Февральский фуршет

- sww_
- 15.02.2009 6:31
- →
Вирусный аналитик, разработчик "Лаборатории Касперского".

- alex_ks
- 15.02.2009 6:35
- ↑
- →
правда что вирусные аналитики могут читать код программы открыв exe в фаре в хексе?

- sww_
- 15.02.2009 6:40
- ↑
- →
В общем случае - нет, однако, определить что это вирус можно за несколько секунд даже не смотря в хексе (строчки, структуры и т.п.) :) Зависит от опыта работы.

- alex_ks
- 15.02.2009 6:46
- ↑
- →
просто из детства запомнилась картинка по ящику где сидит какойто умный дядка, судя по титрам ваш коллега по конторе, сидит и тычет в какой-то текст со соловами "вот он, вирус". С тех пор мучался вопросом. Хотя сам в свое время программы для микроконтроллеров так редактировал, но сильно сомневался что такое возможно для сложно архитектуры современных pc.

- sww_
- 15.02.2009 6:52
- ↑
- →
С опытом приходит и знание. То есть, это примерно как смотреть на фотографии различных растений. Ваш мозг мгновенно относит изображение к растениям т.к. вы это знаете.

- alex_ks
- 15.02.2009 6:56
- ↑
- →
а вобще почему вирусный аналитик? Это выросло из увлечения реверс-инженирингом, или началось с написания самих вирусов, или просто в свое время попался умный наставник который смог приобщить и научить?

- sww_
- 15.02.2009 7:03
- ↑
- →
Reverse engineering. Вырос в вирусного аналитика, теперь выучил язык программирования Си :) и дорос до разработчика.

- bigusmax
- 15.02.2009 15:57
- ↑
- →
.com или .exe вирус в большинстве случаев записывается в конец файла (бывает и в начало, но реже), поставив из заголовка переход на свой код с возвратом в код зараженной программы после выполнения своих действий. Таким образом, открыв файл по кнопке F3 в фаре (в те времена вообще-то актуален был волков коммандер или нортон) и перейдя в конец - код вируса отлично виден. Причем не нужен тут никакой HEX режим, обычный символьный достаточен. Концовка незараженного exe файла типична, если файл не упакован какими-нибудь upx-ами, таким образом плотный вирусный код в конце отчетливо виден. Можно оценить размер, а наметанным взглядом и название вируса, если сейчас эпидемия и его код на виду и на слуху у вирусолога.

- gotli
- 15.02.2009 21:42
- ↑
- →
ошибка svchost.exe выскакивает "случайным образом" (память не может быть written) т е даже когда комп просто простаивает, стоит KAV7, XPSP2. Нажатие ок или отмена - пропадает интернет.
Никакие обновления и проверки ситуацию не изменили.
Чем может быть вызвана такая ошибка?

- sww_
- 15.02.2009 21:46
- ↑
- →
Много чем. Почему у вас SP2, когда уже у всех SP3? Обновитесь, скачайте бесплатную программу, например, AVP Tool и проверьте весь компьютер или обратитесь в службу поддержки.

- gotli
- 15.02.2009 21:49
- ↑
- →
sorry
SP3

- nataein
- 16.02.2009 4:52
- ↑
- →
Я тоже самое лечила с пару месяцев назад, Касперыч ничего не обнаруживал. Гуглением был найден рецепт лечения - установка патчей KB921883, KB923414, KB924270, KB958644.

- whiet
- 15.02.2009 6:35
- ↑
- →
запустил по дурости какой-то левый ЭКЗешник. теперь половина сайтов в браузере (и в Фаерфокс, и в Эксплорере, и в Сафари) не грузятся. выдают, что страница не найдена. если пару (и больше) раз нажать на F5, все открывается. в общем, не сразу сайты загружаются.

- whiet
- 15.02.2009 6:35
- ↑
- →
ай м сорри, вопрос вот в чем: что за вирус такой? сканировал - не помогло.

- sww_
- 15.02.2009 6:43
- ↑
- →
Могу отослать в службу поддержки :), т.к. я все-таки не телепат и по внешним признакам сделать какой-либо вывод не могу. Вирусов в мире очень много и все разные.

- ribadima
- 15.02.2009 6:35
- ↑
- →
Откуда берутся ключи к касперскому, которые через месяц-три попадают в блэклист? Можно ли их генерить? Как с куканами боретесь?

Сколько убытков доставляют нелицензионные пользователи?

- sww_
- 15.02.2009 6:39
- ↑
- →
Обычно воруются у других, генерить их смысла мало, т.к. проверка ключа происходит на сервере обновлений. Порядок убытков я не знаю, но ситуация меняется в лучшую сторону (стали покупать лицензию, даже в России).

- alaricy
- 15.02.2009 6:42
- ↑
- →
почему полярный волк? :)

- sww_
- 15.02.2009 6:45
- ↑
- →
Так повелось с детства, когда выбирал себе "аватар" (в то время это слово не было таким популярным в рунете).

- skovalyov
- 15.02.2009 22:25
- ↑
- →
В каких странах наилучшая динамика продаж в это непростое время?

- sww_
- 16.02.2009 4:05
- ↑
- →
Я не продажник, я разработчик :)

- kukalyakin
- 15.02.2009 6:38
- ↑
- →
Что за хрень — любой установленный на компьютере браузер открывает рекламные окна. Это явно какой-то вирус, но KIS2009 его не видит.

- sww_
- 15.02.2009 6:43
- ↑
- →
http://temainarod.ru/feb2009/t118558094.html#t118654094

- kukalyakin
- 15.02.2009 6:51
- ↑
- →
Хм.

ВинВиста сп1 русская Ультимейт. Браузеры — IE7, FF3, Опера 9.
Открывается сайты с рекламой, в адресах как правило есть сайт goole.ws (именно так).

- sww_
- 15.02.2009 6:55
- ↑
- →
Сдается мне, что у вас fake-антивирус или adware. Посетите форум http://virusinfo.info/, вам там обязательно помогут.

- vinslivins
- 15.02.2009 6:45
- ↑
- →
два вопроса на выбор)

когда перестанут добавлять ложные срабатывания на кряки?

либо

сколько вы за это получаете?) (за один кряк)

- sww_
- 15.02.2009 6:47
- ↑
- →
Отвечу на оба:

1) Ложные срабатывания на кряки добавляются обычно роботом (автоматически) или срабатывает эвристический механизм на подозрительный упаковщик.

