Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 64
Единственный тест на качество защиты, это попытка обхода этой защиты.
В журнале Хакер как-то была серия статей по тестам антивирусов.
Так вот они там проверяли не количество найденных известных вирусов.
А пытались создать «подозрительную программу» и смотрели задетектит ее защита или нет.
Там кстати забавные факты выплывали.
Типа того, что майкрософтовский антивирь, единственный кто позволил тупо прибить свой процесс даже не пикнув)
Вот такой подход единственный, который показывает реальный уровень защиты.
Ибо сейчас, защита которая не детектит уже известные угрозы сразу должна идти в утиль.
Что практически совпадает с мнение Касперского e-kaspersky.livejournal.com/87090.html, но показывает только одну часть требований
В целом галопом по Европам — сойдет.
Пройдусь по некоторым неточностям:
Еще как рассылают — ведь дать адрес, где лежит малварь можно считать рассылкой? Обмен семплами между лабораториями идет активно. Хакеров как раз на западе и берут, это у нас стараются дистанцироваться. Вот Каспера обвиняют в хождении в баню с ФСБшниками, а так бы обвиняли еще и в покровительстве хакерам. Пример: Мыщх.
Сигнатуры живее всех живых. И опять же что под ней подразумевается? Некие хеши, графы и т.д. Вот, например, мелкий vbs-зловред из трех строчек как детектируется? По той же самой сигнатуре — плавающий «слепок» со всего/части файла или по куску кода (маске). Это тоже сигнатура ведь. А контрольная сумма целикового файла это сигнатура? Тоже используется вовсю.
Другое дело, что сейчас технологии шагнули вперед в области эмуляции, репутации и прочего.
Компании, у которых сильны облака вполне могут оказать такую услугу, а некоторые даже позволят обычному домашнему юзеру так настроить свой компьютер — работать будет только то, что есть в white-list (файл уже известен антивирусному облаку и по нему положительный вердикт). Конторам с жесткими политиками безопасности, где софт заранее определен и известен это вполне подходит, а домашнему юзеру при понимании как работает этот режим — тоже.
Теперь статья о тестах будет с точки зрения каждой антивирусной компании? Вставайте в очередь, господа!
Ну не то, чтоб ну вот совсем не имеет.
Если продукт Х во всех существующих в природе тестах не выходит выше предпоследнего места, то неужели это говорит о «все куплено»?
Капитан? Вроде все известные имеют замозащиту, только качество исполнения разное. А прикидку по качеству откуда можно сделать? Либо личный опыт, либо озвученный чужой (тесты).
Пройдусь по некоторым неточностям:
Антивирусные компании не рассылают никаких образцов, западные компании даже не берут на работу бывших хакеров ввиду их моральной неустойчивости
Еще как рассылают — ведь дать адрес, где лежит малварь можно считать рассылкой? Обмен семплами между лабораториями идет активно. Хакеров как раз на западе и берут, это у нас стараются дистанцироваться. Вот Каспера обвиняют в хождении в баню с ФСБшниками, а так бы обвиняли еще и в покровительстве хакерам. Пример: Мыщх.
Распространеннейшим заблуждением является мнение, что антивирусы ловят вредоносные программы по сигнатурам.
Сигнатуры живее всех живых. И опять же что под ней подразумевается? Некие хеши, графы и т.д. Вот, например, мелкий vbs-зловред из трех строчек как детектируется? По той же самой сигнатуре — плавающий «слепок» со всего/части файла или по куску кода (маске). Это тоже сигнатура ведь. А контрольная сумма целикового файла это сигнатура? Тоже используется вовсю.
Другое дело, что сейчас технологии шагнули вперед в области эмуляции, репутации и прочего.
В настоящее время в любой произвольный момент времени ни одна антивирусная программа — без применения дополнительных средств защиты — не может обеспечить защиту от проникновения еще неизвестных вредоносных программ — не поступивших на анализ в антивирусную лабораторию
Компании, у которых сильны облака вполне могут оказать такую услугу, а некоторые даже позволят обычному домашнему юзеру так настроить свой компьютер — работать будет только то, что есть в white-list (файл уже известен антивирусному облаку и по нему положительный вердикт). Конторам с жесткими политиками безопасности, где софт заранее определен и известен это вполне подходит, а домашнему юзеру при понимании как работает этот режим — тоже.
