Дмитрий Обронов
39 лет, Россия
50 сообщений
#10 лет назад


Читаю здесь форум и удивляюсь - я, через полгода после приобретения первого компьютера, был намного продвинутее (интересное слово, к слову (тьфу ты, каламбур )))) половины присутствующих на этом форуме. Короче, попытаюсь рассказать читателям форума (я бы статью написал, но на форуме людей больше, да и опытные люди смогут дополнить. Администрации форума: если нетрудно, продублируйте в качестве статьи).

Многие присутствующие дрожат, заслышав слово "вирус". Почему? От вирусов не спасает даже переустановка. Вирусы внедряются в загрузочный сектор HDD (что это такое?). Вирус может пожечь матплату, HDD, монитор, оперативку и т.д. Это мифы. Первое и второе - синонимы. Третье было правдой. Сейчас тоже правда на 0,25% (число моё). Пожечь, в принципе может, но не факт, что у вас сожгет. Если бояться сожженной матплаты, то лучше на улицу не выходить (а вдруг метеорит на голову упадет ?). Также люди боятся, что украдут пароль от вебмани (ЯД, РБК мани и т.д.).

Успокою. Никто ничего без Вашего (может быть молчаливого) согласия и содействия не украдет. Важно лишь соблюдать определенные правила.
Я, как вебмастер, долго не протянул бы, если бы не следовал правилу, которое нам завещал великий К. Маркс (может, он тоже был веб-мастером :?: ) - во всем сомневаться и все проверять.

Самое главное - не доверять ничему из интернета. В сети полно людей, которые хотят поживиться за Ваш счет. Итак, первое, что надо затвердить, как "Отче наш иже на небеси" - в сети все враги, пока они не докажут обратное. Отсюда следует первое правило - все, что из сети, должно проверяться. Это относится как к файлам, так и к веб-сайтам, которые Вы открываете в Опере (ИЕ, тормозиле). Чем? К счастью, сейчас полно антивирусов, которые фильтруют все, что идет из сети.Следовательно, нужен антивирь.Если есть средства на Касперский - покупайте. Антивирусы сечас работают не над базой сигнатур, а за покупателя воюют.

Второе. Подозрительные файлы лучше всего запускать (открывать) под эмулятором. Что это такое? Проще говоря, это комп внутри Вашей системы. В вложении скриншот этого эмулятора. По сути - обычная программа, но представлет собой компьютер. Например, можно запустить Win2000, находясь в WinXP. При этом любая программа, выполняющаяся под эмулятором, считает, что эмулятор является настоящим компом. Если скачанный файл является вирусом, то все, что он сожгет - это эмулятор. Правда, сейчас вроде бы появились вирусы, которые не запускаются на эмуляторе, но это не важно. Короче, качаем эмулятор (microsoft.com, программа VirtualPC, последняя версия бесплатна) и ставим на него какую-нибудь операционную систему. У меня стоит XP Pro. После этого, все файлы с сети сначала запускаем под эмулятором.

После этого наступает этап, в котором замешаны Вы по своей вине - файл, скачанный из сети (пришедший по почте, аське и т.д.). Итак, первое, что надо запомнить - ни один вирус (черви не в счет) не запускается без Вашего участия. Если Вы скачали зараженный файл, пока он не запущен - он безопасен. Запустить его можете только Вы сами.

Первое, что надо понять: запуск и открытие файла - разные вещи.Короче говоря, пока файл с вирусом не запущен, он безопасен. Любой вирус является программой, которая должна быть запущена. Как он после этого работает - задача вирусных аналитиков, которым мы деньги платим.
Как антивирусы идентифицируют вирусы? Основным способом является сигнатурный поиск. Иначе говоря, антивирус пытается выявить заразу по характерным последовательностям байтов в проверяемом файле. Если сигнатурный поиск ничего не дал, то в игру вступает эвристический анализатор. К сожалению, именно благодаря ему мы имеем кучу ложных срабатываний. У меня, было дело, каспер завизжал из-за того, что я упаковал свою программу с помощью не очень известного протектора. Представьте, только что созданная программа была определена как вирус :o.

Для того, чтобы антивирус мог опознать вирус с помощью сигнатуного поиска, он должен иметь сигнатуру соответствующего вируса. То есть, его надо обновлять. Но, пока аналитики лаборатории не знают о вирусе, они не сделают сигнатуру. Когда визжит Каспер, помяните добрым словом ту матплату, чьей сожженной биос Вы обязаны своей безопасностью .

