какой русский читает статью прежде чем ответить? :-)
я с самого начала утверждал, что антивирус не может предотвратить заражение и функция предотвращения заражений должна во многом (но не во всем) возлагаться на иные средства. функция антивируса, в чем его никто не может заменить, лечение вирусов, которые все же обошли все барьеры.
то есть вы опять же исходили из традиционного — и в корне неверного — взгляда на задачи антивируса в сети
а если говорить о заражении — да, вы абсолютно правы. так систему защитить можно. а бывает и нужно — в местах, где антивирус ставить нельзя.
но есть одно но. для такой защиты нужно иметь не просто грамотного, но и опытного админа. историй, как обходили ограничения запуска — в количестве. а вот антивирус поставить просто. вопрос затрат
Ответ:
Очень многое зависит от того, как настроены запреты. Запускаемые файлы это не только .exe, есть, например, скринсейверы .scr, есть .bat-файы.
Можно загрузить динамическую библиотеку в память (.dll).
Можно установить и запустить троянца, используя уже имеющиеся программы на диске — стартовать через cmd.exe, regsvr32.exe, rundll32.exe, wscript.exe и т.д.
Можно запустить и настроить шелл-код прямо в памяти, который будет инжектиться в работающие процессы, слушать порты, и т.д.
Если есть офис, можно запустить макровирус — если включены скрипты
Я тихо подозреваю, что подобного зла не много — в первую очередь в связи с тем, что количество пользователей, столь озабоченных безопасностью невелико с одной стороны, а с другой они предусматривают меры для восстановления информации в случае чего. Невыгодно атаковать
Насколько я понимаю — запустить можно и из памяти. Вполне возможно, что работать такое будет только до перезагрузки. Но ведь многие и не перезагружают и не выключают машины
Я сделал запрос специалистам. Как будет ответ — напишу
Как говорит наша поддержка — запрет исполнения из папки Темр решает 90% проблем :-)
Но 10 процентов тоже могут все снести. Это кстати еще одна типичная ошибка. Почему-то считается, что мы должны защищаться от вирусов, хакеров и тд. На самом деле не совсем так. Защититься на 100% нельзя никаким средством. Мы защищаемся от рисков реализации. И если вы какой-то риск признаете не значимым, то можете не защищаться. Но и отвечать за неверную оценку риска — вам
Я ни в коей мере не отрицаю, что любые ограничивающие меры снижают степень риска. Я больше обращаю внимание на две вещи с которыми я постоянно сталкиваюсь:
— абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
— незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.
Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса
> что мешает админом поставить весь нужный софт и работать в нем из-под юзера
1. Неумение переломить вопли пользователей, кого ограничили
2. неумение настроить нужный софт (в том числе бесплатный)
3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
1. Сходу — руткит. Внедрение непосредственно в процесс. Запуск в памяти. Запись в служебные области. Концепт был записи в аккумулятор. Жизнь не заканчивается на файловой системе.
Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд
Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
Увы и ах:
— уязвимости
— софт, установленный до того, как компьютер попал к пользователю
— скрипты в браузере/pdf/офисных приложениях
— социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить
…
Скорее всего модификация, но не буду спорить. К сожалению бывает и так. Например по причине того, что на анализ попала только часть вируса.
Спасибо за уточнение.
И всегда в таких случая приветствуются багрепорты
Насчет последней (что она последняя) вспышки вы погорячились. Заходим на updates.drweb.com за вчера:
Trojan.Encoder.514(3) Trojan.Encoder.567(2) Trojan.Encoder.761(2) Trojan.Encoder.858(3) Trojan.Encoder.889(3) Trojan.Encoder.906(3) Trojan.Encoder.929 Trojan.Encoder.949 Trojan.Encoder.952 Trojan.Encoder.953 Trojan.Encoder.960(2). Не уверен, что выбрал все из занесенных в этот день — скопировал первую найденную строчку в списке
Пекут как пирожки. И раз были добавлены в базу — не обнаруживались до этого. Энкодеры сейчас типичный пример промышленной разработки вредоносных программ. И быть готовым к действиям по дешифровке и восстановлению — обязанность каждого админа.