О тестах будет отдельная статья, но так или иначе все тесты производятся на уже известных вредоносных программах
Теперь статья о тестах будет с точки зрения каждой антивирусной компании? Вставайте в очередь, господа!
Увы и ах. Выбор антивируса на основе побед в тестах — не имеет смысла
Ну не то, чтоб ну вот совсем не имеет.
Если продукт Х во всех существующих в природе тестах не выходит выше предпоследнего места, то неужели это говорит о «все куплено»?
иметь систему самозащиты, не позволяющую неизвестной вредоносной программе нарушить нормальную работу антивируса
Капитан? Вроде все известные имеют замозащиту, только качество исполнения разное. А прикидку по качеству откуда можно сделать? Либо личный опыт, либо озвученный чужой (тесты).
Капитан? Вроде все известные имеют замозащиту
Присоединяюсь.
Самозащита не может быть абсолютной. Ядро ОС тоже имеет самозащиту, да еще какую — тем не менее то и дело туда просачиваются разные вредоносные программы и хакеры. Сложно закрыть совсем все уязвимости. Хотя и тестировать ядро антивируса на наличие уязвимостей сложно: это ведь не такой распространенный продукт, как ОС, исходники недоступны, и обновляется постоянно.
Кто у нас не ходит в баню с заказчиками :-)
Антивирусные компании действительно обмениваются семплами, но это закрытая сеть обмена между ними. А о работе с «независимыми тестировщиками» тоже неплохо написано в вышеупомянутом посте Касперского. Весьма спецфичная область деятельности :-) Но я имел в виду, что не выдают официально. Самодеятельность бввает, да. Был я свидетелем последствий подобных рассылок. По результатам менеджерам весьма влетало. К счастью не в тех компаниях, где я работал
Сигнатуры конечно есть, куда без них? Но имеется в виду, что нет чисто сигнатурных антивирусов. У ведущих (не у всех, но показывать пальцем не буду, ибо слухи) антивирусов кроме сигнатур еще много всяких механизмов
Про облака напишу отдельно. Да, преимущества есть, но и дыра в безопасности в наличии также
Действительно в статье есть упрощения, но чисто в связи с невозможностью объять необъятное. Если есть пожелания — пишите вопросы, постараюсь в следующих статья ответить более подробно
Антивирусные компании действительно обмениваются семплами, но это закрытая сеть обмена между ними. А о работе с «независимыми тестировщиками» тоже неплохо написано в вышеупомянутом посте Касперского. Весьма спецфичная область деятельности :-) Но я имел в виду, что не выдают официально. Самодеятельность бввает, да. Был я свидетелем последствий подобных рассылок. По результатам менеджерам весьма влетало. К счастью не в тех компаниях, где я работал
Сигнатуры конечно есть, куда без них? Но имеется в виду, что нет чисто сигнатурных антивирусов. У ведущих (не у всех, но показывать пальцем не буду, ибо слухи) антивирусов кроме сигнатур еще много всяких механизмов
Про облака напишу отдельно. Да, преимущества есть, но и дыра в безопасности в наличии также
Действительно в статье есть упрощения, но чисто в связи с невозможностью объять необъятное. Если есть пожелания — пишите вопросы, постараюсь в следующих статья ответить более подробно
AV — зло, тормоза и вообще не панацея. Ложные срабатывания, постоянные подозрения на что-то, обновления, лицензии — короче это головняк.
Для необслуживаемых офисных ПК очень давно (уже лет 8) использую весьма действенную стратегию:
1) Разделил систему на два диска, на одном данные, на другом софт.
2) На диске с данными в ntfs полностью запретил запуск программ.
3) Настроил ежедневный инкрементный бекап диска данных на сервер + еще стоит утилита-самопал контроля целостности файлов по md5 (это от криптовальщиков)
4) Снес AV, отключил везде где можно все обновления, а диск с софтом — заморозил Deep Freeze.