2) Нисколько.

- vinslivins
- 15.02.2009 6:52
- ↑
- →
я просто не понимаю, что должен делать безобидный кейген, чтобы дать ложное срабатывание.

неужели считывание каких-нибудь айдишников хардов, процессора или чего-то ещё - это опасно?..

(всё равно, спасибо за ответ :)

- sww_
- 15.02.2009 6:58
- ↑
- →
Мне попадались кейгены, которые заодно были еще и downloader'ами. Обычно ошибка все-таки из-за упаковщика. Часто упаковщики подразделяют на 2 вида: коммерческие и вирусные. Бывает, что кейгены упакованы самодельными упаковщиками и это подозрительно.

- vinslivins
- 15.02.2009 7:09
- ↑
- →
а. вспомнил реальный волнующий вопрос. не знаю, кого спросить)

где-то в компьютерре давно писали, что сделали алгоритм автоматической генерации эксплоитов по анализу патчей на программный продукт, и эта продемонстрированная система якобы работает.

вопрос - это полный капец, или раз ещё ничего с тех пор не стряслось и не слышно, то э.. не знаю, где-то ошиблись, или там - "паранойя это плохо") ?

и ещё вопрос - есть ли где-нибудь исследование, какова доля заражённых систем, на которых антивирусы по каким-то причинам ничего не находят?

то есть (я неспециалист), варианты я так понимаю:

- антивирусы (например касперский) так хорошо написаны, что обнаружат любые вирусы, если они есть в базах

- есть какие-то вирусы, которые устроены так, что их уже никак не обнаружить после активации
(если да, то как много таких замечательных программ?)

(и какие самые продвинутые средства - например в WinXP - они используют?)

- sww_
- 15.02.2009 7:18
- ↑
- →
1) Да, вполне реально реализовать систему, которая будет определять наличие уязвимости сравнивая пропатченный модуль и непропатченный. Идея основывается на сравнении двух графов (см. как пример BinDiff). За полностью автоматический режим я не ручаюсь, так что скорее - это параноя :)

2) Исследования такие врядли возможны. Насчет обнаружения могу сказать, что есть отдельный подвид вирусов - руткиты. Они могут скрывать свое присутствие в системе. С ними случаются проблемы. Руткиты популярны и используются довольно часто. Таким образом, ситуация вполне реальна (есть в базах, но не ловим). Обычно используется перехват системных функций, процедур драйверов файловой системы и т.п.

- polek
- 15.02.2009 6:52
- ↑
- →
У меня на компе сидит вирус Brontok.a
Я прочитала, что касперский его находит и успешно колбасит.
Но, когда я хочу скачать с вашего сайта триал, то комп уходит в перезагрузку. Это из-за вируса?
Как мне теперь его победить,есть варианты для не особо опытных юзеров? :)

- sww_
- 15.02.2009 7:01
- ↑
- →
Обратитесь в службу поддержки (если антивирус лицензионный) или на сайт http://virusinfo.info/. Обязательно укажите, что у вас на компьютере именно этот вирус и вам помогут.

Его описание - http://www.viruslist.com/ru/viruses/encyclopedia?virusid=96428

Цитирую:

"Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry"

- vinslivins
- 15.02.2009 7:16
- ↑
- →
:)
ну и да - какая у вас там всех квалификация (те, кто анализирует вирусы) - все суперкрутые хакеры и огромный стаж ассемблера?

гм) и есть ли какие-нибудь курсы по созданию "продуктов", нетрадиционно использующих операционную систему и собственный код - с целью защиты от взлома, или там защиты от вирусов, ну и подобных вещей

- sww_
- 15.02.2009 7:21
- ↑
- →
Квалификация у всех разная. Есть крутые хакеры, есть не очень :)

Про подобные курсы я не в курсе, во всяком случае в России. Про нетрадиционное использование ОС - www.rootkit.com и т.п.

- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 7:49
- ↑
- →
Лицензионный пользователь Касперского. Скажите, вы не в курсе, почему так медленно скачиваются обновления (1-3 килобайта в секунду), эта проблема только у меня или нет? Каналы разные, что на 10 килобайтах, что на 10 мегабитах, что в России, что в командировках, - та же история. Интересует именно ваше мнение изнутри, т.к. читал в интервью с Касперским его ответ, что дело в нелицензионных пользователях, которые перегружают сервера. Есть бооольшие сомнения, т.к. имею прямое отношение к вебу, однако думать дальше имеет смысл зная объемы трафика. Это конфиденциальная информация?

P.S. Пользуюсь настолько редко, что писать в ТП и т.п. не вижу выгоды :) увидел сообщение - решил спросить.

- sww_
- 15.02.2009 7:57
- ↑
- →
Рекомендую все-таки обратиться в Службу Поддержки, т.к. это ненормально. Перегружают сервера обновлений как лицензионные, так и нелицензионные пользователи. Все скачивают обновления, а пропускная способность каналов и нагрузка на сервера - ограничена.

У меня у самого на домашнем и на ноутбуке стоит KIS, проблем со скоростью обновлений я не замечал, за исключением некоторого начального момента, когда скачивается файл, в котором находится информация о том, что необходимо обновлять. Может быть ошибка в функции считающей скорость? :)

Объемы трафика - конфиденциальная информация.

- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 8:07
- ↑
- →
Спасибо большое за ответ! Скоро может жизнь заставать длительное время жить под Windows, видимо обращусь, раз это не нормально.

У меня KAV6, такую версию купили на работе, не знаю, могу ли я обновиться на более новую версию (можно ли это пока действует лицензия) и нужно ли (принесет ли большую скорость работы) :) Использую на ноутбуке hp dv2000t (2x1.8 Ghz / 32bit, 2 Gb RAM).

- sww_
- 15.02.2009 8:13
- ↑
- →
Лучше перейти на KIS 2009. Быстрее и смысл есть (начинка круче). Насчет бонусов при переходе на новую версию можно узнать на сайте или у продажников, я немного далек от этого :)

- foto_ilych
- 15.02.2009 9:32
- ↑
- →
Тоже заметил - был KIS6 поставил KIS2009 - обновления стали очень медленно скачиваться и на десктопе и на ноуте.
- _sudar
- 15.02.2009 15:23
- ↑
- →
Я пользуюсь лицензией уже около трех лет. Скорость скачивания действительно катастрофически медленная. Особенно это заметно при новой установке или при полной переустановке, когда нужно скачивать _все_ вирусные базы. При этом скорость очень медленная независимо от версии антивируса.

