Защищаемся от вирусов

Месяцев пять назад я читал статью на Хабре посилання
Посмеялся, что злоумышленник может удаленно через браузер запустить любую Windows аппликуху, там в комментах к статье даже есть ссылка на пример, запускающий через браузер калькулятор Windows.

И вот что произошло несколько дней назад, когда я работал за чужим компом, который мне временно предоставили для решения одной задачи.

В процессе работы понадобилась информация о решении некоторых проблем UDP серверов, и я начал гуглить и ходить по разным программерским ресурсам, форумам и т.д.
Захожу на какой-то русский форум, и сразу начинает загружаться Java апплет.
FireFox завис намертво, винт начал бешено шуметь.
"Ламеры, не умеют писать апплеты" подумал я, и прибил зависший FF через таск менеджер.
Тут вдруг антивирус ругнулся, что какой-то левый exe-файл, уже запущенный из TEMP-а, пытается что-то писать в реестр в авторан.

В общем, к этому моменту уже на компе установилось несколько троянов и руткитов и т.д., причем разных.
И это и при работе из-под пользователя с минимальными привилегиями, и при активном антивирусе FortiClient, и Windows дефендере...
Проверка через посилання показала, что этот файл определяется как вирус только антивирусами AntiVir, NOD32, и еще парой менее известных. Ни крутой McAfee, ни Касперский, ни еще несколько десятков известных антивирусов ничего подозрительного не обнаружили.
Позже вычистил (надеюсь) эти заразы с помощью MalwareBytes.

===
Как защититься от данной угрозы:
- Если у кого в браузере включена поддержка Java апплетов, обязательно установите последнюю версию JRE. Данной угрозе подвержены все версии JRE 6 под Windows, вплоть до версии 1.6.0_19 включительно (на компе, который я использовал, была версия 1.6.0_15).
- Если кому не нужно запускать Java апплеты, лучше вообще запретить их выполнение в настройках браузера.

Выводы.
- Нужно помнить, что словить вирус просто, для этого даже достаточно лишь зайти на сайт, на который кто-то загрузил например апплет. Абсолютной защиты нет, всегда будут находить дыры. Но риск заражения можно уменьшить.
- Обязательно используйте фаервол, так как он с большой вероятностью выдаст исформацию о подозрительной активности.
- Антивирус тоже имеет смысл ставить, так как он с большой вероятностью защитит от вирусов, которые не являются самыми новыми. Также представляет ценность база данных зараженных сайтов, используемая некоторыми антивирусами.
- Работать только из-под аккаунта пользователя с минимальными привилегиями. Если словите троян, и ничто не сможет его вылечить, то по крайней мере в большинстве случаев не нужно будет переинсталливать комп, достаточно будет удалить пользовательскую запись, и затем создать новую.

===
Например, мой домашний ноут не был бы подвержен этой угрозе:
- Установлен бесплатный фаервол COMODO, который сразу бы сообщил, что что-то для него незнакомое пытается запуститься. Если бы я даже и разрешил бы запуск, то фаервол сообщил бы и о перехвате клавиатуры, и о записывании в реестр, и о сетевой активности, и т.д.
- Установлен бесплатный антивирус Avira AntiVir. Многие считают этот антивирус плохим, и предпочитают раскрученные топовые антивирусы... Но например данная угроза не была бы пропущена Авирой, она была бы обнаружена еще на начальном этапе.
- Регулярно делаю полную проверку антивирусными утилитами.
- Java апплеты (а также ActiveX и прочие мне не нужные штуки) выключены. Если и включу апплеты, все равно установлена JDK 1.6.0_20.
- Имею несколько разных окружений - отдельно для работы, отдельно для платежей с параноидальными настройками безопасности, и отдельно для лазания по интернету.
- Все данные (например, исходники программ, сканы документов, и т.д.) находятся на зашифрованных разделах, которые открываю по мере надобности, и после использования сразу закрываю. Если троян и прорвется, то, если не будет висеть локально долгое время, доступа ко всем конфиденциальным данным не получит.

Но это вовсе не дает гарантию, что я не пропущу на домашний комп какую-либо новую угрозу, так что нужно быть начеку.

Цитата ("tvv"):

что этот файл определяется как вирус только антивирусами AntiVir

AntiVir рулит


А по теме: абсолютных антивирусов не существует. Делайте бэк-апы почаще.

Обычным пользователям хватит связки Антивирус+Фаервол.

"- Имею несколько разных окружений - отдельно для работы, отдельно для платежей с параноидальными настройками безопасности, и отдельно для лазания по интернету.
- Все данные (например, исходники программ клиентов, сканы документов, и т.д.) находятся на зашифрованных разделах, которые открываю по мере надобности, и после использования сразу закрываю."
...................................................................................................................
Вопрос - имею два системных диска. "Запасной" включаю после restart для проведения финансовых операций.
Собственно вопрос - неактивный системный диск подвержен троянам? Что сканируют трояны?