Дальше - основные мЕтоды заражения. Раз вирусописателю надо, чтобы пользователь запустил его вирус, он будет стараться уговорить пользователя это сделать. Как? прочитайте соответствующую тему. В данном случае все повели себя как (прошу прощения) лохи. Распаковывать файлы, присланные левым источником, запускать ярлыки.... Впрочем, я тоже, может быть, ярлык запустил бы без особого напряга, но у меня вебмани и ЯД на другой машине (здесь без вариантов - другой комп, и точка. В худшем случае - другая система без интернета).

Итак, классика - двойное расширение. Скачайте к себе файл, приложенный к сообщеию (сейчас приложен скриншот, так что, качать нечего). Вроде бы, обычный текстовый файл. На самом деле - программа. Откройте Панель управления -> Свойства папки -> закладка "Вид". Уберите галку "Скрывать раширения.... и т.д.". Увидите. АААА! Испугались? Откройте с помощью блокнота - увидите - ничего страшного. Как открыть - решайте сами. Это действительно программа. По расширению. *.exe. Это текстовый файл. Мне сечас не на чем писать прогу. Итак, ясно, что двойное расширение - старый фокус. Пользователь видит - "Картинка.jpg", а открывает "Картинка.jpg.exe". Про другие способы расскажут коллеги, может быть и я что-нибудь добавлю.
Итак, вирь запущен, Каспер молчит, как рыба. Что смотрим? Ctrl+Alt+Del. Диспетчер задач. Закладка "Процессы". Первое, что надо запомнить - дисп никогда не вЫключит процесс, который важен для системы. Попробуйте выключить все - узнаете. После переустановки, как только откроются зеленые холмы (это я про форн раб. стола) или что-то другое, перепишите список процессов, которые сейчас запущены. После установки очередной программы запустите ее и посмотрите список процессов. По крайней мере, в диспетчере задач. Лучше использовать менеджер в FAR'e. Он показывает путь к файлу процесса. Каждый из этих процессов - программа, которая, в принципе, может сделать с машиной что угодно. Если есть подозрительный процесс - скормите его онлайновому сканеру каспера или любого другого антивируса. Я лично кормлю касперу. Если пишет, что все нормально, то это не повод расслабляться - возможно, онлайновый сканер еще не имеет сигнатуры на этот вирь (вы еще сомневаетесь, чт это вирус? ))). Через пару дней, как соберу нужные дистрибы, расскажу, как и чем распознать вирь. Не факт, что научитесь лечить , но распознать явный вирь сможете. Если кому не лень поискать, программы - IDA Pro, LordPE, StudPE. Выкладывать линки на хакерские сайты не буду. Кому интересно - спросите через личку.

Итак, процессы пересчитаны, ничего лишнего. Что дальше? Дальше - поздравляю!!!! Ваш компьютенр практически здоров. Почему практически? Потому что самый большой вирус в жизни компа - это набитая вирусами голова его пользователя.

Дамы и господа, тема превращается в очередную мусорку для выяснений интересных обстоятельств между специалистами.Я ничего с этим поделать не могу. Спрашивайте, если у меня есть ответ на вопрос - отвечу. Если кто-то дал ответ, но он непонятен, я постараюсь объяснить "для чайников"

Написал, конечнео, как Бог на душу положит, но это мой монолог. Если что непонятнео - пишите. Сейча заканчиваю статью для сайта (своего) - как закончу, выложу сюда
Евгений Б.
38 лет, Россия
5330 сообщений
#10 лет назад
Цитата ("ITML"):
Раз вирусописателю надо, чтобы пользователь запустил его вирус, он будет стараться уговорить пользователя это сделать

не обязательно. удаленно можно запустить что угодно используя дыры в ПО.... IE, например
Дмитрий Обронов
39 лет, Россия
50 сообщений
#10 лет назад
Это уже червяк. Червя надо еще написать. Да и абсолютное большинство червей использовали человеческий фактор.
Евгений Б.
38 лет, Россия
5330 сообщений
#10 лет назад
Давайте не путать троянов и червей. если под "фактором" при заражении червя Вы имеете в виду несвоевременный патч системы, то тут за всеми патчами не уследить.
а червя писать и не надо... цена 700 евриков за тело. хотя проще сразу арендовывать ботнет
Виктор Т.
32 года, Россия
1036 сообщений
#10 лет назад
Цитата ("ArtPro"):
Давайте не путать троянов и червей.