При автоматических ежедневных обновлениях это не так критично и не так заметно, так как новые базы обычно небольшие по объему.

- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 8:00
- ↑
- →
Ещё вопрос, если можно. Как-нибудь можно узнать на вирус-листе актуальное число именно руткитов и червей под Mac / Linux / BSD, обнаруживаемых Касперским. Когда в последний раз пытался оценить их число запутался во всяких простеньких DDoS-тулах на C, примитивных шелл-скриптах и прочей чуши, которая сама по себе появляется только после заруткичивания или взлома другим способом :)

Скажите, почему так популярны черви под Windows? Что вносит больший вклад - незащищенность платформы (по разным причинам) или больший коммерческий интерес (пусть на Unix-серверах много вкусного и широкие каналы / большие мощности, зато опасность потерять анонимность и сложность взлома?)... Ваши соображения?

- sww_
- 15.02.2009 8:10
- ↑
- →
По-моему, возможности поискать так конкретно нет. То есть, можно выискать всех представителей конкретной операционной системы (по ключевому слову, например, Linux), но подвиды - сомнительно.

Вообще, большинство вирусов/троянов нацелены на получение коммерческой выгоды. Прежде всего, это воровство каких-либо данных, а также использование мощностей для самого разного(спам, ддос, трафик). Unix имеет такие же проблемы с безопасностью, как и Windows, просто Windows используется большинством людей. Соотв-но выгоднее организовывать те же botnets на ОС Windows, чтобы потом уже использовать их в других целях. Вирусописатели используют то, что популярно и совершенно не важно, что Unix может быть вкуснее и быстрее, экономический profit меньше.

- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 8:20
- ↑
- →
1) Спасибо. Жаль.

2) "такие же проблемы" - опасная фраза :) проблемы разные, но есть у всех, скорее так. Вы натолкнули меня на ответ. Я удивлялся - проще же взломать десяток серверов на 100 мбитах, чем несколько тысяч дохлых зомби выхаживать... Зато этот десяток просуществует несколько часов, а тысячи будут лечить долго. Спасибо.

- sww_
- 15.02.2009 8:25
- ↑
- →
"Такие же проблемы" - я имел ввиду, что нет 100% защищенной системы. У всех ОС есть дыры и любую можно взломать, было бы желание/время/знания.

Да, сейчас решаются некоторые проблемы на уровне крупных ISP.
http://www.secureblog.info/articles/407.html

- alex_ks
- 15.02.2009 19:22
- ↑
- →
Не windows платформы слищком разнообразны. Вспомнить хотябы просто количество linux дистрибутивов. И каждый из них имеет сугубо свои уникальные дыры. И еще не известно что там пользователь дополнительно наворотил (а уж он то наворотил, это точно). Кроме того пользователи linux зачастую культурнее в плане безопасности. Кроме того благодар репозиториям объям скачиваемой информации сильно меньше. Хотя дистрибутивы типа ubuntu и прочие user-friendly представляют в такой ситуации интерес для гадов, но в целом просто невыгодно гадать какая именно система перед нами и что именно в ней уязвимо.

- fallfall
- 15.02.2009 8:00
- ↑
- →
правда ли, что в компаниях, которые занимаются антивирусным софтом, существуют специальные отделы по написанию и распространению вирусов [а то что же делать, когда все вирусы наконец-то будут вылечены]? )

- sww_
- 15.02.2009 8:11
- ↑
- →
Нет, это неправда. Этому мифу уже много-много лет.

Все вирусы будут вылечены ровно в Последний День или в день Апокалипсиса :)

- moscvitch
- 15.02.2009 8:24
- ↑
- →
Откуда вы оперативно узнаете о новых вирусах?

- sww_
- 15.02.2009 8:28
- ↑
- →
Есть разные источники: пользователи, автоматические сборщики (honey pot, специально "запаленные" email'ы для вирусов и спама), обмен коллекциями с другими антивирусными компаниями, базы ссылок на обновляющиеся вирусы, virus trader'ы, ссылки в вирусах и эксплоитах и многое другое.

- i_veneno_i
- 15.02.2009 8:25
- ↑
- →
Не знаю, по Вашей части ли вопрос, но тем не менее.

Недавно на работе получили счет за очередной месяц от провайдера. Превышение лимита в 3 раза при том, что раньше никогда не превышали. Поставили на компы программу, измеряющую, сколько какая прога жрет трафика. По ее данным чуть больше половины трафика жрет касперский. В итоге цифры получаются внушительные. До службы поддержки дозвониться не смогли, поэтому спрашиваю у Вас. Нормален такой расклад вещей? Касперский и должен есть половину трафика при полной защите компьютера или здесь какая-то неполадка?

- sww_
- 15.02.2009 8:32
- ↑
- →
Надежность антивируса зависит от актуальности вирусных баз. При активном использовании интернета (хождение, например, на сайты для взрослых) необходимо часто обновлять базы. Желательно раз в час и обновление кушает трафик. Если есть возможность, то рекомендую сменить провайдера или тариф на безлимитный. Антивирус, который не обновляется - бесполезен.

- i_veneno_i
- 15.02.2009 8:39
- ↑
- →
Обновляем по требованию самой программы, раз в три дня примерно. На сайты для взрослых точно не ходим, видео не смотрим, большие файлы не грузим. Соответственно вопрос: может ли Касперский вот так просто кушать половину дневного трафика без обновлений его в течение дня?

- sww_
- 15.02.2009 8:48
- ↑
- →
Если он не обновляется, то не может. Значит он обновляется. Базы или модули - одно из двух.

- i_veneno_i
- 15.02.2009 8:51
- ↑
- →
Спасибо.

- outcomer
- 16.02.2009 3:23
- ↑
- →
Мои 5 копеек.

Антивирус К встраивается в систему как прокси-сервер и пропускает через себя весь сетевой трафик. Многие программы подсчета трафика считают этот прокси-трафик как трафик самого К.
Реальный размер обновлений можно посмотреть в отчетах обновления. При включенном автоматическом обновлении он составляет обычно порядка 500К в день.