Забыл по эту РС на многие годы.
Какой волшебный мир.
Тяжело пользоваться windows, да.
Тяжело пользоваться windows, да.
Должна быть ограничена возможность использования сменных носителей. Должна быть запрещена установка пользователем любых программ, что не позволит вирусу, обошедшему защиту средств безопасности, установиться на компьютере. Состав установленного и используемого программного обеспечения должен соответствовать известному перечню.
Пользователи бывают разные. Что, если вы админ? Как быть в этом случае? Ограничивать свои права, не ставить на компьютеры софт, не вставлять сменные носители и т.д.?
А то меня умиляют подчас сообщения вида: «Произошла ошибка. Обратитесь к системному администратору», когда я сам админ и хочу понять, в чем дело, и какой-то высшей силы, к которой можно обратиться, не существует. Ну разве только Господь Бог.
Я ставлю софт совершенно свободно, не испытывая при этом никаких терзаний. apt-get install blender firefox etc. Вопрос в коммьюнити и культуры в нём.
Аналогичное я вижу у пользователей маков — у них просто стоит и работает софт, без всяких адских вирусов. Как платный (не знаю, как его на маки ставят), так и через brew.
А вот на windows — да, те ещё развлечения.
Аналогичное я вижу у пользователей маков — у них просто стоит и работает софт, без всяких адских вирусов. Как платный (не знаю, как его на маки ставят), так и через brew.
А вот на windows — да, те ещё развлечения.
Никто вам не мешает и на Windows ставить приложения только из доверенных источников (Windows Store и другие сообщества).
Ок, недавно windows додумалась до подобного. Молодцы.
Тогда вопрос: а нафига антивирусы?
Тогда вопрос: а нафига антивирусы?
Тогда вопрос: а нафига антивирусы?
От 0day, наверное.
И много «антивирусов» защитило от FREACKS, shellshock'а и heartbleed'а?
Или, вот, из свежего:
CVE-2014-7156 / XSA-106 Missing privilege level checks in x86 emulation of software interrupts
CVE-2014-7188 / XSA-108 Improper MSR range used for x2APIC emulation
CVE-2014-8595 / XSA-110 Missing privilege level checks in x86 emulation of far branches
CVE-2015-2151 / XSA-123 Hypervisor memory corruption due to x86 emulator flaw
Рассказы про «защиту от 0day» силами антивирусов звучат, мягко говоря, жалко. В какую-то защиту, в очень ограниченных случаях, со стороны всяких policy enforcement'ов в стиле SELinux я верю, но весьма и весьма условно. Особенно, в рамках «для начала отладки отключите SELinux».
Чем тут может помочь антивирус, не имеющий адекватного доступа к системным вызовам и состоянию структур ядра — даже представить себе не могу. Это мы вопрос гипервизора и железа (rowhammer, ага) не рассматривали.
Или, вот, из свежего:
CVE-2014-7156 / XSA-106 Missing privilege level checks in x86 emulation of software interrupts
CVE-2014-7188 / XSA-108 Improper MSR range used for x2APIC emulation
CVE-2014-8595 / XSA-110 Missing privilege level checks in x86 emulation of far branches
CVE-2015-2151 / XSA-123 Hypervisor memory corruption due to x86 emulator flaw
Рассказы про «защиту от 0day» силами антивирусов звучат, мягко говоря, жалко. В какую-то защиту, в очень ограниченных случаях, со стороны всяких policy enforcement'ов в стиле SELinux я верю, но весьма и весьма условно. Особенно, в рамках «для начала отладки отключите SELinux».
Чем тут может помочь антивирус, не имеющий адекватного доступа к системным вызовам и состоянию структур ядра — даже представить себе не могу. Это мы вопрос гипервизора и железа (rowhammer, ага) не рассматривали.
И много «антивирусов» защитило от FREACKS, shellshock'а и heartbleed'а?
В антивирусы давно встраивают упрощённые варианты IPS/IDS для которых были сигнатуры.
Были сигнатуры? Но никто их не видел и уязвимость юзали напропалую где попало кто попали, да?