Раз в неделю бэкапы.

Цитата ("sergey-best"):

Собственно вопрос - неактивный системный диск подвержен троянам? Что сканируют трояны?

Нужно бояться не троянов самих по себе, а людей-взломщиков, которые получат удаленный доступ к Вашему компу через этот троян, или через прогу, которую троян запустит.
Если они могут добраться до неактивного системного диска из текущей сессии, и он не зашифрован, значит могут туда записать что угодно, включая любое зловредное ПО, например руткиты.

Цитата ("sergey-best"):

Собственно вопрос - неактивный системный диск подвержен троянам?

если вы его в биосе отрубаете и врубаете отдельно - не подвержен.

Понил

" и он не зашифрован" - как его параноидально зашифровать? штоб в биосе не отключать.

Если у Вас например Windows 7 Ultimate, то там есть BitLocker.
А вообще гуглите по словам "шифрование диска", существует множество способов. Почитайте, и определитесь что Вам подходит.
Я на эту тему рекомендаций давать не хотел бы, не хочу брать на себя ответственность.

Цитата ("sergey-best"):

как его параноидально зашифровать?

тут осторожным надо быть. Параноидально зашифрованное в случае чего можно и не расшифровать вообще...

Вообще можно подумать в сторону виртуализации. Держать виртуальные машины для той же оплаты, например. Ее и бэкапить полегче - скопировать файл диска целиком и готово. И восстанавливать потом ничего не надо, скопировал файлик и запустил где надо. А там уже в той системе может быть что угодно накручено. Но опять же, с возможностью восстановить из бэкапа в 2 клика.

всем спасибо за консультации

Ну так надо было этот вирус отправить Касперскому. Тогда бы он тоже его определял. А может он вообще не как вирус написан, поэтому его антивирусники и не определяют?

Эх... *мечтательно* Обзавестись бы привычкой ходить в Интернет только из-под виртуальной машины... По окончании сеанса машина восстанавливается к исходному состоянию из снимка и все вирусы дружно изничтожаются

Цитата ("intelleks"):

и все вирусы дружно изничтожаются

а вместе с ними и куки, закладки и все остальное... мечта!

В винде как я помню можно с перемещаемыми профилями такое замутить.

Фак
с утра прочитал тему
вечером xttp://****-list.com.ua/addshop.html тут бумс, лиса спрашивает, контент установить - я крестик тынц
потом глядь, COMODO показал jkhdfgjkhf.bat где-то записался, потом глядь - TCP порт отправка данных
вообщем, ищу заразу.
к слову, стоит 18 билд JRE
вот что за фак, А?

avtorkoda, зачем прямые ссылки на подозрительные сайты ставить?

Дня три назад мне нужно было полечить комп с явными признаками заражения. Качаю бесплатный сканер DRWEB Cureit, а он мне выдает "лицензия устарела, давай новую и до свидания" (другими словами конечно, но смысл такой). Может быть кто знает, что за дела? Раньше, месяцев три назад было нормально. Потом нодом пролечил в "безопасной" загрузке и с обычной. А этот друг доктор так и просит лицензию. Обошелся я и без него, но трафик мегабайт до пятидесяти жалко.

А разве DrWeb вообще когда-нибудь что-нибудь находит? ))

Цитата ("shapod"):

avtorkoda, зачем прямые ссылки на подозрительные сайты ставить?

подправил
---
нашел заразу (то что на скринах это не все)
вычистил всю
резюме

был и синий экран и рутик и ошибка ACPI.SYS и автозагрузка левая, и файл SYS который без LiveCD DrWEb не удалить было

PS JRE обновил до 20-ки
UPDATE посилання тут вижу 21-я уже

avtorkoda, Вы, видимо, под админскими правами работали, раз в системных каталогах зараженные файлы нашлись?
Если так, тогда вообще рекомендую переставить винду, ибо велик риск что что-то осталось.

Насколько я понял, стратегия взломщиков часто бывает такова, чтобы сразу поставить несколько совершенно разных руткитов, часть из которых возможно пользователь быстро вычистит, успокоится... но остается вероятность что другая часть останется. Имея админские права спрятать от антивирусов можно что угодно, и потом пробудить по мере надобности.

И хорошо бы вообще никогда не заниматься текущей работой, серфить по инету и т.д. из под админа. Только изредка пользоваться админскими правами для установки проверенного софта и апдейтов винды.

Еще вирусы лезут через Flash и PDF, через незакрытые порты используют некоторые
системные сервисы, причем даже ограниченные учетные записи не помогают.
Еще можно про эксплоиты вспомнить, с которыми у антивирусов вообще туго.
Так что хоть вообще в сеть не выходи...