- rational_rabbit
- 15.02.2009 19:21
- ↑
- →
Я знаю еще два повода для кава/киса 2009 лезть в интернет:

Если он упал, то предложит отослать заархивированный дамп памяти. (пользователь должен подтвердить это действие). Можно проверить наличие дампов в папке \all users\application data\kaspersky labs (для vista program data\kaspersky labs).

Если запускается неизвестная антивирусу программа, то ее "благонадежность" проверяется отсылкой запроса на сервер ЛК (трафик минимален, отменяется снятием галок в "настройки\параметры\обратная связь").

- foto_ilych
- 15.02.2009 9:43
- ↑
- →
У меня KIS2009 (полное обновление) так кушает трафик по его отчетам:
05.02.2009 - 5,3М
07.02.2009 - 964К
10.02.2009 - 567К
12.02.2009 - 609К

т.е. ~ 5-10M в месяц.

- i_veneno_i
- 15.02.2009 15:05
- ↑
- →
а у нас по 200мб в день... понятно, будем искать проблему дальше

- aghastt
- 15.02.2009 16:55
- ↑
- →
200Мб в день это нереально, это как если бы он несколько раз подряд полностью свои базы обновлял

- i_veneno_i
- 16.02.2009 0:48
- ↑
- →
тем не менее, это так... причем такое происходит впервые, раньше кушали в 4 раза меньше трафика

- peter_repin
- 15.02.2009 17:57
- ↑
- →
Ну так у вас каждый компьютер качает себе обновление. Нужно это делать централизованно для всей компании.

- i_veneno_i
- 16.02.2009 0:51
- ↑
- →
это вариант...спасибо

- rational_rabbit
- 15.02.2009 19:45
- ↑
- →
У вас есть возможность сравнить актуальную информацию из программы учета трафика со статистикой провайдера? Дело в том, что веб-антивирус пропускает через себя весь трафик для проверки на вирусы, поэтому трафик может учитываться в этой программе дважды. На реально выкачанный объем данных из интернета это не влияет. Если есть подобное расхождение в данных от провайдера и от программы, то проблема не в каспере. (За исключением ошибочного учета трафика, конечно :о)

- apml
- 15.02.2009 8:28
- ↑
- →
Почему специальная утилита для удаления восьмого каспера не удаляет его? Пишет, что удаление завершено, но Эф-Секьюр ругается на то, что каспер все еще присутствует? (Win XP Home)

- sww_
- 15.02.2009 8:34
- ↑
- →
Что за утилита, где вы ее скачали? Если это наша разработка, то необходимо обратиться в службу поддержки.

- luckynoob
- 15.02.2009 8:34
- ↑
- →
скажите, если пользователь антивируса Касперского поставит в настройках "не обновлять модули", чем это грозит?

- sww_
- 15.02.2009 8:37
- ↑
- →
http://temainarod.ru/feb2009/t118558094.html#t119197582

Модули необходимо обновлять также как и вирусные базы. Иначе потом можете пожалеть о своем поспешном решении.

- luckynoob
- 15.02.2009 8:38
- ↑
- →
а вот только что обновлял антивирусные базы. расклад такой: размер обновлений - 1,9Мб ; Трафик - 1Мб. Как так?

- sww_
- 15.02.2009 8:43
- ↑
- →
Не знаю, честно :) "Видимо что-то случилось".

- luckynoob
- 15.02.2009 8:47
- ↑
- →
и прикол в том, что это я наблюдаю каждый раз при обновлении баз Касперского. Может разработчики просто не в курсе? =)

- sww_
- 15.02.2009 8:49
- ↑
- →
Думаю, этому есть логичное объяснение. Это просто я не в курсе :)

- aoneko
- 15.02.2009 18:27
- ↑
- →
Скорее всего первое - размер реальный, второе заархивированный для уменьшения трафика.

- luckynoob
- 15.02.2009 18:38
- ↑
- →
да ну... какое архивирование, обновляюсь прямо из касперского =)

- aoneko
- 16.02.2009 11:12
- ↑
- →
Даже форумы сжимают свои странчки с помощью gzip, а браузер их разархивирует и показывает. Древние модемы текстовые файлы жали. В начале же обновления с каспера качается куча xml-файлов (по сути текстовых).

- rational_rabbit
- 15.02.2009 19:09
- ↑
- →
Для обновления файла антивирусных баз применяется специальная технология, позволяющая выкачивать из сети только "разницу" между исходным и новым файлом. Модуль обновления не знает заранее, насколько эта разница велика, поэтому в графе "размер обновлений" указана примерная цифра.

- toface
- 15.02.2009 8:39
- ↑
- →
А правда что самый лучший вирус это антивирус Касперского?

- sww_
- 15.02.2009 8:45
- ↑
- →
Самый лучший вирус еще не написан.

- archon_oleg
- 15.02.2009 18:47
- ↑
- →
а может быть написан? и именно по этому [что он самый лучший] о нем никто не знает (кроме автора естественно)

- r_y_b_a_k_o_v
- 15.02.2009 8:58
- ↑
- →
Простите, если впрос глупый. Слышал где-то, что вирусы не страшны компьютерам Macintosh. Это правда, или врут? )

- sww_
- 15.02.2009 9:03
- ↑
- →
Теперь Macintosh - это x86 платформа, так что вирусы под него будут написаны и уже написаны, правда пока очень мало :)

Некоторые вендоры выпустили свои версии антивирусов под Macintosh.

- arkanoid
- 16.02.2009 7:45
- ↑
- →
писать вирусы под x86 не сложнее и не проще, чем под ppc. Это никак не связано.

- tpars
- 15.02.2009 9:04
- ↑
- →
Врут. Вирусы всем страшны, но на Мак их, вроде бы, сложнее посадить, а кроме того, Маков по сравнению с PC мало, поэтому вирусописателям они нафик не сдались.
- murdya
- 15.02.2009 20:41
- ↑
- →
Позволю себе процитировать информацию с сайта разработчика- Apple:
Apple одобряет широкое использование разнообразных антивирусных программ. Если создателям вирусов придется обходить больше одного приложения, это осложнит им жизнь, и сделает процесс написания вирусов более затруднительным

Данная новость бегала некоторое время на новостных сайтах :
http://www.cnews.ru/news/top/index.shtml?2008/12/01/329761
- tarti
- 15.02.2009 21:50
- ↑
- →
работала на маках с 1995г по 2008г. сейчас на pc. после лет безмятежной работы я вдруг узнала, что такое вирусы. пришлось осваивать методы борьбы ) жду, не дождусь пересесть за мак.
- winnukem
- 16.02.2009 5:23
- ↑
- →
тсссс, только не говорите ничего про Linux

- suomi_omi
- 15.02.2009 9:30
- ↑
- →
Что было с трояном для Mac OS X, который распространялся с iWork'09. Его кто-нибудь видел кроме людей которые статью написали? Я сам качал с торрентов iWork небыло ничего подобного, после статьи поспрашивал у людей, тоже никто не видел.