Кроме того, я не совсем понял как из «антивирусов» у нас появились IDS'ы. Антивирус — это такое специальное змеиное масло, позволяющее пользователю ставить что попало на компьютер и иногда обнаруживать, что оно сработало.
Кроме того, я не совсем понял как из «антивирусов» у нас появились IDS'ы. Антивирус — это такое специальное змеиное масло, позволяющее пользователю ставить что попало на компьютер и иногда обнаруживать, что оно сработало.
Конечно у пользователей маков все работает…
www.ferra.ru/ru/techlife/news/2014/09/29/Mac-BackDoor-iWorm/
И зараза даже, просто стоит и работает)))
А почему мы должны доверять админу? Завтра он уволится, а сегодня он имел полный доступ к компьютеру генерального. Все зависит от размеров компании, потребного уровня безопасности и возможности привлечь нужное количество специалистов нужной квалификации.
Естественно права у всех пользователей должны быть разными, но сколько случаев расползания вирей с компьютера, «к которому имеет доступ только админ и потому мы его не защищаем». В моей практике был случай заражения компании с букридера. А уж сколько расходится с компьютеров бухгалтерии…
Естественно права у всех пользователей должны быть разными, но сколько случаев расползания вирей с компьютера, «к которому имеет доступ только админ и потому мы его не защищаем». В моей практике был случай заражения компании с букридера. А уж сколько расходится с компьютеров бухгалтерии…
Ограничивать свои права, не ставить на компьютеры софт, не вставлять сменные носители и т.д.?
Как минимум создать отдельную учётку, включить авторизацию по сертификату и записать его на токен. Втыкать его когда хотите сделать свои админские дела.
Так-так…
берем картинку
берем значение на 15-03-13 — 3 726 000 (мы на сайте посмотрим, там навести курсор можно),
значение на 15-03-14 — 5 040 000.
5 040 000 — 3 726 000 = 1 400 000
делим на 365 дней в году
1 400 000 / 365 = 3 600
А Евгений пополняет по 70 000 в день… где мы пропустили ловкость рук?
Но оценка в 100 штук в день, конечно, далека от реальности.
берем картинку
берем значение на 15-03-13 — 3 726 000 (мы на сайте посмотрим, там навести курсор можно),
значение на 15-03-14 — 5 040 000.
5 040 000 — 3 726 000 = 1 400 000
делим на 365 дней в году
1 400 000 / 365 = 3 600
А Евгений пополняет по 70 000 в день… где мы пропустили ловкость рук?
Но оценка в 100 штук в день, конечно, далека от реальности.
запись != один ловящийся вирус. Плюс эвристики — они тоже берут много из существующего. А приходит на анализ реально порядка 7 миллионов в месяц.
Ну и можно не вычислять. Для Dr.Web заходим на updates.drweb.com и смотрим по дням по добавлению записей
Ну и можно не вычислять. Для Dr.Web заходим на updates.drweb.com и смотрим по дням по добавлению записей
И пожалуй добавлю. обрабатываем != любой пришедший файл = новый уникальный вирус. Естественно есть повторы, есть результаты деятельности вирусов, есть скриншоты. Проблем потока две:
1. Процедура порядка разбора потока может ошибиться и наиболее опасный вирус будет разобран не с нужным приоритетом. Если кто помнит эпидемию WinLock'ов — так это оно. Создавалось их в день море. Кто из вендоров быстрее какой образец отработает — чистая лотерея. Постоянно держал адреса страниц вендоров, на которых выкладывались утилиты
2. Случаи когда детектится часть вируса — тоже бывают. Помню был случай когда детектился как вирус лог, который создавался вирусом, но не сам вирус. Нет банально времени вникать и разбираться
1. Процедура порядка разбора потока может ошибиться и наиболее опасный вирус будет разобран не с нужным приоритетом. Если кто помнит эпидемию WinLock'ов — так это оно. Создавалось их в день море. Кто из вендоров быстрее какой образец отработает — чистая лотерея. Постоянно держал адреса страниц вендоров, на которых выкладывались утилиты
2. Случаи когда детектится часть вируса — тоже бывают. Помню был случай когда детектился как вирус лог, который создавался вирусом, но не сам вирус. Нет банально времени вникать и разбираться
С Каспера пошло — ему с 2004-го ВАТ-ники не нравились.