И вот тут засада — хотя требования, что нужно описывать в заявке и что присылать — висят везде и всюду — на каждую заявку приходится объяснять лично. Если кто не знает до сих пор, что требуется для попытки расшифровки — пишите
Не обязательно, но есть действительно построенные вокруг командного центра. Кстати одна из причин запросов в техподдержку по типу «ваш антивирус удалил троян, а он все время снова возникает на том же месте» — нечто типа Downloader. Из последнего — news.drweb.com/show/?c=5&i=9341&lng=ru
Чтобы не быть превратно понятым. Я не верю, что антивирусы следят и воруют данные. Но в современном мире нет времени подумать. По данным Сбербанка, в свое время озвученным в Магнитогорске, для увода денег по стране нужно от одной до трех минут. Поэтому тестирование обновлений становится роскошью — ибо возможно неизвестный вирус уже запущен. С другой стороны вендоры (и не только антивирусы) не могут протестировать все апдейты на всех возможных конфигурациях — и тоже торопятся включать новые записи в базы. Итог — www.pcworld.com/article/132050/article.html, geektimes.ru/post/177883. Или даже www.anti-malware.ru/news/2011-10-27/4830, pikabu.ru/story/avast_zablokiroval_sam_sebya_2348799. Выборка исключительно, что гугл выдал в поиске, но печальный опыт имели и иные вендоры.
В качестве примеров, что надежных программ нет. Подобные вещи случаются со всеми. Вот свежее www.opennet.ru/opennews/art.shtml?num=41897
Что знаю, то пишу. Я стараюсь в своих постах соблюсти максимум честности. Если где-то что-то не описано — то только от недостатка информации. У Dr.Web облако есть, но как и у всех вендоров — механизмы его функционирования под страшной тайной, что вызывает временами инсинуации по типу ain.ua/2014/05/27/525970 (за исключением мелких деталей типа невозможности отключения облака и политизированности вывода, ибо подставить вместо Касперского в отчет можно почти любую систему защиты — более менее правда. Даже я бы сказал смягченная правда)
Плюсы и минусы всех компонентов, включая поведенческие анализаторы, обещаю будут разобраны максимально честно по типу — вот вам факты, а как их применять каждый решает сам
Таких очевидностей не будет точно. Я в общем-то взялся за эту серию статей без особой надежды. Мир не переделаешь. Но если кто-то задумается — это уже будет приятно. Меня лично бесит то, что мы бездумно доверяем чужим мнениям. Совершенно не используем логику. И в этой серии я стараюсь упирать именно на логику. Сожалею, что она не всегда очевидна. возможно в конце серии я напишу нечто типа пошаговой инструкции без пояснений
Я бы пожелал каждому, кто хочет написать комментарий к чему либо, перед написанием подумать — а не чувствует ли он себя гуру, который знает все и имеет право изрекать непреложные истины. И всегда читая очередную статью делать поправку на лояльность компании, в которой автор работает и на его опыт в определенных проектах
Постараюсь. Но по тестам статья несложная. Тот же Касперский по тестам проходился неоднократно. А вот по стандартам беда. Сколько блогеров, столько мнений. А уж если смотреть на назначение компонентов систем защиты…
Ну вот как можно серьезно воспринимать www.anti-malware.ru/news/2015-03-23/15839?
И я с вами согласен. Проблема современного мира — доверие неизвестно откуда взявшимся данным. Откуда берутся мифы. Я тоже планирую по этому поводу статью. Как влияет психология на безопасность
О тестах. Каким тестам можно доверять, каким нет. А вообще планы большие. Потом скорее всего пройдусь по стандартам. Там просто заповедник мифов и ереси
я с самого начала утверждал, что антивирус не может предотвратить заражение и функция предотвращения заражений должна во многом (но не во всем) возлагаться на иные средства. функция антивируса, в чем его никто не может заменить, лечение вирусов, которые все же обошли все барьеры.
то есть вы опять же исходили из традиционного — и в корне неверного — взгляда на задачи антивируса в сети
а если говорить о заражении — да, вы абсолютно правы. так систему защитить можно. а бывает и нужно — в местах, где антивирус ставить нельзя.
но есть одно но. для такой защиты нужно иметь не просто грамотного, но и опытного админа. историй, как обходили ограничения запуска — в количестве. а вот антивирус поставить просто. вопрос затрат
Очень многое зависит от того, как настроены запреты. Запускаемые файлы это не только .exe, есть, например, скринсейверы .scr, есть .bat-файы.
Можно загрузить динамическую библиотеку в память (.dll).
Можно установить и запустить троянца, используя уже имеющиеся программы на диске — стартовать через cmd.exe, regsvr32.exe, rundll32.exe, wscript.exe и т.д.
Можно запустить и настроить шелл-код прямо в памяти, который будет инжектиться в работающие процессы, слушать порты, и т.д.
