Не поможет. Вариант: недавно опубликованная уязвимость в Adobe Flash. Будет исполнена в браузере, который скачает и запустит нужный файл. Файрволл уже не помог, ибо для него скачивание выполнял браузер. Если сидим под админом - сразу после запуска остановка сервиса файрволла и в дальнейшем активное вмешательство в его работу. Тоже самое и с антивирусами. Спасают две вещи - отсутствие у юзера привелегий на работу с сервисами и пароли на сервисы.
Даже близко к туториалу не лежит :-) Приведенный кусок кода, в общем, бксполезен. А кто знает, как его применить - тому моя писанина - детский лепет. В сети полно исходных кодов троянов и вирусов, как и хороших руководств.
Пришлите через форму на сайте DrWeb (укажите, что с одноклассников - больше шансов, что не пропустим). И на vilgeforce@gmail.com в архиве с паролем. Спасибо.
Да черт с ним, с обходом. Если троян содержит функции противостояния конкретному файрволлу (или антивирусу) и он смог запустится - эти защитные программы уже не спасут. Их либо выключат, либо покорежат, либо будут управлять их работой.
Могу. За 5 месяцев непосредственной работы с вирусами, мне не попался ни один, расчитанный не только под венду. Или были, как верно замечено ниже, только для офисных пакетов. Но так как их было мало, я про них и не помню :-)
Да, это вторая волна. Утром, значит, пошло? Интересно... Сегодня около 18 по москве добавил записи для детектирования и этих файлов. А код проверьте на DrWeb-овском сайте, если не будет определен - присылайте.
Увы, не знаю :-( Мне в руки попал конец цепочки, ни HTML-страницы, ни первого скачанного файла не было. А хост к тому времени уже лежал. Ищите по имени библиотеки, оно всегда одинаковое. Ну и CureIt эту заразу знает, сегодня добавляли с коллегами.
Никогда не настраивал файрволл серьезно. Максимум перекрывал порты и мне всегда было интересно: сможет ли файрволл отслеживать скачивание EXE-файлов из браузера? И как, например, на вашем файрволле настроены правила для svchost?
Файрволл - оно хорошо. Но эффективность сильно зависит от настроек. Подавляющее большинство из всей заразы что я видел, грузилось по 80-му порту. Опять-таки, если троян нацелен на противодействие файрволлу, то файрволл не поможет... Много всяких тонкостей есть.
Чиво?! Ну вы посмешили! Лично присутствовал при "разделки" того червя. Вирус был не в картинке, а в исполняемом файле. С сервера запрашивался *.jpg, а возвращал сервер уже *.scr. Юзер его запускал, scr дропал jpg и показывал его в стандартном просмотрщике. Никаких эксплоитов. Юзер должен был САМ загрузить и САМ запустить файл.
И как часто вам встречались эти эксплоиты? ;-) Для оперы не видел ни одного. Для FF проскакивал пару раз и это была редкость. А вот для IE их десятки через мои руки прошли.
Насчет "не засек" - это не ко мне, у меня на виртуальных машинах вообще ничего защитного не стоит :-)