- sww_
- 15.02.2009 18:54
- ↑
- →
http://secureblog.info/articles/403.html

:)

- sukor
- 15.02.2009 9:54
- ↑
- →
Расскажите пожалуйста, часто ли бывают заражены кряки к программам и какой смысл кому-то эти кряки распространять, для создания ботнетов?

И ещё интересно для чего чаще пишут вирусы, ради удовольствия или с коммерческой целью?

- sww_
- 15.02.2009 17:53
- ↑
- →
Да, частенько бывают зараженные кряки к программам. Смысл в том, чтобы заразить вашу машину, причем неважно чем.

Вирусы теперь пишут только ради коммерческой выгоды. "Чистое искусство" уже никого не интересует.

- fl0st
- 15.02.2009 22:38
- ↑
- →
Можно подробнее про коммерческую выгоду?
Кто кому платит и в чем интерес "темной" стороны.

- ichthuss
- 15.02.2009 23:43
- ↑
- →
Самые распространенные варианты — рассылка спама или DDoS-атаки из сети зараженных машин (ботнетов). Вообще, ресурсы машин можно эксплуатировать для разных целей, например, для распределенного взлома пароля.
- sww_
- 16.02.2009 4:11
- ↑
- →
http://www.ozon.ru/context/detail/id/3356624/

Здесь подробнее, чем ниже коммент.

- andruxa3000
- 15.02.2009 14:08
- ↑
- →
Интересует тема названий вирусов, как они им даются, не всегда же название присутствует в "теле" вируса? Возможна ли ситуация, когда вы одному вирусу дадите два названия?

Антивирусные компании сотрудничают друг с другом, как я понял, как происходит обмен антивирусными базами, в каком виде, по каким правилам?

Почему на viruslist.com я не нахожу описания вируса (в основном описания какой-то новой модификации), а через гугл по названию, которое дает Каспер, находится, уже не помню какой-то сайт, на котором есть описания злобных действий вируса?

- sww_
- 15.02.2009 18:03
- ↑
- →
Вирусный аналитик решает как он назовет данный конкретный экземпляр трояна, если никакое автоматическое средство не может определить к какому семейству он принадлежит. Интересные строчки, могут быть обнаружены в самом теле, иногда "поведение" или "реакция" на внешнее воздействие может дать имя. Например, найдено в одном из последних руткитов: если попытать прочесть память вирусного процесса, то вместо кода прочтем "Fuck you dumper" :)

Иногда возможна ситуация, когда у одного вируса окажется 2 названия, все мы люди - все ошибаемся.

Насчет сотрудничества, я уже писал о том, что антивирусные компании обмениваются __вирусными__ коллекциями, а не базами сигнатур.

На последний вопрос вы сами почти ответили ("новые модификации") - они на то и новые и описаний к ним еще не написано. Мы над этим работаем.

- ivann
- 15.02.2009 14:34
- ↑
- →
Можно ли сказать, что если не запускать подозрительные скрипты (особенно из под рута) и не устанавливать неизвестно откуда взятые пакеты, то полностью защищен от вирусов в линуксе?

- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 17:12
- ↑
- →
Нет. В число обязательных условий ещё входят:

1) своевременная установка обновлений (nightly yum), в общем-то как и везде (Windows)

2) грамотная настройка iptables (как минимум - закрыть заведомо неиспользуемые порты, как максимум - добавить что-то та state analisys), опять же как везде

3) установка как минимум двух противоруткитных пакетов

Вирусы под Linux - это руткиты и немного червей. От них надо и защищаться.

- sww_
- 15.02.2009 18:08
- ↑
- →
Пункт 3, как мне кажется, паранойя :) Можно поставить, собственно, антивирус. Самое главное - обновления, т.к. эксплоиты пробивают удаленно.

- Yury V. Zaytsev [launchpad.net]
- 15.02.2009 18:27
- ↑
- →
Ну так вопрос же был про ПОЛНУЮ защиту :-) - вот и ответ параноидальный. Про обновления совершенно согласен, поэтому они идут первым пунктом. В любом случае и тут руку на пульсе держать важно, а то может произойти ахтунг: https://www.redhat.com/archives/fedora-announce-list/2008-August/msg00012.html :-)

- vanhelsing16
- 15.02.2009 17:36
- ↑
- →
Подцепил трояна, нечто вроде Trojan-Ransom.Win32.Hexzone. Это два dll с произвольным названием, прописавшиеся в IE как плагины и показывавшие рекламный блок с призывом прислать SMS для удаления. Я их вроде убил, но что-то ковырнули в TCP/IP, видимо, и теперь не могу подключиться к сети (сетевуха либо получает IP, но реально связи нет, либо (при переподключении вообще не может получить IP; сама карта точно работает). Касперский 7 и Ad-Aware ничего не видят. Можете ли Вы что-то посоветовать?

- sww_
- 15.02.2009 18:15
- ↑
- →
Посетите форум http://virusinfo.info/, вам там обязательно помогут или обратитесь в службу поддержки. Может что-то поломалось.

- hydrargentum
- 15.02.2009 18:15
- ↑
- →
Скажите как по вашему у кого выше квалификация у тех людей которые пишут вирусы или у тех которые их ловят?

В 00ые в вирмэйкинге был особый шик - сделать что-то неуловимое, интелектуально уложить антивирусные конторы - сейчас как я понимаю это просто очень прибыльный бизне, сколько действительно интерестных в плане архитектуры вирусов встречается сейчас?

В какую сторону двигаются вирусописатели ?