В январе была очередная вспышка кодировщика. И хоть у многих антивирусов (Sophos, ESET, DrWeb, KAV) был рапорт о внесении зловреда в список еще с лета 2013-го, срабатывание происходило только при случайном обнаружении файла с требованием выкупа (3 ВТС). McAfee убивал гада на подлете.
В январе была очередная вспышка кодировщика. И хоть у многих антивирусов (Sophos, ESET, DrWeb, KAV) был рапорт о внесении зловреда в список еще с лета 2013-го, срабатывание происходило только при случайном обнаружении файла с требованием выкупа (3 ВТС). McAfee убивал гада на подлете.
Насчет последней (что она последняя) вспышки вы погорячились. Заходим на updates.drweb.com за вчера:
Trojan.Encoder.514(3) Trojan.Encoder.567(2) Trojan.Encoder.761(2) Trojan.Encoder.858(3) Trojan.Encoder.889(3) Trojan.Encoder.906(3) Trojan.Encoder.929 Trojan.Encoder.949 Trojan.Encoder.952 Trojan.Encoder.953 Trojan.Encoder.960(2). Не уверен, что выбрал все из занесенных в этот день — скопировал первую найденную строчку в списке
Пекут как пирожки. И раз были добавлены в базу — не обнаруживались до этого. Энкодеры сейчас типичный пример промышленной разработки вредоносных программ. И быть готовым к действиям по дешифровке и восстановлению — обязанность каждого админа.
И вот тут засада — хотя требования, что нужно описывать в заявке и что присылать — висят везде и всюду — на каждую заявку приходится объяснять лично. Если кто не знает до сих пор, что требуется для попытки расшифровки — пишите
И бекап обязателен как воздух! Ибо бывает так — news.drweb.com/show/?c=5&i=7098&lng=ru, а бывает и так news.drweb.com/show/?c=5&i=9341&lng=ru
Trojan.Encoder.514(3) Trojan.Encoder.567(2) Trojan.Encoder.761(2) Trojan.Encoder.858(3) Trojan.Encoder.889(3) Trojan.Encoder.906(3) Trojan.Encoder.929 Trojan.Encoder.949 Trojan.Encoder.952 Trojan.Encoder.953 Trojan.Encoder.960(2). Не уверен, что выбрал все из занесенных в этот день — скопировал первую найденную строчку в списке
Пекут как пирожки. И раз были добавлены в базу — не обнаруживались до этого. Энкодеры сейчас типичный пример промышленной разработки вредоносных программ. И быть готовым к действиям по дешифровке и восстановлению — обязанность каждого админа.
И вот тут засада — хотя требования, что нужно описывать в заявке и что присылать — висят везде и всюду — на каждую заявку приходится объяснять лично. Если кто не знает до сих пор, что требуется для попытки расшифровки — пишите
И бекап обязателен как воздух! Ибо бывает так — news.drweb.com/show/?c=5&i=7098&lng=ru, а бывает и так news.drweb.com/show/?c=5&i=9341&lng=ru
Вы не поняли:
1. обнаружение было, но не по вирусу, а по последствиям (сообщение с требование оплаты через tor).
2. В списке по обнаружению сигнатура последствия появилась именно с лета 2013.
Если ЭТО защита, то это точно не антивирус.
Да, восстанавливался из бэкапа. Да, часть файлов (около 20) потеряли изменения за тот день. Это точно дешевле 700$
1. обнаружение было, но не по вирусу, а по последствиям (сообщение с требование оплаты через tor).
2. В списке по обнаружению сигнатура последствия появилась именно с лета 2013.
Если ЭТО защита, то это точно не антивирус.
