Главная категория > Компьютеры, сканеры ШК, Клавиатуры, принтеры и ПО и т.д.
Если ваш антивирус не видит... элементарные вещи...
Юр:
Вчера ходил к одной тетеньке лечить ее комп от винлока. Ось хр, защищена обновляющимся дрвебом. Во время долгой и утомительной загрузки запустился ие с яндексбаром, и оно начало откуда-то качать какие-то длл-ки и фреймы. Загрузку прекратил, на экране минут десять никаких изменений, хотя индикатор обращения к ИДЕ-устройствам истерично светился. Когда мне это надоело, произвел перезагрузку. Загрузка произошла успешно, никаких визуально наблюдаемых винлоков не обнаружилось. Че случилось, я так и не понял. Запустил утилиту дрвеб, но дождаться результатов сканирования у меня не хватило терпения. Ограничился сканированием системной папки. Оставил процесс сканирования под управлением хозяйки.
Проторчал у нее в результате часа два с половиной. Чтобы я еще пошел кому-то постороннему лечить комп от вирусов заради каких-то четые сотки, да ни в жисть.
Тут вот товарисчу из компании Кашпировского назадавали вопросов, почему ихние приблуды в упор не видят эту заразу. Товарисч Татаринов Иван много чего писал, сначала справа налево, потом слева направо, в общем, если у кого есть силы дочитать вдумчиво и понять, почему, просьба объяснить попроще и покороче.
drfaust:
--- Цитата: Юр от 07/07/2010 13:05:40 ---... в общем, если у кого есть силы дочитать вдумчиво и понять, почему, просьба объяснить попроще и покороче.
--- Конец цитаты ---
Почитавши понял только одно - банальные отписки.
В своё время отправил 2 или 3 вируска Вебу, так как на сайте Каспера не смог найти куда отослать подозрительный файл (меж прочим каспером и DrWeb. CureIt он не ловился (проверял на работе)). Насчёт того порнобаннера, который рекламировался через http://www.kkm.info/myboard/showlast.php (дырка с JavaScript) его тоже отправлял Вебу, так ДрВеб написал письмо с просьбой изложить где же я его нашёл (чувствуется, что ребята пытаются работать с отд. К) и поблагодарил за детальную инфу. Не заметно как-то, что ЛК пытается исправить ситуацию взаимодействуя с МВД или сот. операторами (это сделать легче работая с сетевыми провайдерами, о которых ни слова). IMHO
Учитывая "навороченность" Каспера и предложение выполнять первый запуск в "песочнице" - то бишь под "виртуальной машиной", боюсь что и 3GНz четырёхядерника c 3-4 гигами оперативки не хватит для комфортной работы. Предложение использовать максимальный уровень эвристики - приведёт к таким же тормозам как и использование "виртуалки", а если вместе будут работать то ::)
По поводу Linux :
--- Цитата: Татаринов Иван ---Под Linux и MacOS по большей части сидит более аккуратная и продвинутая публика, которая своими руками может зловред найти и удалить из системы или просто не допустить его установки. Кроме того, не стоит забывать, что эти системы на порядок менее распространены, чем Windows, а блокерописатели берут именно размахом. Поэтому появление блокеров под Linux и MacOS маловероятно, не говоря уже про эпидемии.
--- Конец цитаты ---
Упоминает только два фактора - один малозначительный (опытных пользователей) другой сбрасывать со счетов не стоит (малораспространённость).
Пропущен один фактор (такой же по-значимости) - быстрая реакция на обнаруженные дыры, неделя и патч уже выпущен.
