Опять вирус

Цитата ("voron_76"):

Цитата ("mms-c"):

Мне тоже пришло письмо от людмылы сергеевны. А там ссылка не троян.
Как интерресно такие умные люди (способны самостоятельно написать троян,
а это я скажу не лёгкая задача) так наивно его рассылают?
Любой дурак поймет, что если файл txt по своей структуре exe, его ни кто
запускать не будет, а посмотрит что внутри.

Ваш эгоцентризм бесподобен в своей наивности. Почитайте хотя бы эту ветку - и Вы поймёте, что "дураков", которые этого не поняли, вполне достаточно, чтобы оправдать эту "наивную рассылку".

Цитата:

Вот лутше бы свой ум и энергию не на написание троянов тратили, а на составление
нужных и хороших программ. И законно и прибыльно.

Да ну? Расскажите, какой "нужной и полезной программой" можно за пару дней "поднять" несколько тысяч долларов?

Цитата ("voron_76"):

Завидуете? Завидуйте молча.

Шуткую ))) Меня эта эпопея с вирусом достала уже. И количество людей, которые жмут на все подряд, но не знают как сделать элемантарное... Четыре разных темы про один вирус - это слишком. Можно окосеть )

2ALL: Читайте эту посилання

Цитата ("voron_76"):

Всё б так просто. Помимо тупых троянов есть ещё куча других угроз.
На самом деле, схема такая (вычитал в интервью с Джоанной Ратковской): ставится несколько виртуальных машин. В той, где идёт работа с деньгами, режется всё, кроме собственно программы и доступа к её сайтам. В другой, где идёт работа с почтой, блогами, тем же Веблансером, условия помягче, но тоже лишняя активность блокируется. В третьей работает обычный браузер, которому разрешено всё. Эта машина раз в неделю восстанавливается из чистого образа. Всё это хозяйство работает на линуксе в качестве хост-системы. В этом случае не нужен ни антивирус, ни даже файрвол (у Джоанны нет ни того, ни другого) - но мозги, разумеется, нужны.

Сейчас обкатываю эту схему на практике, с покупкой нового винта попробую реализовать в рабочем режиме.

Всё б так просто. С этой схемой с линуксом и виртуальными инстансами без антивирусов и фаерволов.
Проблема в том, что могут взломать систему, из которой запускаются виртуальные машины, и потом насовать тех же троянов в виртуальные инстансы.
Даже если это Linux.
В случае с Linux-ом, чтобы снизить риск взлома, придется постоянно отслеживать новости безопасности Linux (возможно, подписаться на ежедневные платные рассылки), постоянно обновлять ядро, glibc, ставить патчи, и т.д.
В противном случае, если на какое-то время, скажем, на несколько месяцев, зазеваться, обязательно ломанут каким-нибудь эксплоитом (если им это будет нужно).

Антивирус и фаервол несколько снижают этот риск, так как, например, перед совершением платежа станет заметно, что в системе что-то не то, возможно там кейлоггер или троян.

Цитата ("tvv"):

Всё б так просто. С этой схемой с линуксом и виртуальными инстансами без антивирусов и фаерволов.

Вы извините, конечно, но Ратковской (или Рутковской? По-разному транслитерируют) я доверяю в этих вопросах как-то больше.

Кстати, никто не говорит, что это просто.

Цитата ("voron_76"):

Цитата ("boat"):

Цитата ("Colvacne"):

lsass.exe и его настройки set.dat

я его нашла, но он не удаляется! что делать?
кстати, авторские права на него: © Microsoft Corporation. All rights reserved. - что-то не похож он на вирус.

На сарае сами знаете, что написано, но там почему-то дрова.
Как удаляется, я написал на 24-й странице.

Я туда только вот по сей наводке и попала спасибо!
Кстати, он у мя и не в виде иконки Вебмани, а в виде стандартного системного файла; и ничо такого я не скачивала из писем, хотя письмо подозрительное было, однако, на всякий случай все проделаю, как Вы написали.

Цитата ("boat"):

Кстати, он у мя и не в виде иконки Вебмани, а в виде стандартного системного файла; и ничо такого я не скачивала из писем, хотя письмо подозрительное было, однако, на всякий случай все проделаю, как Вы написали.

А он где находится-то? Чую, Вы сейчас себе систему лучше любого вируса порушите :-D

Цитата ("voron_76"):

Вы извините, конечно, но Ратковской (или Рутковской? По-разному транслитерируют) я доверяю в этих вопросах как-то больше.

Доверять признанным авторитетам - это очень хорошо.
Но еще лучше дополнительно к этому прислушиваться к здравому смыслу.

Ну вот пожалуйста представьте себе реальную ситуацию, что хакер через эксплоит получил доступ к Вашему Linux-у, из которого Вы запускаете незащищенные виртуальные машины. Что дальше?

Цитата ("voron_76"):

А он где находится-то? Чую, Вы сейчас себе систему лучше любого вируса порушите :-D

в WINDOWS\system32

Цитата ("boat"):

Цитата ("voron_76"):

А он где находится-то? Чую, Вы сейчас себе систему лучше любого вируса порушите :-D

в WINDOWS\system32

Точняк порушите. Впрочем, винда не даст его удалить... скорее всего.
Это системный файл, не трогайте его.

voron_76, :P ок, как скажешь )
И еще раз спасибо!