Да, восстанавливался из бэкапа. Да, часть файлов (около 20) потеряли изменения за тот день. Это точно дешевле 700$
Навскидку:
1. Вредоносный файл был протестирован на антивирусах целевой группы (а у нас в России их считай всего три) и не обнаруживается ни одним из них
2. Никогда не следует переоценивать поведенческие анализаторы:
— поведенческий анализатор это по сути тот же антивирус — он действует по базе, описывающей известные поведения известных программ
— основная часть вредоносных файлов сейчас — трояны, а не вирусы. Они не изменяют (бывает конечно, но в общем) поведения уже контролируемых программ. Вот был случай, когда троян просто изменил путь, по которому запускался некий файл. Файл не изменился — и система контроля это фиксировала. а то, что вместо него запускалось иное — ну так это систему контроля не касалось
Для банкоматов распространеннейший миф — мы должны защищаться поведенческими анализаторами
Проблема любых средств защиты (не суть каких, хоть встроенных в ОС) — мы им доверяем. Но ни одно из них не является панацеей. Мы должны защитить систему набором средств, ни одно из которых не является доверенным :-(
1. Вредоносный файл был протестирован на антивирусах целевой группы (а у нас в России их считай всего три) и не обнаруживается ни одним из них
2. Никогда не следует переоценивать поведенческие анализаторы:
— поведенческий анализатор это по сути тот же антивирус — он действует по базе, описывающей известные поведения известных программ
— основная часть вредоносных файлов сейчас — трояны, а не вирусы. Они не изменяют (бывает конечно, но в общем) поведения уже контролируемых программ. Вот был случай, когда троян просто изменил путь, по которому запускался некий файл. Файл не изменился — и система контроля это фиксировала. а то, что вместо него запускалось иное — ну так это систему контроля не касалось
Для банкоматов распространеннейший миф — мы должны защищаться поведенческими анализаторами
Проблема любых средств защиты (не суть каких, хоть встроенных в ОС) — мы им доверяем. Но ни одно из них не является панацеей. Мы должны защитить систему набором средств, ни одно из которых не является доверенным :-(
Вы можете поделиться ссылками на подробные отчеты о взломах корпоративных сетей, APT — интересуют подробные отчеты — как взломали, через кого/что, если рассылали письма на электронку с эксплоитами, то какими, как повышали привилегии на АРМ-ах и далее на серверах/в домене? Либо подробные разборы атак (как на скриншоте презентации anunak)
Вот примерно как у этих:
— cyber-berkut.net/old/i5.php (предпоследняя запись)
— www.cyber-berkut.org/traitors/0017.php
Вот примерно как у этих:
— cyber-berkut.net/old/i5.php (предпоследняя запись)
— www.cyber-berkut.org/traitors/0017.php
К сожалению нет. Мы очень много расследуем (не совсем верный термин, но для простоты) инцидентов. Но никто не хочет огласки. Все, что можно сделать публичным — даем в новости, но как правило именно метод проникновения остается неизвестным.
В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.
В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.
В общем и целом самая страшная опасность (по недооцененности) — сайты, открытые по корпоративной надобности, уверенность, что там все нормально. Проблема в том, что все иные пути проникновения можно перекрыть, а этот — нет.
Хм. А хотя бы в общем — как много сталкивались с успешной социальной инженерией для проникновения на АРМ через электронку, соцсети? Какие направления использовались злоумышленниками — сплоиты в документах word/excel/pdf, эксплоиты в scr/bat/exe, эксплоиты для явы/флеша/браузеров.
Как обычно повышают привилегии на серверах — расшаренные документы на АРМ-ах админов, документы с паролями на самом сервере, wce/аналоги, просто слабые пароли (на тестовых или временных учетных записях), другие способы?
Нет ли случайно какой-нибудь статистики по этим вопросам, хотя бы общей? Или просто обезличенные интересные случаи? Мне нужно как для себя, так и для информирования пользователей.
Для большинства современной гадости достаточно письма с прикрепленным архивом или фоткой. Для краха системы хватает и прав рядового юзверя. Проверено.
Можно попродробней про такую фотку? Речь идет про необновляемую винду? Или с последними патчами?
Про архив тоже интересно — архив со скриптами/исполнительными файлами или чем-то другим?