Но на мой взгляд, основной сдерживающий фактор - обилие самых разных дистрибутивов (которые и форматом исполнимого файла отличаются), т.е обилие самых различных версий ядра (под Винду их может с десяток насчитается, под Линух с Debian`ом, *BSD - пара сотен тысяч). Постоянные патчи о выходы новых версий ядер и user-space ПО. Теперь представьте вирусо-писаку, пытающегося написать аналог EXE-вируса под *NIX - каждая новая сборка ядра (а это часто и пользователи делают, например для установки ВиртуалБокса под популярную Мандриву мне пришлось перекомпилить ядро) - новые смещения адресов системных функций (работая через POSIX стандарт многого не добъёшся), изменчивая конфигурация системы (так же и отсутствие системного реестра, где чёрт ногу сломит), которая легко изменяется пользователем (загрузка с любого Life-CD примонтирование излечиваемой ФС и ручное редактирование текстовых конфигов - тут спецом быть не надо). В принципе получить root-привелегии в отличие от Винды можно только целенаправленной "ручной" атакой на машину.
Юр:
А можешь объяснить, как троян убился в описанном мной случае?
И еще, тебе под QNX приходилось работать? Если да, то какие впечатления, и как насчет устойчивости в сети?
drfaust:
--- Цитата: Юр от 07/07/2010 13:05:40 ---Загрузка произошла успешно, никаких визуально наблюдаемых винлоков не обнаружилось. Че случилось, я так и не понял.
--- Конец цитаты ---
Вот и я не понял. А был ли винлок, и чё творила машина. Почему запустился ослик. - одни вопросы...
Хотя ДрВеб тоже не панацея. Знакомому Confiker лечил CureIt`ом с 19:00 до 01:30 примерно. Хорошо он его блокировал. Каким чудом сумел в защищённом загрузиться так и не понял (Confiker куда-то прописался и в этом случае кидал BSOD). Хотя там ещё парочка спутников была - их КуреИт быстро почикал. А вот в защищённом - там его Вебовская утила хорошо покрамсала (вместе с заражёнными ЕХЕшниками :D )
QNX - даже в глаза не видел. сидел под FreeBSD, несколько Линухов, пробовал K/Ubuntu. Сейчас на фрю возвращаюсь в виде PC-BSD 8.0
Юр:
--- Цитата: drfaust от 08/07/2010 14:10:17 ---Вот и я не понял. А был ли винлок, и чё творила машина. Почему запустился ослик. - одни вопросы...
--- Конец цитаты ---
По картинкам с сайта дрвеба хозяйка уверенно опознала винлок1868, настойчиво предлагавшего вступать в общество скрытых геев за 380 рублей, куда она вступать отказывалась (хотя уже готова была послать смску), да и возраст, увы, уже не подходящий. :) Учитавая ее неподдедьную радость оттого, что ее комп снова в работе, трудно подумать, что она все это придумала.
Правда, один нюанс - по тому, что она списала с экрана, зараз просил пополнить счет по номеру телефона. Интересно, как в случае пополнения через терминал злыдни узнают, кому посылать код разблокировки? В общем, надо будет при случае у нее уточнить.
--- Цитата: drfaust от 08/07/2010 14:10:17 ---Хотя ДрВеб тоже не панацея. Знакомому Confiker лечил CureIt`ом с 19:00 до 01:30 примерно. Хорошо он его блокировал. Каким чудом сумел в защищённом загрузиться так и не понял (Confiker куда-то прописался и в этом случае кидал BSOD). Хотя там ещё парочка спутников была - их КуреИт быстро почикал. А вот в защищённом - там его Вебовская утила хорошо покрамсала (вместе с заражёнными ЕХЕшниками :D )
--- Конец цитаты ---
А в каком еще режиме она могла бы его "покрамсать", кроме как защищенном?
--- Цитата: drfaust от 08/07/2010 14:10:17 ---QNX - даже в глаза не видел.
--- Конец цитаты ---
Может быть, и зря. Она хоть и посиксная, но графическая оболочка и интерфейс пользователя как у винды - внушает и впечатляет. Слышал краем уха, что и прикладное обеспечение под нее уже немало, в комплекте идет проигрыватель и еще ряд примочек.
Наверное, и администрировать ее несложно будет. Дома давно валяется дистрибутив нейтрины, как-то ставил на старый комп, к тому же она для домашних пользователей бесплатная. Только возможно, что на ноутбук не залезет ввиду отсутствия специфисских драйверов, пока не пробовал, не знаю.
Навигация
Перейти к полной версии