- sww_
- 15.02.2009 18:41
- ↑
- →
Сбором квалификационной статистики мы не занимаемся, специалисты есть и на темной стороне. В антивирусных компаниях работают спецы высокой квалификации :) Иногда, встречаются действительно интересные вирусные решения, но их слава богу, не так много. Например, bootkit, rustock.c

Прогнозы можно посмотреть тут - http://www.viruslist.com/ru/analysis?pubid=204007645

Я считаю, что все рано или поздно возвращается, забытые техники возрождаются и используются вновь.

- goujat
- 15.02.2009 18:28
- ↑
- →
уже спрашивал у вашего шефа, хочу у вас спросить

почему у вашей программы такой неприятный "игровой" интерфейс?

- sww_
- 15.02.2009 18:46
- ↑
- →
Я не имею отношения к разработке интерфейса :) Но вы можете сформулировать ваши замечания в багтрекере компании, мы прислушиваемся к своим пользователям.

- dom1n1k
- 15.02.2009 20:46
- ↑
- →
А кто разрабатывает интерфейс? Штатные дизайнеры или сторонняя контора?
Интересует именно интерфейс, а не рекламно-упаковочная полиграфия.

- sww_
- 15.02.2009 20:51
- ↑
- →
Честно говоря не знаю, скорее всего свои. Мне кажется, что это мало что меняет.

- murdya
- 15.02.2009 20:44
- ↑
- →
Чтобы был лучик радости в серых буднях офисного планктона :о)

P.S. не являюсь сотрудником ЛК

- goujat
- 15.02.2009 20:46
- ↑
- →
хаха точно.
их шеф на ленте меня вообще практически нах послал.

- murdya
- 15.02.2009 21:24
- ↑
- →
Не думаю, просто Евгений порой очень эмоционален

- genie
- 15.02.2009 18:45
- ↑
- →
http://bishop3000.livejournal.com/105424.html
действительно всё так плохо?

- sww_
- 15.02.2009 18:52
- ↑
- →
Не все так плохо, как кажется. Кстати, все предупреждали, что надо поставить патч.

http://secureblog.info/articles/422.html
http://secureblog.info/articles/395.html

- genie
- 15.02.2009 18:55
- ↑
- →
ну что значит "все предупреждали"? обычный пользователь - никто его не предупреждал, он давно уже вступил в новую соцсеть "ботнет", сам того не зная

- sww_
- 15.02.2009 19:01
- ↑
- →
Предупреждали - писали на каждом заборе в интернет: "поставьте заплатку". Существует большая проблема с компьютерной грамотностью людей. Попытки это исправить есть, но масштабы пока маловаты.

- genie
- 15.02.2009 19:10
- ↑
- →
я позволю себе сильно с вами не согласиться

1) ОС нужно писать более безопасными. То есть проектировать изначально с вирусоустойчивостью на самых низких уровнях, принципиально. Linux и MacOS - пример, по сравнению с Win
2) автообновление как основной принцип работы софта. Google Chrome - пример

компьютерная грамотность будет не увеличиваться, а уменьшаться

- sww_
- 15.02.2009 19:22
- ↑
- →
1) Ошибочно полагать, что *nix и MacOS вирусоустойчивы. Я уже отвечал на это где-то выше, пока что экономически не очень выгодно их заражать (ситуация с Mac'ами меняется в худшую сторону). Написать ОС - непростое дело, особенно учесть все нюансы.

2) Я только ЗА грамотную политику доставки обновлений, к сожалению, многие софтверные гиганты обходят этот вопрос стороной.

Про грамотность могу сказать, что необходимо больше статей, семинаров и т.п. Сейчас эта отрасль активно развивается.

- genie
- 15.02.2009 19:27
- ↑
- →
1) я не говорю про вирусоустойчивость, мы друг друга не поняли
просто насколько мне известно Win* (особенно до висты) спроектировано настолько безобразно, что залезть в неё вирусам не составляет труда

2) камень в них. зато есть плюсы - вам есть работа :) к каждому компьютеру по-хорошему поставить антивирус и файрволл, вон какой рынок вырастает!

3) у меня мнение противоположное. нужны не статьи и семинары (движение "к компьютеру"), а наоборот - более простой софт, более надежный
Web2.0, WebOS и SaaS - движения в правильном направлении

- sww_
- 15.02.2009 19:36
- ↑
- →
Не секрет, что виста собирается еще из старых доработанных исходников :)

3) Нужно и то и другое, как ликвидация безграмотности населения, так и более простые подходы к доставке и управлению продуктом. SaaS, In Da Cloud :) и прочие вкусные вещи, тут я с вами согласен.

- genie
- 15.02.2009 19:39
- ↑
- →
> ликвидация безграмотности населения

вы видите, сколько людей уже не пользуются электронной почтой, потому что вконтакте и одноклассники для них - синоним интернета? 10 лет назад таких пользователей не было в принципе, сейчас их - большинство. завтра интернет будет "из телефона"... технологии идут к народу, а не наоборот :)

- sww_
- 15.02.2009 19:55
- ↑
- →
Приходится поспевать как-то, но пока не очень успешно :)

- zarun
- 15.02.2009 20:35
- ↑
- →
Ну работая с правами администратора вы оставляете открытую дверь.
Я еще не видел сломанную вин систему, когда пользователь работает с ограниченными правами.

- genie
- 15.02.2009 20:39
- ↑
- →
меня мало кто спрашивает про права, когда я ставлю вин-систему

- zarun
- 15.02.2009 23:08
- ↑
- →
Однако прочитать рекомендации производителя по безопасной работе можно :)

- genie
- 16.02.2009 0:58
- ↑
- →
ок. я поставил WinXP. где прочитать рекомендации? с чего вдруг я пойму, что мне вообще нужны какие-то рекомендации до того момента, как умрет мой компьютер от вирусов?

- zarun
- 15.02.2009 23:16
- ↑
- →
Ну вообще я к тому клоню, что все средства для обеспечения стабильной работы есть уже давно.
Тут уже вопрос не в проектировке, а донесении этих средств до пользователей.

оф вымораживает капча и невозможность редактирования своего комента

- genie
- 16.02.2009 1:00
- ↑
- →
> Ну вообще я к тому клоню, что все средства для обеспечения стабильной работы есть уже давно.
Согласен. Они есть с момента появления первых компьютеров. Даже на ламповых компьютерах можно работать "стабильно". Вопрос в том, какое количество пользователей могут работать так.

