Обновить
238
force@force

Например: Программист

35
Подписчики
Отправить сообщение
Давно копал эти дебри, вроде бы раньше в .NET было два или 3 разных сборщика мусора, которые настраивались политикой. Возможно, что для другого GC проблема с LOH не так актуальна? (Правда есть вероятность, что фигню щас несу :) ).
1. Он по-умолчанию включен, насколько я знаю. Зачем его отключать? Может проще фаирволл поставить, гораздо безопаснее будет.
2. телнет, зачем телнет? Нужен RPC, SMB и RDC полезен
3. Понятно, вначале отключить, считать что она не нужна. :)
4. Практика показывает, что у многих есть. Или диск с ноутом, или сами писали чтобы потестировать или вообще «откуда-то взялся» :)
5. Люди делятся на тех, кто не делает бекапы и кто уже делает. Несмотря на то, что это вдалбливается годами, если бекап не работает искаропки, то над ним заморачивается только малая часть пользователей.
Ээх… сколько я слышу о всяких новых «уникальных» технологиях, которые вот-вот чуть-чуть и в 100 раз всё будет выше, быстрее и сильнее, но блин, где они?? Почему всё идёт в лучшем случае по закону Мура, а в худшем вообще замирает. Может это всемирный заговор и все хотят срубить бабла, может это учёные хотят срубить бабла, но читаешь новости и прямо-таки чувствуешь что вот оно щастье, только почему-то не наступает.

В любом случае, если учёные выполнят хотя бы один из пунктов: дешёвое, большой ёмкости, быстрое, и всё это я увижу в 2012-ом году, то пусть регятся на Хабре, поставлю им плюсик в карму, но зануда внутри меня говорит — забудь, 2015-ый год, не ранее, или вообще тихо забудут.
Сервисов много, но если можно справится стандартными способами, то неплохо было бы о них знать, чтобы не вспоминать каждый раз про соответствующие сервисы (ссылки на которые в букмарках на заражённом компьютере). Кроме того, подобные действия возможно помогут при других подобных угрозах, или просто повреждённом компьютере, когда удалённо доступ есть, а с прямым уже сложнее.
Ммм… Про культурных знаем мы их — внешне ангелы все, а по логам то такого не скажешь. }:/
Тссс… Если человек это делает аккуратно и это не сказывается на его работе, то пусть он будет культурным и ангелом :) А логи я не видел, да, там совершенно нечего смотреть :)
Вообще-то это совершенно неестественно. Любой мало-мальски грамотный админ отключает оба ваших «естественных пункта».
Это неправильный админ. Эти порты должны быть закрыты на доступ снаружи, но в локальной сети это всё должно работать, иначе это не админ, а сам себе злобный буратино, который вокруг себя вырыл ров, и запустил крокодилов, а сделать мост наружу забыл.
Ага, точно. Надо будет поправить. Только не HKCU, а HKEY_USERS\SID — ибо удалённо как такового текущего нет.
Да, а эту UAC я вааще раз в жизни на 2008 сервере видел и с тем пор с ужасом вспоминаю — ни тебе hosts подправить, ни перегрузить как надо, пипец полный.
Правка hosts — то ещё действие, вдруг это подлый вирус хочет odnoklassniki.ru замапить на другой IP, а с перезагрузкой вроде проблем не было.

Здесь тогда как вариант попробовать групповые политики поизобретать, либо с группами поизголяться. Всё-таки надо выбирать — или удобство админа (или блондинки) или блин безопасность конторы, в плане той же базы.
Думаю про это, но всё же, как бы не стало больше проблем со всеми политиками чем пользы, всё таки у нас люди культурные, вирусов большинство из них не ловят. :) Естественно, все секурные вещи отдельно защищены, но в большинстве других, множеству сотрудников требуются весьма жирные права, срезать их — опасно в плане того, что в ответственный момент он не сможет сделать что-то важное. Но, повторюсь, это специфика именно нашей конторы, в других ситуациях — мнение моё может быть совершенно другим.

Поверьте, это для вас может и нормально, но для большинства людей, это «в гамаке и стоя», а с учётом именно специфики работы, требуется запускать множество программ, любящих админа.

Банально можно привести в пример UAC в висте, который всех безумно раздражал именно из-за частого появления. А частое появление — потому что софтописатели любили делать что не надо, но без этих функций программа работать отказывалась. При этом UAC можно действительно настроить на ввод логина с паролем админа, только тогда через неделю такой работы руки будут очень мускулистыми, а кнопки на клавиатуре очень затёртыми :)
У TaskManager есть хорошее свойство, он вызывается по Ctrl+Alt+Del, можно ли подменить его ProcessExplorer'ом для такого действия? Иначе смысла нет, у меня вот, в Far'е всё показывается и удалённые процессы тоже.
Есть одна небольшая разница: у вас есть меню Пуск, а это сильно облегчает задачу.
К сожалению, специфика работы и архитектура XP не позволяют это сделать.
Поржал… «Я сам не пробовал», но вы кача-а-а-айте:))
Не надо игнорировать остальную часть фразы, я пытался запустить этот троян и в картинках показать, как всё выглядит, заодно и выяснить дополнительные детали. Но вот не хочет, зараза, запускаться, боится :)

Которые побегут устанавливать троян на комп, а потом с ним бороться))
Тоже неплохо. Данный экземпляр не особо страшный, так что почему бы и нет?
Как было сказано: Наверняка для администраторов данный метод будет банальным и очевидным :) Я просто старался показать, что можно сделать стандартными средствами, если заниматься лечением проблем профессионально, то методы уже совершенно другие.
Есть просто большой класс опытных пользователей, которые просто не знают, что «и так можно». Вот на них я и рассчитывал свой пост. Иногда подобные действия даже дома удобнее делать, если есть пара компьютеров, объединённых в локальной сети.
Я писал, что есть множество способов, мы решили выбрать труЪ-убийство удалённо :)
Я думаю, что такую мощь технологий использовать для обычной отправки SMS — это как-то странновато. Вообще, я встречал вирусы, которые делали вид, что их нет в системе, и антивирусы об этом радостно рапортовали, но всё равно, небольшие хвосты оставались, которые позволяли обнаружить присутсвие чего-то неродного в системе.
Написал пост, иначе история была бы не полной © :)
Добавлю ещё, может кому интересно будет, что сервер с вирусами находится на этом IP: 91.213.174.12, можете посмотреть, там много доменов непонятного назначения, видимо чтобы дольше не банили? А автор походе Bondarenko Dmitriy Vladimirovich, если данные не левые.

ЗЫ: Если желания хватит, то расскажу, как мы этот троян быстренько грохнули, чтобы потом выяснять, откуда он вообще взялся.

Информация

В рейтинге
Не участвует
Откуда
Россия
Зарегистрирован
Активность