Давайте) При том что подавляющее большинство современных "вирусов" на самом деле являются червями. Для вируса необходим носитель, червь - самостоятельная боевая единица.
Дмитрий Обронов
39 лет, Россия
50 сообщений
#10 лет назад
Цитата ("ArtPro"):
Давайте не путать троянов и червей. если под "фактором" при заражении червя Вы имеете в виду несвоевременный патч системы, то тут за всеми патчами не уследить.
а червя писать и не надо... цена 700 евриков за тело. хотя проще сразу арендовывать ботнет


Как Вы собираетесь установить трояна на комп к пользователю, так, чтобы ему для заражния ничего не пришлось делать, даже запустить файл Вашего вируса (трояна)? Магическими пассами?
Дмитрий Обронов
39 лет, Россия
50 сообщений
#10 лет назад
Цитата ("Sivis"):
Цитата ("ArtPro"):
Давайте не путать троянов и червей.

Давайте) При том что подавляющее большинство современных "вирусов" на самом деле являются червями. Для вируса необходим носитель, червь - самостоятельная боевая единица.


Скорее не носитель, а "запускатель", то есть юзер. 99% червей - обычные файловые вирусы, которые запускаются не без участия юзеров (хотя бы клика по вложению в email). А червяк -почитайте Криса Касперски, разберетесь в терминилогии.

Я же писал о том, что знаю. Потому и сказал, что знающие люди поправят. Я не спец по вирусам,а просто вебмастер. К тому же я писал под влиянием соответствующих тем на этом форуме.
Кирилл Г.
35 лет, Россия
164 сообщения
#10 лет назад
Цитата ("ITML"):
Читаю здесь форум и удивляюсь - я, через полгода после приобретения первого компьютера, был намного продвинутее (интересное слово, к слову (тьфу ты, каламбур )))) половины присутствующих на этом форуме. Короче, попытаюсь рассказать читателям форума (я бы статью написал, но на форуме людей больше, да и опытные люди смогут дополнить. Администрации форума: если нетрудно, продублируйте в качестве статьи).

Многие присутствующие дрожат, заслышав слово "вирус". Почему? От вирусов не спасает даже переустановка. Вирусы внедряются в загрузочный сектор HDD (что это такое?). Вирус может пожечь матплату, HDD, монитор, оперативку и т.д. Это мифы. Первое и второе - синонимы. Третье было правдой. Сейчас тоже правда на 0,25% (число моё). Пожечь, в принципе может, но не факт, что у вас сожгет. Если бояться сожженной матплаты, то лучше на улицу не выходить (а вдруг метеорит на голову упадет ?). Также люди боятся, что украдут пароль от вебмани (ЯД, РБК мани и т.д.).

Успокою. Никто ничего без Вашего (может быть молчаливого) согласия и содействия не украдет. Важно лишь соблюдать определенные правила.
Я, как вебмастер, долго не протянул бы, если бы не следовал правилу, которое нам завещал великий К. Маркс (может, он тоже был веб-мастером :?: ) - во всем сомневаться и все проверять.

Самое главное - не доверять ничему из интернета. В сети полно людей, которые хотят поживиться за Ваш счет. Итак, первое, что надо затвердить, как "Отче наш иже на небеси" - в сети все враги, пока они не докажут обратное. Отсюда следует первое правило - все, что из сети, должно проверяться. Это относится как к файлам, так и к веб-сайтам, которые Вы открываете в Опере (ИЕ, тормозиле). Чем? К счастью, сейчас полно антивирусов, которые фильтруют все, что идет из сети.Следовательно, нужен антивирь.Если есть средства на Касперский - покупайте. Антивирусы сечас работают не над базой сигнатур, а за покупателя воюют.

После этого наступает этап, в котором замешаны Вы по своей вине - файл, скачанный из сети (пришедший по почте, аське и т.д.). Итак, первое, что надо запомнить - ни один вирус (черви не в счет) не запускается без Вашего участия. Если Вы скачали зараженный файл, пока он не запущен - он безопасен. Запустить его можете только Вы сами.