> Тут уже вопрос не в проектировке, а донесении этих средств до пользователей.
У меня другая точка зрения.
Не пользователь должен идти "к компьютеру", а компьютер "к пользователю".

- archon_oleg
- 15.02.2009 18:52
- ↑
- →
наверняка вы знаете человека по имени Крис Касперски, он же мыщъх; и тогда вы наверняка знаете его отношение ко всем антивирусам. а что вы думаете по этому поводу? так ли необходимо наличие антивируса на машине? или это больше реклама?

- sww_
- 15.02.2009 18:58
- ↑
- →
Даже супер специалист может ошибаться и что-то недоглядеть. И заразиться. Про обычных, простых пользователей я даже и не говорю, без антивируса и фаерволла им труба.

А к КК у меня двоякое отношение :) Но это уже личное...

- liveuser
- 15.02.2009 19:02
- ↑
- →
Windows XP SP3, браузер - IE, настройки в целом по дефолту.

У меня на компьютере никогда не стоял антивирус. Обхожусь предложенным по дефолту набором: брандмауэр Windows и Windows Defender. Ну и бэкапы, понятно. Раз в год запускаю бесплатный Avira AntiVir для успокоения совести, он благополучно ничего не находит. По долгу службы много хожу по разным софтовым сайтам (часто неизвестным), скачиваю и устанавливаю довольно много неизвестных науке программ.

Последний живой вирус я видел в 2003-м году, это был w32.Blaster.worm.

При этом я регулярно натыкаюсь на мнения, что, дескать, Касперский (или любой другой антивирус, но на Касперский встречаю больше жалоб - возможно, просто в силу его большей доступности) тормозит систему, вешает ее, программы открываются по полторы минуты или не открываются вообще и т.д., и т.п. - с моей точки зрения, наносит вреда куда больше, нежели любой вирус.

Вопросы:
1. При дефолтном XP + апдейты + брандмауэр + Windows Defender вероятность пострадать от вируса действительно крайне мала или я просто очень везучий сукин сын?
2. Если вероятнось получить вирус крайне мала, то стоит ли при таком раскладе ставить антивирус, вреда от которого подчас будет больше?
3. Можно ли сказать, что антивирусы - это для массовых сервисов и корпоративных клиентов, а домашним пользователям такое счастье ни к чему?

- sww_
- 15.02.2009 19:16
- ↑
- →
1. Вам действительно очень везет, однако, если пользоваться некоторыми правилами при серфинге в интернет, то риск можно минимизировать. Хождение по легальным сайтам вас не спасет, очень часто эти легальные сайты даже не знают, что инфицированы. Вот скажите, вы ведь сидите под админскими правами? :)

2. Проблемы со скоростью остались в прошлом, сейчас громадное внимание уделяется скорости работы антивируса, KIS продвинулся в этом очень далеко.

3. Нет, это ошибочное мнение.

- megomaf
- 15.02.2009 19:36
- ↑
- →
1) почему Касперский так сильно тормозит компьютер?
2) какой антивирус лучший? (если это касперский, то нужно назвать другой :) )
3) как можно максимально защитить windows? ну кроме лицензионного антивируса, установки доп.заплаток на компьютер и лицензионной системы?

- sww_
- 15.02.2009 19:42
- ↑
- →
1. Тормоза закончились в 6ой версии. Необходимо найти компромисс между защитными функциями и потреблением ресурсов.

2. Я не знаю, решать вам - пользователю :)

3. Поставить непопулярную операционную систему. Шучу :). Есть несколько правил, к вышеперечисленному могу добавить - работать под ограниченной учетной записью, делать бэкап системы и важных данных, не посещать сомнительные ресурсы в интернет, пользоваться альтернативными браузерами, не открывать вложений в письмах не подумав (как детям - не общаться с незнакомыми дядями на улице) и т.п.

- megomaf
- 15.02.2009 21:12
- ↑
- →
ну вот у меня система полетела в конце января, хотя защита вся лицензионная, с обновлениями, потом мне конечно рассказали, что это все не важно и можно с супер защитой полететь. в общем это был троян, который мне как-то через mIRC кинули, хотя программе было 3 часа, и сидела и в ней разбиралась. вообще слышала, что в тот день очень много кто упал.

вот такой вопрос вспомнила. мне рассказали про так называемый "чернобыльский вирус", который придумали украинцы и который ни один антивирус поймать не может уже много лет. и что даже если просто система активна и подключена к интернету, то вирус ловится. 26 апреля компьютер не включать?

- sww_
- 15.02.2009 21:43
- ↑
- →
Чернобыльский вирус, также известный как CiH уже никому ничего не сделает. Он работает под Windows 95. В живой природе вероятность встретить минимальна. Ловится и лечится всеми известными антивирусами.

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=19775

- corbenov
- 15.02.2009 21:51
- ↑
- →
на каком языке программирования обычно пишутся вирусы ?

насколько они сложны в написании ? (по вашей оценка какова квалификация авторов (в среднем), из скольких строк кода они обычно состоят (в среднем)) ?

откуда появляются новые вирусописатели ? (разве существуют сайты с информацией о том как писать вирусы)

- sww_
- 15.02.2009 22:05
- ↑
- →
1. Известные, современные - C/C++, Delphi, VB. Asm практически не встречается.

2. Исходные тексты не предоставляют, засранцы :)) Но, обычно это небольшая программа.

3. Сайты подобной тематики существуют, статьи и прочее. Появляются из программистов или начинают сразу с вирусов.

Многое есть в книге http://www.ozon.ru/context/detail/id/3356624/

- steve_serdukov
- 15.02.2009 22:05
- ↑
- →
Avira - приличный антивирус?

- sww_
- 15.02.2009 22:09
- ↑
- →
Было бы довольно глупо с моей стороны рекламировать (или опускать) продукты конкурента. Прежде всего, решает сам пользователь.

- fur_job
- 15.02.2009 22:22
- ↑
- →
Почему сразу после новой установки KAV скачивает такой большой объем данных из интернета (более 30 мегабайт). Неужели трудно сразу включить кумулятивное обновление в дистрибутив (раз уж только что его скачали)?
Заранее спасибо.
- skovalyov
- 15.02.2009 22:30
- ↑
- →
Почему при работе антивируса создаётся субъективное ощущение ухудшения производительности? Если я годами пользуюсь компьютером и просто соблюдая очевидные меры предосторожности не сталкиваюсь с вирусами, зачем мне антивирусы?