Про архив тоже интересно — архив со скриптами/исполнительными файлами или чем-то другим?
«Залетела» ХР (не обновляемая, ESET ESS v.6), а от нее пошла жара на удаленном сервере 2008 R2 (ESS BE v.5). Через 20 минут машину выкинуло из сети за подозрительную активность (шифрование всех доступных редактируемых файлов).
ESET дружно развел руками посоветовал ставить v.8 (а почему сразу не 9? — еще медленнее работает).
Заражение — простой zip-архив. Достаточно его открыть. Где-то был, могу поискать.
Фотки приходили год назад. Мог и прибить. Найду — выложу.
ESET дружно развел руками посоветовал ставить v.8 (а почему сразу не 9? — еще медленнее работает).
Заражение — простой zip-архив. Достаточно его открыть. Где-то был, могу поискать.
Фотки приходили год назад. Мог и прибить. Найду — выложу.
Найду — выложу.
Да, это было бы интересно) Если можно — как можно больше подробностей. Шифровщики — больная тема
ZIP — эксплотировали что-то виндовое? Или у архиватора?
Вот отчет по одной из ссылок. Правда отчет промелькнул за 2015-03-16, а я проблему обнаружил 27/01/2015
Пользователи всегда жили и будут жить в своем собственном мире. И если дома куда попало мышкой не тычут, то на работе изображают редких индивидуалов, не воспринимающих простейшие голосовые команды.
Пользователи всегда жили и будут жить в своем собственном мире. И если дома куда попало мышкой не тычут, то на работе изображают редких индивидуалов, не воспринимающих простейшие голосовые команды.
Можно еще вопрос —
Это как так произошло — как ее выкинуло? Как опредило, что шифрует? Какая-то IPS? Или вы вручную выявили источник и заблокировали?
Через 20 минут машину выкинуло из сети за подозрительную активность (шифрование всех доступных редактируемых файлов).
Это как так произошло — как ее выкинуло? Как опредило, что шифрует? Какая-то IPS? Или вы вручную выявили источник и заблокировали?
Забыли написать, что современные вирусы напрямую не грузятся в систему: сначала запускается только «безобидный» фоновый загрузчик, а уже потом идет сборка «на месте».
Не обязательно, но есть действительно построенные вокруг командного центра. Кстати одна из причин запросов в техподдержку по типу «ваш антивирус удалил троян, а он все время снова возникает на том же месте» — нечто типа Downloader. Из последнего — news.drweb.com/show/?c=5&i=9341&lng=ru
is2know.blogspot.ru/2015/02/carbanak.html три отчета по Анунаку.
news.drweb.ru/show/?c=5&i=9341&lng=ru — распространение через рассылки
news.drweb.ru/show/?i=9272&c=23&lng=ru&p=0 — проникновение в Linux
news.drweb.ru/show/?c=5&i=9309&lng=ru проникновение в Мас.
Это сходу. Вообще в разделах новостей каждого из ведущих вендоров есть отчеты
news.drweb.ru/show/?c=5&i=9341&lng=ru — распространение через рассылки
news.drweb.ru/show/?i=9272&c=23&lng=ru&p=0 — проникновение в Linux
news.drweb.ru/show/?c=5&i=9309&lng=ru проникновение в Мас.
Это сходу. Вообще в разделах новостей каждого из ведущих вендоров есть отчеты
О чем планируется следующая статья?
О тестах. Каким тестам можно доверять, каким нет. А вообще планы большие. Потом скорее всего пройдусь по стандартам. Там просто заповедник мифов и ереси
Пишите только точнее, а то начнете сами мифы плодить.
Постараюсь. Но по тестам статья несложная. Тот же Касперский по тестам проходился неоднократно. А вот по стандартам беда. Сколько блогеров, столько мнений. А уж если смотреть на назначение компонентов систем защиты…
Ну вот как можно серьезно воспринимать www.anti-malware.ru/news/2015-03-23/15839?
И я с вами согласен. Проблема современного мира — доверие неизвестно откуда взявшимся данным. Откуда берутся мифы. Я тоже планирую по этому поводу статью. Как влияет психология на безопасность
Ну вот как можно серьезно воспринимать www.anti-malware.ru/news/2015-03-23/15839?
