально уложить антивирусные конторы - сейчас как я понимаю это просто очень прибыльный бизне, сколько действительно интерестных в плане архитектуры вирусов встречается сейчас?
В какую сторону двигаются вирусописатели ? -
-
Сбором квалификационной статистики мы не занимаемся, специалисты есть и на темной стороне. В антивирусных компаниях работают спецы высокой квалификации :) Иногда, встречаются действительно интересные вирусные решения, но их слава богу, не так много. Например, bootkit, rustock.c
Прогнозы можно посмотреть тут - http://www.viruslist.com/ru/analysis?pubid=204007645
Я считаю, что все рано или поздно возвращается, забытые техники возрождаются и используются вновь. -
Не все так плохо, как кажется. Кстати, все предупреждали, что надо поставить патч.
http://secureblog.info/articles/422.html
http://secureblog.info/articles/395.html -
я позволю себе сильно с вами не согласиться
1) ОС нужно писать более безопасными. То есть проектировать изначально с вирусоустойчивостью на самых низких уровнях, принципиально. Linux и MacOS - пример, по сравнению с Win
2) автообновление как основной принцип работы софта. Google Chrome - пример
компьютерная грамотность будет не увеличиваться, а уменьшаться -
1) Ошибочно полагать, что *nix и MacOS вирусоустойчивы. Я уже отвечал на это где-то выше, пока что экономически не очень выгодно их заражать (ситуация с Mac'ами меняется в худшую сторону). Написать ОС - непростое дело, особенно учесть все нюансы.
2) Я только ЗА грамотную политику доставки обновлений, к сожалению, многие софтверные гиганты обходят этот вопрос стороной.
Про грамотность могу сказать, что необходимо больше статей, семинаров и т.п. Сейчас эта отрасль активно развивается. -
1) я не говорю про вирусоустойчивость, мы друг друга не поняли
просто насколько мне известно Win* (особенно до висты) спроектировано настолько безобразно, что залезть в неё вирусам не составляет труда
2) камень в них. зато есть плюсы - вам есть работа :) к каждому компьютеру по-хорошему поставить антивирус и файрволл, вон какой рынок вырастает!
3) у меня мнение противоположное. нужны не статьи и семинары (движение "к компьютеру"), а наоборот - более простой софт, более надежный
Web2.0, WebOS и SaaS - движения в правильном направлении -
> ликвидация безграмотности населения
вы видите, сколько людей уже не пользуются электронной почтой, потому что вконтакте и одноклассники для них - синоним интернета? 10 лет назад таких пользователей не было в принципе, сейчас их - большинство. завтра интернет будет "из телефона"... технологии идут к народу, а не наоборот :) -
> Ну вообще я к тому клоню, что все средства для обеспечения стабильной работы есть уже давно.
Согласен. Они есть с момента появления первых компьютеров. Даже на ламповых компьютерах можно работать "стабильно". Вопрос в том, какое количество пользователей могут работать так.
> Тут уже вопрос не в проектировке, а донесении этих средств до пользователей.
У меня другая точка зрения.
Не пользователь должен идти "к компьютеру", а компьютер "к пользователю". -
-
- archon_oleg
- 15.02.2009 18:52
- ↑
- →
наверняка вы знаете человека по имени Крис Касперски, он же мыщъх; и тогда вы наверняка знаете его отношение ко всем антивирусам. а что вы думаете по этому поводу? так ли необходимо наличие антивируса на машине? или это больше реклама?
-
-
Windows XP SP3, браузер - IE, настройки в целом по дефолту.
У меня на компьютере никогда не стоял антивирус. Обхожусь предложенным по дефолту набором: брандмауэр Windows и Windows Defender. Ну и бэкапы, понятно. Раз в год запускаю бесплатный Avira AntiVir для успокоения совести, он благополучно ничего не находит. По долгу службы много хожу по разным софтовым сайтам (часто неизвестным), скачиваю и устанавливаю довольно много неизвестных науке программ.
Последний живой вирус я видел в 2003-м году, это был w32.Blaster.worm.
При этом я регулярно натыкаюсь на мнения, что, дескать, Касперский (или любой другой антивирус, но на Касперский встречаю больше жалоб - возможно, просто в силу его большей доступности) тормозит систему, вешает ее, программы открываются по полторы минуты или не открываются вообще и т.д., и т.п. - с моей точки зрения, наносит вреда куда больше, нежели любой вирус.
Вопросы:
1. При дефолтном XP + апдейты + брандмауэр + Windows Defender вероятность пострадать от вируса действительно крайне мала или я просто очень везучий сукин сын?
2. Если вероятнось получить вирус крайне мала, то стоит ли при таком раскладе ставить антивирус, вреда от которого подчас будет больше?
3. Можно ли сказать, что антивирусы - это для массовых сервисов и корпоративных клиентов, а домашним пользователям такое счастье ни к чему? -
1. Вам действительно очень везет, однако, если пользоваться некоторыми правилами при серфинге в интернет, то риск можно минимизировать. Хождение по легальным сайтам вас не спасет, очень часто эти легальные сайты даже не знают, что инфицированы. Вот скажите, вы ведь сидите под админскими правами? :)
2. Проблемы со скоростью остались в прошлом, сейчас громадное внимание уделяется скорости работы антивируса, KIS продвинулся в этом очень далеко.
3. Нет, это ошибочное мнение. -
1. Тормоза закончились в 6ой версии. Необходимо найти компромисс между защитными функциями и потреблением ресурсов.