Если есть офис, можно запустить макровирус — если включены скрипты
Я тихо подозреваю, что подобного зла не много — в первую очередь в связи с тем, что количество пользователей, столь озабоченных безопасностью невелико с одной стороны, а с другой они предусматривают меры для восстановления информации в случае чего. Невыгодно атаковать
Я сделал запрос специалистам. Как будет ответ — напишу
Но 10 процентов тоже могут все снести. Это кстати еще одна типичная ошибка. Почему-то считается, что мы должны защищаться от вирусов, хакеров и тд. На самом деле не совсем так. Защититься на 100% нельзя никаким средством. Мы защищаемся от рисков реализации. И если вы какой-то риск признаете не значимым, то можете не защищаться. Но и отвечать за неверную оценку риска — вам
По поводу lnk :-) Хабр — это рулез. habrahabr.ru/post/101971
Для интереса — news.drweb.com/show/?c=5&i=2979&lng=ru — попытка обхода UAC
— абсолютная уверенность в своей правоте. По типу «В линукс вирусов нет!». Да, риск подцепить вирус под Линукс невелика, но это не повод надеяться, что все автоматически будет хорошо — www.opennet.ru/opennews/art.shtml?num=36454. Исследователи для своих целей заразили и использовали 420 тысяч систем – и никто в мире этого не заметил! Поэтому профессиональная паранойя должна быть. Да, подавляющая часть вирусов идет торной тропой, но рано или поздно кто-то ловит шифровальщик на документы супер важности (в через неделю ловит его туда же еще раз — и в этот раз мы расшифровать его уже не можем)
— незнание админами (ладно пользователи) основ безопасности. Какие угрозы есть, какие сертификаты нужны и тд.
Сколько раз сталкивался, что пропуск вируса приводил не к смене политики в области ИБ, а к смене антивируса
> что мешает админом поставить весь нужный софт и работать в нем из-под юзера
1. Неумение переломить вопли пользователей, кого ограничили
2. неумение настроить нужный софт (в том числе бесплатный)
3. начальство, которое например таскает из дому флешки/мобильные и «проблемы вирусов шерифа не волнуют»
Если здесь есть вирусные аналитики — я надеюсь они дадут более точный ответ
2. Увы и ах — неизвестные вредоносные программы — посмотрите последние отчеты Симантика и Касперского — сколько оставались необнаруженными шпионские программы
3. запретить можно, но как тогда работать на большей части интернета? Всякие системы управления через веб, бухгалтерия и тд
Классика «мы и без антивируса проживем» — банкоматы и близкие к ним устройства. Да, вирусов, направленных именно на банкоматы относительно немного. Но много ли удовольствия увидеть в интернете фото своего банкомата с требованием выплаты? + командировочные куда в тьмутаракать на восстановление. Если не забуду, напишу как вирусы в банкоматы попадают
— уязвимости
— софт, установленный до того, как компьютер попал к пользователю
— скрипты в браузере/pdf/офисных приложениях
— социальная инженерия — для приведенного списка работает в полный рост — установка программ пользователем не запрещена, а значит будут ставить
…
Спасибо за уточнение.
И всегда в таких случая приветствуются багрепорты
Trojan.Encoder.514(3) Trojan.Encoder.567(2) Trojan.Encoder.761(2) Trojan.Encoder.858(3) Trojan.Encoder.889(3) Trojan.Encoder.906(3) Trojan.Encoder.929 Trojan.Encoder.949 Trojan.Encoder.952 Trojan.Encoder.953 Trojan.Encoder.960(2). Не уверен, что выбрал все из занесенных в этот день — скопировал первую найденную строчку в списке
Пекут как пирожки. И раз были добавлены в базу — не обнаруживались до этого. Энкодеры сейчас типичный пример промышленной разработки вредоносных программ. И быть готовым к действиям по дешифровке и восстановлению — обязанность каждого админа.
И вот тут засада — хотя требования, что нужно описывать в заявке и что присылать — висят везде и всюду — на каждую заявку приходится объяснять лично. Если кто не знает до сих пор, что требуется для попытки расшифровки — пишите
И бекап обязателен как воздух! Ибо бывает так — news.drweb.com/show/?c=5&i=7098&lng=ru, а бывает и так news.drweb.com/show/?c=5&i=9341&lng=ru
В качестве примеров, что надежных программ нет. Подобные вещи случаются со всеми. Вот свежее www.opennet.ru/opennews/art.shtml?num=41897
Плюсы и минусы всех компонентов, включая поведенческие анализаторы, обещаю будут разобраны максимально честно по типу — вот вам факты, а как их применять каждый решает сам
Я бы пожелал каждому, кто хочет написать комментарий к чему либо, перед написанием подумать — а не чувствует ли он себя гуру, который знает все и имеет право изрекать непреложные истины. И всегда читая очередную статью делать поправку на лояльность компании, в которой автор работает и на его опыт в определенных проектах
Ну вот как можно серьезно воспринимать www.anti-malware.ru/news/2015-03-23/15839?
И я с вами согласен. Проблема современного мира — доверие неизвестно откуда взявшимся данным. Откуда берутся мифы. Я тоже планирую по этому поводу статью. Как влияет психология на безопасность