- sww_
- 16.02.2009 4:08
- ↑
- →
Потому что антивирус, как и любая программа требует некоторых вычислительных ресурсов для своей работы. Хотите защиту - готовьтесь к тому, что антивирус будет тратить некоторое кол-во ресурсов. Не бывает антивирусов, которые вообще не тратят процессорное время и занимают 0Mb в памяти.

- endeana
- 15.02.2009 22:30
- ↑
- →
Уважаемый вирусный аналитик,
пользуясь случаем, хотелось бы задать Вам несколько вопросов.

Начнем по порядку:

Я считаю, что домашние антивирусы отмирают как класс. Потому что антивирус выполняется как правило с суперпривилегиями, но и вирусный (троянский) код также (так как запущен в контексте суперпользователя - administrator). Согласитесь, 99% домашних (и некоторое количество офисных) пользователей работают без ограничений (конечно, при словах "без ограничений" имеется ввиду с точки зрения юзермода, но при желании, можно побороть и этот момент). Также, оба этих приложения (AV и VX) стартуют, устанавливают свои хуки функций апи и т.п. Вопрос только в том, кто первым стартует (дрова не в счет). Я также могу навскидку назвать десять способов разработки приложения, которое может содержать adware код, но при этом останется незамеченным любым антивирусом, даже будучи загруженным интерактивным пользователем.
В связи с этим вопросы:
1) Какие бы советы Вы бы дали домашним пользователям как разработчик AV средств;
2) Какова перспектива развития AV средств далее с учетом абзаца выше, как ее видите Вы;

Спасибо.

- sww_
- 16.02.2009 16:15
- ↑
- →
Позволю с вами не согласиться. Все дело в том, что предотвратить заражение не удастся на 100% удаленно. Взять для примера сменные носители или что-то, что обходит фильтры на стороне, допустим, провайдера. Все, заражение произошло.

С проблемой работы в одном кольце привилегий я согласен, однако, любой уважающий себя антивирус имеет компоненту On Access, которая работает в привилегированном режиме ядра. И имеет приоритет при установленном антивирусе.

Поведайте тайну про 10 способов, пожалуйста :) Не очень понял, что вы имеете ввиду.

1. Пользоваться домашними антивирусами и фаерволлами, использовать ограниченную учетную запись, делать бэкапы и т.п. Стандартный набор советов, которые все итак знают.

2. AV индустрия уже учитывает многое из того, что написано выше. Сейчас активно внедряются и разрабатываются SaaS/In The Cloud и часть работы по защите переходит с мощностей пользователя на мощности провайдера услуг или антивирусного вендора. Представьте, какой мощный эвристический движок можно внедрить на стороне пользователя, а сравнение с громадной базой данных на стороне провайдера через интернет. Или те же технологии "белого списка", которые уже работают именно так. Мне кажется, что вендоры будут двигаться в этом направлении.

Плюс ко всему активно будут развиваться инструменты противодействия активному заражению (т.е. когда антивирус поставлен не был вовсе, а заражение надо вылечить).

- mazdavorot
- 15.02.2009 23:50
- ↑
- →
Может ли программа Traffic Inspector на сервере кратковременно блокировать доступ клиентских машин к интернену, из-за того что якобы на ВСЕХ клиентских машинах вирус-троян?? Или это админы криворукие сетку не могут наладить??
- neku_neku
- 16.02.2009 0:09
- ↑
- →
здравствуйте.
у меня лицензионная версия на двух компьютерах. переустановила windows на одном-теперь не могу установить антивирус -он блокирует интернет и не обновляется, выскакивает ошибка приложения, потом вообще сам отключается.

на втором недавно тоже перестал обновляться и отключился.

что делать ? это вирус?
- zew
- 16.02.2009 1:12
- ↑
- →
Сотрудничают ли спецслужбы с специалистами по вирусам/антивирусам или же у них свои специалисты?

- sww_
- 16.02.2009 4:17
- ↑
- →
Сотрудничают :) Но есть и свои специалисты.

- kubyshkin
- 16.02.2009 5:51
- ↑
- →
Как вы можете оценить работу AVG Antivirus Free?
Можно ставить на домашний комп?

- sww_
- 16.02.2009 6:17
- ↑
- →
Я работник Лаборатории, было бы глупо писать что-то про продукты конкурентов :) Каждый решает для себя. Есть тесты, сравнения и прочее, и прочее.

- ef_end_y
- 16.02.2009 7:21
- ↑
- →
Какой самый маленький рабочий резидентный вирус под DOS на данный момент? Помните было такое соревнование?

- sww_
- 16.02.2009 15:45
- ↑
- →
Сейчас на коне Windows и я со страхом и небольшой ностальгией вспоминаю DOS :) Резидентные (в том самом смысле, что был давно) DOS-вирусы меня уже не интересуют.

- donz_ru
- 16.02.2009 8:08
- ↑
- →
Насколько распространены вирусы под Windows Mobile?
Какая мобильная платформа лидирует по зловредам?
Почему в отчетах по мобильным зловредам до сих пор мусолят RedBrowser, ничего нового не появляется?

- sww_
- 16.02.2009 16:20
- ↑
- →
Вы невнимательно искали.

http://www.viruslist.com/en/weblog?weblogid=208187621
http://www.viruslist.com/ru/weblog - вторая запись сверху

- gomsk
- 16.02.2009 8:27
- ↑
- →
Насколько полноценно защищает компьютер бесплатная версия Касперского для Яндекс.Онлайн?

- sww_
- 16.02.2009 15:55
- ↑
- →
Вообще, в Я.Онлайн используют 7-ю версию, когда есть уже 2009-я (8-я). Плюс в 7-ке нет всяких вкусных вещей: PDM, Parental Control и т.п.

- yellowspy
- 16.02.2009 17:45
- ↑
- →
Какая сейчас ситуация с вирусами, которые прописываются в autorun.inf? Я ловил много раз тот, который делает копии ctfmon.exe в корзинах и каждый раз себя прописывает на всех дисках, локальных и сменных. Больше ничего вредного не делает.
Вопрос - но ведь мог бы? Это же какая эпидемия может начаться, если появится менее безобидный аналог? Далеко не у всех же отключен хотя бы автозапуск.