2. Я не знаю, решать вам - пользователю :)
3. Поставить непопулярную операционную систему. Шучу :). Есть несколько правил, к вышеперечисленному могу добавить - работать под ограниченной учетной записью, делать бэкап системы и важных данных, не посещать сомнительные ресурсы в интернет, пользоваться альтернативными браузерами, не открывать вложений в письмах не подумав (как детям - не общаться с незнакомыми дядями на улице) и т.п. -
ну вот у меня система полетела в конце января, хотя защита вся лицензионная, с обновлениями, потом мне конечно рассказали, что это все не важно и можно с супер защитой полететь. в общем это был троян, который мне как-то через mIRC кинули, хотя программе было 3 часа, и сидела и в ней разбиралась. вообще слышала, что в тот день очень много кто упал.
вот такой вопрос вспомнила. мне рассказали про так называемый "чернобыльский вирус", который придумали украинцы и который ни один антивирус поймать не может уже много лет. и что даже если просто система активна и подключена к интернету, то вирус ловится. 26 апреля компьютер не включать? -
Чернобыльский вирус, также известный как CiH уже никому ничего не сделает. Он работает под Windows 95. В живой природе вероятность встретить минимальна. Ловится и лечится всеми известными антивирусами.
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=19775 -
на каком языке программирования обычно пишутся вирусы ?
насколько они сложны в написании ? (по вашей оценка какова квалификация авторов (в среднем), из скольких строк кода они обычно состоят (в среднем)) ?
откуда появляются новые вирусописатели ? (разве существуют сайты с информацией о том как писать вирусы) -
1. Известные, современные - C/C++, Delphi, VB. Asm практически не встречается.
2. Исходные тексты не предоставляют, засранцы :)) Но, обычно это небольшая программа.
3. Сайты подобной тематики существуют, статьи и прочее. Появляются из программистов или начинают сразу с вирусов.
Многое есть в книге http://www.ozon.ru/context/detail/id/3356624/ -
Уважаемый вирусный аналитик,
пользуясь случаем, хотелось бы задать Вам несколько вопросов.
Начнем по порядку:
Я считаю, что домашние антивирусы отмирают как класс. Потому что антивирус выполняется как правило с суперпривилегиями, но и вирусный (троянский) код также (так как запущен в контексте суперпользователя - administrator). Согласитесь, 99% домашних (и некоторое количество офисных) пользователей работают без ограничений (конечно, при словах "без ограничений" имеется ввиду с точки зрения юзермода, но при желании, можно побороть и этот момент). Также, оба этих приложения (AV и VX) стартуют, устанавливают свои хуки функций апи и т.п. Вопрос только в том, кто первым стартует (дрова не в счет). Я также могу навскидку назвать десять способов разработки приложения, которое может содержать adware код, но при этом останется незамеченным любым антивирусом, даже будучи загруженным интерактивным пользователем.
В связи с этим вопросы:
1) Какие бы советы Вы бы дали домашним пользователям как разработчик AV средств;
2) Какова перспектива развития AV средств далее с учетом абзаца выше, как ее видите Вы;
Спасибо. -
Позволю с вами не согласиться. Все дело в том, что предотвратить заражение не удастся на 100% удаленно. Взять для примера сменные носители или что-то, что обходит фильтры на стороне, допустим, провайдера. Все, заражение произошло.
С проблемой работы в одном кольце привилегий я согласен, однако, любой уважающий себя антивирус имеет компоненту On Access, которая работает в привилегированном режиме ядра. И имеет приоритет при установленном антивирусе.
Поведайте тайну про 10 способов, пожалуйста :) Не очень понял, что вы имеете ввиду.
1. Пользоваться домашними антивирусами и фаерволлами, использовать ограниченную учетную запись, делать бэкапы и т.п. Стандартный набор советов, которые все итак знают.
2. AV индустрия уже учитывает многое из того, что написано выше. Сейчас активно внедряются и разрабатываются SaaS/In The Cloud и часть работы по защите переходит с мощностей пользователя на мощности провайдера услуг или антивирусного вендора. Представьте, какой мощный эвристический движок можно внедрить на стороне пользователя, а сравнение с громадной базой данных на стороне провайдера через интернет. Или те же технологии "белого списка", которые уже работают именно так. Мне кажется, что вендоры будут двигаться в этом направлении.
Плюс ко всему активно будут развиваться инструменты противодействия активному заражению (т.е. когда антивирус поставлен не был вовсе, а заражение надо вылечить). -
-
- mazdavorot
- 15.02.2009 23:50
- ↑
- →
Может ли программа Traffic Inspector на сервере кратковременно блокировать доступ клиентских машин к интернену, из-за того что якобы на ВСЕХ клиентских машинах вирус-троян?? Или это админы криворукие сетку не могут наладить??
-
-
здравствуйте.
у меня лицензионная версия на двух компьютерах. переустановила windows на одном-теперь не могу установить антивирус -он блокирует интернет и не обновляется, выскакивает ошибка приложения, потом вообще сам отключается.
на втором недавно тоже перестал обновляться и отключился.
что делать ? это вирус? -
Вы невнимательно искали.
http://www.viruslist.com/en/weblog?weblogid=208187621
http://www.viruslist.com/ru/weblog- вторая запись сверху -
Какая сейчас ситуация с вирусами, которые прописываются в autorun.inf? Я ловил много раз тот, который делает копии ctfmon.exe в корзинах и каждый раз себя прописывает на всех дисках, локальных и сменных. Больше ничего вредного не делает.
Вопрос - но ведь мог бы? Это же какая эпидемия может начаться, если появится менее безобидный аналог? Далеко не у всех же отключен хотя бы автозапуск.