Первое, что надо понять: запуск и открытие файла - разные вещи.Короче говоря, пока файл с вирусом не запущен, он безопасен. Любой вирус является программой, которая должна быть запущена. Как он после этого работает - задача вирусных аналитиков, которым мы деньги платим.
Как антивирусы идентифицируют вирусы? Основным способом является сигнатурный поиск. Иначе говоря, антивирус пытается выявить заразу по характерным последовательностям байтов в проверяемом файле. Если сигнатурный поиск ничего не дал, то в игру вступает эвристический анализатор. К сожалению, именно благодаря ему мы имеем кучу ложных срабатываний. У меня, было дело, каспер завизжал из-за того, что я упаковал свою программу с помощью не очень известного протектора. Представьте, только что созданная программа была определена как вирус :o.

Для того, чтобы антивирус мог опознать вирус с помощью сигнатуного поиска, он должен иметь сигнатуру соответствующего вируса. То есть, его надо обновлять. Но, пока аналитики лаборатории не знают о вирусе, они не сделают сигнатуру. Когда визжит Каспер, помяните добрым словом ту матплату, чьей сожженной биос Вы обязаны своей безопасностью (.

Дальше - основные мЕтоды заражения. Раз вирусописателю надо, чтобы пользователь запустил его вирус, он будет стараться уговорить пользователя это сделать. Как? прочитайте соответствующую тему. В данном случае все повели себя как (прошу прощения) лохи. Распаковывать файлы, присланные левым источником, запускать ярлыки.... Впрочем, я тоже, может быть, ярлык запустил бы без особого напряга, но у меня вебмани и ЯД на другой машине (здесь без вариантов - другой комп, и точка. В худшем случае - другая система без интернета).

Итак, классика - двойное расширение. Скачайте к себе файл, приложенный к сообщеию.Вроде бы, обычный текстовый файл. На самом деле - программа. Откройте Панель управления -> Свойства папки -> закладка "Вид". Уберите галку "Скрывать раширения.... и т.д.". Увидите. АААА! Испугались? Откройте с помощью блокнота - увидите - ничего страшного. Как открыть - решайте сами. Это действительно программа. По расширению. *.exe. Это текстовый файл. Мне сечас не на чем писать прогу. Итек, ясно, что двойное расширение - старый фокус. Пользователь видит - "Картинка.jpg", а открывает "Картинка.jpg.exe". Про другие способы расскажут коллеги, может быть и я что-нибудь добавлю.
Итак, вирь запущен, Каспер молчит, как рыба. Что смотрим? Ctrl+Alt+Del. Диспетчер задач. Закладка "Процессы". Первое, что надо запомнить - дисп никогда не вЫключит процесс, который важен для системы. Попробуйте выключить все - узнаете. После переустановки, как только откроются зеленые холмы (это я про форн раб. стола) или что-то другое, перепишите список процессов, которые сейчас запущены. По крайней мере, в диспетчере задач. Лучше использовать менеджер в FAR'e. Он показывает путь к файлу процесса. Каждый из этих процессов - программа, которая, в принципе, может сделать с машиной что угодно. Если есть подозрительный процесс - скормите его онлайновому сканеру каспера или любого другого антивируса. Я лично кормлю касперу. Если пишет, что все нормально, то это не повод расслабляться - возможно, онлайновый сканер еще не имеет сигнатуры на этот вирь (вы еще сомневаетесь, чт это вирус? ))). Через пару дней, как соберу нужные дистрибы, расскажу, как и чем распознать вирь. Не факт, что научитесь лечить , но распознать явный вирь сможете. Если кому не лень поискать, программы - IDA Pro, LordPE, StudPE. Выкладывать линки на хакерские сайты не буду. Кому интересно - спросите через личку.

Итак, процессы пересчитаны, ничего лишнего. Что дальше? Дальше - поздравляю!!!! Ваш компьютенр практически здоров. Почему практически? Потому что самый большой вирус в жизни компа - это набитая вирусами голова его пользователя.

Как в управлении IDA Pro ?
Дмитрий Обронов
39 лет, Россия
50 сообщений
#10 лет назад
Как в управлении IDA Pro ?
Насчет последней версии не знаю. У меня довольно старая, давно не запускал, ничего. А сейчас под рукой Иды нет.
Андрей Костин
37 лет, Россия
1172 сообщения
#10 лет назад
ТС, есть такое волшебное слово, exploit. Но на лоха и червь бежит.
Алексей Бондарев
32 года, Россия
100 сообщений
#10 лет назад
Цитата ("ITML"):
Вирус может пожечь матплату
может ФАКТ! Не видели вы наверное первых вирусов. грузит в биос повышает температуру и кирдык. сейчас биос сделан так что если температура выше нормы то просто прекращается работа системы
Дмитрий Обронов
39 лет, Россия
50 сообщений
#10 лет назад
Lisio, ты когда-нить писал червяка? Попробуй меня заразить. Мой IP - 81.26.91.21. Ось - Vista SP0 . В сети ближайшие четыре часа точно, еще пару - подумаю.
Кирилл Г.
35 лет, Россия
164 сообщения
#10 лет назад
Цитата ("ITML"):
Как в управлении IDA Pro ?
Насчет последней версии не знаю. У меня довольно старая, давно не запускал, ничего. А сейчас под рукой Иды нет.