И я с вами согласен. Проблема современного мира — доверие неизвестно откуда взявшимся данным. Откуда берутся мифы. Я тоже планирую по этому поводу статью. Как влияет психология на безопасность
Но по тестам статья несложная
Но только с вами половина народа будет несогласна. Читали ведь комменты к статье Каспера? Там каждый кто в лес, кто по дрова. (разумеется, если вы не будете писать уже сто раз обмусоленных очевидностей о том, что нельзя доверять любительским тестам со сканированием трех неизвестно каких файлов)
Таких очевидностей не будет точно. Я в общем-то взялся за эту серию статей без особой надежды. Мир не переделаешь. Но если кто-то задумается — это уже будет приятно. Меня лично бесит то, что мы бездумно доверяем чужим мнениям. Совершенно не используем логику. И в этой серии я стараюсь упирать именно на логику. Сожалею, что она не всегда очевидна. возможно в конце серии я напишу нечто типа пошаговой инструкции без пояснений
Я бы пожелал каждому, кто хочет написать комментарий к чему либо, перед написанием подумать — а не чувствует ли он себя гуру, который знает все и имеет право изрекать непреложные истины. И всегда читая очередную статью делать поправку на лояльность компании, в которой автор работает и на его опыт в определенных проектах
Я бы пожелал каждому, кто хочет написать комментарий к чему либо, перед написанием подумать — а не чувствует ли он себя гуру, который знает все и имеет право изрекать непреложные истины. И всегда читая очередную статью делать поправку на лояльность компании, в которой автор работает и на его опыт в определенных проектах
Конечно, я же делаю поправку на то, что у ДрВеб поведенческий анализ пока в относительно зачаточном состоянии и облачно-репутационные технологии пока только в проекте. Потому про них не пишу и не спрашиваю :)
Что знаю, то пишу. Я стараюсь в своих постах соблюсти максимум честности. Если где-то что-то не описано — то только от недостатка информации. У Dr.Web облако есть, но как и у всех вендоров — механизмы его функционирования под страшной тайной, что вызывает временами инсинуации по типу ain.ua/2014/05/27/525970 (за исключением мелких деталей типа невозможности отключения облака и политизированности вывода, ибо подставить вместо Касперского в отчет можно почти любую систему защиты — более менее правда. Даже я бы сказал смягченная правда)
Плюсы и минусы всех компонентов, включая поведенческие анализаторы, обещаю будут разобраны максимально честно по типу — вот вам факты, а как их применять каждый решает сам
Плюсы и минусы всех компонентов, включая поведенческие анализаторы, обещаю будут разобраны максимально честно по типу — вот вам факты, а как их применять каждый решает сам
Чтобы не быть превратно понятым. Я не верю, что антивирусы следят и воруют данные. Но в современном мире нет времени подумать. По данным Сбербанка, в свое время озвученным в Магнитогорске, для увода денег по стране нужно от одной до трех минут. Поэтому тестирование обновлений становится роскошью — ибо возможно неизвестный вирус уже запущен. С другой стороны вендоры (и не только антивирусы) не могут протестировать все апдейты на всех возможных конфигурациях — и тоже торопятся включать новые записи в базы. Итог — www.pcworld.com/article/132050/article.html, geektimes.ru/post/177883. Или даже www.anti-malware.ru/news/2011-10-27/4830, pikabu.ru/story/avast_zablokiroval_sam_sebya_2348799. Выборка исключительно, что гугл выдал в поиске, но печальный опыт имели и иные вендоры.
В качестве примеров, что надежных программ нет. Подобные вещи случаются со всеми. Вот свежее www.opennet.ru/opennews/art.shtml?num=41897
В качестве примеров, что надежных программ нет. Подобные вещи случаются со всеми. Вот свежее www.opennet.ru/opennews/art.shtml?num=41897
Наверное, никто не заметил, но в статье нет буквы «й». Везде вместо нее стоит «и» и умлаут.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как поймать то, чего нет. Часть вторая: снаряд и броня