Как будто этому кулцхакеру Василию (который может обжать, врезаться и настроить) сложно договорится со всем этажом, что интернет будет идти через него за в 4ре раза меньшую стоимость чем они платят сейчас провайдеру.
Все эти цифры, без теста на пропускную способность при разных условиях не говорят ни о чём. В реальности на не enterprise уровне, даже гигабитный порт, если будет активирован firewall или ещё какая фильтрация, будет давать около 200, и то, наверное в лучшем случае.
Но всё это маркетинг, на мой взгляд. Обычный HD (13-20 гигов) фильм, отнимает 10-20 мегабит всего.
а фиг его знает, я не исследовал. он точно прописывал себя в автозагрузку и делал копии себя (вот как symantec на это не реагировал?). Дальше судя по описанию drweb и kaspersky (они единственные детектили его в тот момент) делал дамп всех паролей ит.п. и отправлял их кому-то.
учитывая явную направленность на организации, может пытался увести банк-клиент.
В итоге организация будет переходить на drweb, т.к. он судя по всему значительно быстрее определяет угрозы созданные в/для «россии».
ну так вы про какие рабочие или личные компьютеры? если на рабочих это ещё как-то возможно, то на личных мало себе представляю. лучше уж с win, перейти на osx или linux, где вирусов мало.
абсолютно не факт, что антивирус будет что-то блокировать, если он не настроен на параноидальный режим.
ну вот вам пример, небольшая организация, которая не имеет постоянного админа, следовательно блокировать выполнение exe — это не вариант (заблокировано только с внешних носителей). даже обновления нормально накатываться не будут.
на yandex почту (то есть их антивирус не сработал) пришло письмо «типа от клиента» с «типо счётом». zip вложение в нём файл «счёт.scr» с иконкой pdf. Обучить всех пользователей понимать расширения возможности нет. что письма открывать от неизвестного отправителя не надо они знают, но тут известный.
антивирус symantec никак не отреагировал на этот файл. Мало того, троян был отправлен им 7 ноября, когда уже несколько антивирусов определяли этот файл. 22го (!!!) ноября они написали следующее:
.scr Our automation was unable to identify any malicious content in this
submission.
The file will be stored for further human analysis
Этот троян также прошёл через антивирус в гейте (Forefront) и через железный firewall (правда там антивируса нет, так что это не его вина).
Так мало того, открыть «счёт» не получалось (файл просто прописывал себя в системе и не выводил никакого сообщения), троян открыл весь отдел, т.к. сотрудница пыталась открыть его на других компьютерах.
И висел бы он на этих компьютерах до сих пор (судя по ответу Symantec), если бы меня не попросили открыть письмо, а то не открывается.
И что, компьютеры в домене, права не админские естественно у пользователей. Политики есть, свежие антивирусы тоже, антивирус на гейте есть, firewall есть. Даже почтовый сервер Yandex, который тоже имеет свою безопасность. Ну да, scr не блокировался, упущение. Но сколько компьютеров где это заблокировано, единицы? Да и всё блокировать нельзя, будет какой-нибудь быть pdf с 0day.
Я к тому, что без громадного дискомфорта это «войну» выиграть невозможно. Да и сколько компьютеров вообще не администрируются, дай бог обновления накатываются. У вас просто изначально была фраза, что всё дело в руте, я по-этому и ответил.
«посещает непонятные сайты» — вот это сильно, дайте список понятных, а.
на самом деле рут не решает ничего. самое важное, что есть на компьютере пользователя — его файлы, доступ к которым он имеет и без рута. открыть соединение по 80 порту и прочитать файлы пользователя, можно без root на «офисных» компьютерах в 99,9999 случаях.
Bank name: Alfa-Bank, Moscow, Russia
Account holder name: моё имя транслитом, как в реквизитах
BIK: 044525593
SWIFT code: ALFARUMM
Account number: мой внутренний номер USD счёта в альфе, а не банка-корреспондента.
Но всё это маркетинг, на мой взгляд. Обычный HD (13-20 гигов) фильм, отнимает 10-20 мегабит всего.
Как замеряли?
учитывая явную направленность на организации, может пытался увести банк-клиент.
В итоге организация будет переходить на drweb, т.к. он судя по всему значительно быстрее определяет угрозы созданные в/для «россии».
абсолютно не факт, что антивирус будет что-то блокировать, если он не настроен на параноидальный режим.
ну вот вам пример, небольшая организация, которая не имеет постоянного админа, следовательно блокировать выполнение exe — это не вариант (заблокировано только с внешних носителей). даже обновления нормально накатываться не будут.
на yandex почту (то есть их антивирус не сработал) пришло письмо «типа от клиента» с «типо счётом». zip вложение в нём файл «счёт.scr» с иконкой pdf. Обучить всех пользователей понимать расширения возможности нет. что письма открывать от неизвестного отправителя не надо они знают, но тут известный.
антивирус symantec никак не отреагировал на этот файл. Мало того, троян был отправлен им 7 ноября, когда уже несколько антивирусов определяли этот файл. 22го (!!!) ноября они написали следующее:
Этот троян также прошёл через антивирус в гейте (Forefront) и через железный firewall (правда там антивируса нет, так что это не его вина).
Так мало того, открыть «счёт» не получалось (файл просто прописывал себя в системе и не выводил никакого сообщения), троян открыл весь отдел, т.к. сотрудница пыталась открыть его на других компьютерах.
И висел бы он на этих компьютерах до сих пор (судя по ответу Symantec), если бы меня не попросили открыть письмо, а то не открывается.
И что, компьютеры в домене, права не админские естественно у пользователей. Политики есть, свежие антивирусы тоже, антивирус на гейте есть, firewall есть. Даже почтовый сервер Yandex, который тоже имеет свою безопасность. Ну да, scr не блокировался, упущение. Но сколько компьютеров где это заблокировано, единицы? Да и всё блокировать нельзя, будет какой-нибудь быть pdf с 0day.
Я к тому, что без громадного дискомфорта это «войну» выиграть невозможно. Да и сколько компьютеров вообще не администрируются, дай бог обновления накатываются. У вас просто изначально была фраза, что всё дело в руте, я по-этому и ответил.
PS: вирусы часто распространяются и на крупных известных сайтах, через рекламу, например.
на самом деле рут не решает ничего. самое важное, что есть на компьютере пользователя — его файлы, доступ к которым он имеет и без рута. открыть соединение по 80 порту и прочитать файлы пользователя, можно без root на «офисных» компьютерах в 99,9999 случаях.
Bank name: Alfa-Bank, Moscow, Russia
Account holder name: моё имя транслитом, как в реквизитах
BIK: 044525593
SWIFT code: ALFARUMM
Account number: мой внутренний номер USD счёта в альфе, а не банка-корреспондента.
This is done to prevent installs on CIS systems. You may disagree, but that’s taboo for us.