Я поглядел скрины в инете этой проги и что-то мне напомнило отдаленно эклипс, нетбинс. Я спросил ранее к тому, если там управление как в антивирях, то это одно, а если в что-то, куда-то надо лезть и лопатить, прыгать с бубном - этого не хочется! )
Дмитрий Обронов
39 лет, Россия
50 сообщений
#10 лет назад
Я поглядел скрины в инете этой проги и что-то мне напомнило отдаленно эклипс, нетбинс. Я спросил ранее к тому, если там управление как в антивирях, то это одно, а если в что-то, куда-то надо лезть и лопатить, прыгать с бубном - этого не хочется! )


Потом будете прыгать под бубен вирьмейкера. Как Вы думаете, на чем написана хотя бы часть того вируса, который требует отослать шестисотрублевую SMS?
Кирилл Г.
35 лет, Россия
164 сообщения
#10 лет назад
Цитата ("ITML"):
Я поглядел скрины в инете этой проги и что-то мне напомнило отдаленно эклипс, нетбинс. Я спросил ранее к тому, если там управление как в антивирях, то это одно, а если в что-то, куда-то надо лезть и лопатить, прыгать с бубном - этого не хочется! )


Потом будете прыгать под бубен вирьмейкера. Как Вы думаете, на чем написана хотя бы часть того вируса, который требует отослать шестисотрублевую SMS?

Да примерно понимаю на чем. Я так понимаю, данные проги, которые Вы посоветовали стоят того чтобы с ними познакомиться по ближе?
Владимир Васильченко
37 лет, Украина
1 сообщение
#10 лет назад
Цитата ("ArtPro"):
Цитата ("ITML"):
Раз вирусописателю надо, чтобы пользователь запустил его вирус, он будет стараться уговорить пользователя это сделать

не обязательно. удаленно можно запустить что угодно используя дыры в ПО.... IE, например

Угу верно для безопасности кроме антивирусника нужны все обновления винды, особенно ие движка.И юзать для серфинга оперу и файерфокс, а также поставить файерволл, антиспайваре можноspybot search and destroy бесплатный, он всякие блокираторы лучше удаляет.Следить за изминением реестра, автозапуска, системных папок через проактивную защиту.
Если лазите по порно сайту а что-то лезет в систему ясно надо блочить.Ну и лучше конечно купить дешевый ноут для виртуальных денег - если они есть.
Дмитрий Обронов
39 лет, Россия
50 сообщений
#10 лет назад
OlderSergeant, я сейчас пишу, но уже в ворде. Неудобно писать в теме статью. Если закончу - выложу. Из меня писатель никудышный (даже блога нет). Может, shapod чего добавит, или еще кто-нибудь.
Кирилл Г.
35 лет, Россия
164 сообщения
#10 лет назад


Ребят, что за дичь? Решил установить спайбот, а он ломиться куда-то и я так понимаю мой фаирвол его не пускает?
Виктор Т.
32 года, Россия
1036 сообщений
#10 лет назад
Цитата ("ITML"):
Скорее не носитель, а "запускатель", то есть юзер. 99% червей - обычные файловые вирусы, которые запускаются не без участия юзеров (хотя бы клика по вложению в email). А червяк -почитайте Криса Касперски, разберетесь в терминилогии.


А вы уверены, что сами хорошо знаете терминологию?
Прежде чем отсылать меня читать Мыщъх`а, потрудитесь найти в гугле определение файлового вируса.
Дмитрий Местных
43 года, Украина
45 сообщений
#10 лет назад
Статья - фигня.
За последний год мой рабочий комп дважды поражался вирусами (троянами) без моего участия, т.е. через дыры в ОС и ПО. При этом установленный антивир (Аваст) беспрепятственно их пропустил. С тех пор перешел с XP на 7, с Аваст на KIS, и чувствую себя немножко увереннее.