Цитата ("boat"):

в WINDOWS\system32

Этот не надо удалять.

ТЕМУ КТО-НИБУДЬ ЧИТАЕТ ЦЕЛИКОМ? ТАМ ВООБЩЕ-ТО ВСЕ ЭТО НАПИСАНО УЖЕ...

Цитата ("tvv"):

Цитата ("voron_76"):

Вы извините, конечно, но Ратковской (или Рутковской? По-разному транслитерируют) я доверяю в этих вопросах как-то больше.

Доверять признанным авторитетам - это очень хорошо.
Но еще лучше дополнительно к этому прислушиваться к здравому смыслу.

Чтобы прислушиваться к здравому смыслу, нужно обладать определённым запасом знаний. В противном случае это будет пустое философствование.

Цитата:

Ну вот пожалуйста представьте себе реальную ситуацию, что хакер через эксплоит получил доступ к Вашему Linux-у, из которого Вы запускаете незащищенные виртуальные машины. Что дальше?

Представьте не менее реальную ситуацию, что хакер через эксплойт получил доступ к Вашему антивирусу и файрволу. И гоняет мимо них, что душе угодно. "Что дальше?"
Скажите честно: насколько хорошо Вы представляете себе принцип работы эксплойтов?

Цитата ("voron_76"):

Представьте не менее реальную ситуацию, что хакер через эксплойт получил доступ к Вашему антивирусу и файрволу. И гоняет мимо них, что душе угодно. "Что дальше?"
Скажите честно: насколько хорошо Вы представляете себе принцип работы эксплойтов?

Хакеру будет труднее, и обнаружить его вмешательство будет проще, что и требуется.

Про принцип работы эксплоитов.
Единого принципа не существует, так как цель эксплоитов - использовать уязвимости в установленном ПО, а, так как эти уязвимости могут быть очень разными, соответственно и их использование может быть основано на самых разных принципах.

Сталкивался ли я с этим? Работая в свое время админом в телекоме - практически ежедневно, в дальнейшем - уже реже, но стараюсь оставаться в курсе дела (хотя уже не считаю себя специалистом, так как в данный момент это не моя профессия, и я не отслеживаю все новшества).

Спрашивать Вас, насколько Вы себе представляете "принципы работы эксплоита", я не буду, так как считаю такие вопросы провокационными, неуместными и неконструктивными (не приносящими пользу другим, читающим форум).

Остался открытым один вопрос - как эта зараза (конкретно эта зараза) пролезла на компьютер? Я ведь, в отличие от многих, на ссылки в подозрительных письмах не нажимал. Не говоря уже о том, что файрволл и антивирус и антишпион пропустили ее...

Цитата ("tvv"):

Цитата ("voron_76"):

Представьте не менее реальную ситуацию, что хакер через эксплойт получил доступ к Вашему антивирусу и файрволу. И гоняет мимо них, что душе угодно. "Что дальше?"
Скажите честно: насколько хорошо Вы представляете себе принцип работы эксплойтов?

Хакеру будет труднее, и обнаружить его вмешательство будет проще, что и требуется.

Про принцип работы эксплоитов.
Единого принципа не существует, так как цель эксплоитов - использовать уязвимости в установленном ПО,

Вот именно, уязвимости в ПО. И с этой точки зрения загнать эксплойта через антивирус не сложнее, чем через браузер. Антивирусы сплошь и рядом обходятся даже изнутри системы - что уж говорить о вторжениях извне.
А из определения следует другой вывод: чем меньше в системе установлено ПО, взаимодействующего с сетью, тем проще организовать его защиту и тем меньше вероятность вторжения. Это к вопросу о хост-системе.

Цитата ("owlteam"):

Остался открытым один вопрос - как эта зараза (конкретно эта зараза) пролезла на компьютер? Я ведь, в отличие от многих, на ссылки в подозрительных письмах не нажимал... Не говоря уже о том, что файрволл и антивирус и антишпион пропустили ее...

А это точно конкретно эта зараза? Я плохо помню Ваш репорт, но по-моему, там было что-то другое.

Цитата ("voron_76"):

А это точно конкретно эта зараза? Я плохо помню Ваш репорт, но по-моему, там было что-то другое.

Где-то за пару дней до описываемой здесь массовой рассылки вируса я попытался зайти в кошелек Вебмани Кипер Классик и он не принял пароль, попросил указать местонахождение кошельков. Подозрения это событие не вызвало, так как с Вебманями такая фигня постоянно случается. На следующий день был заход в мой кошель с чужого IP. Деньги не смогли снять т.к. взломать почту на платном сервере, куда отсылается код активации - это не mail.ru

На компе по адресу c:\Documents and Settings\Мой_Ник_в_системе\Application Data\Export обнаружился файлик lsass.exe и скрытый set.dat.
Они у меня в архивчике теперь рядом лежат, упакованные, если угодно, могу сообщить размер или даже выслать )

Цитата ("owlteam"):

На компе по адресу c:\Documents and Settings\Мой_Ник_в_системе\Application Data\Export обнаружился файлик lsass.exe и скрытый set.dat.

Это точно другой зверь. Из этого же семейства, но другой.
То, что он пролез, - неудивительно: в базах-то его на тот момент не было...