Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Nike-007

Беседы на околовирусные темы

Рекомендованные сообщения

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Сервис был перегружен. Сейчас по той-же ссылке отчёт готов.

ок. спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Всё-таки полное удаление содержимого диска (особенно С) является, как мне кажется, подозрительным действием, о котором нужно, как минимум, предупреждать пользователя.

К примеру.

Есть общий расшаренный ресурс, назначенный всем пользователем в качестве отдельного диска.

Файлообменник. Как и любой файлообменник, диск склонен к замусориванию и подвергается регулярной автоматической полной очистке.

Очищается сценарием, в котором используется та самая команда.

Ты говоришь, что как минимум, надо предупреждать.

То есть принудительно прервать операцию, задав глубокомысленный вопрос о том, что данные могут быть удалены.

Э-э...

- кому ? (тому, кто создавал этот автоматический сценарий ? )

- зачем ? (он не знал, что делает ? )

- когда ? (очистка происходит ночью и отвечать некому)

И, наконец, ради чего лишние сложности ?

Как максимум, помимо этой, запретить следует еще команду copy, как особо опасную. :rolleyes:

Заодно заблокировать на клавиатуре кнопки Backspace и Delete, а то мало ли... :)

 

Я могу также очень сильно навредить системе гораздо более безобидной командой mkdir. Что делать с ней ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я могу также очень сильно навредить системе гораздо более безобидной командой mkdir. Что делать с ней ? :rolleyes:

переименовать cmd ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смысла нет. :rolleyes:

Я к тому, что практически любую команду можно использовать нестандартным образом так, что она может чем-то навредить в разной степени.

Помимо командной строки, есть еще Windows Explorer со своей возможностью что-то перетащить или удалить.

 

Антивирус - это не универсальная защита от всего, что только может произойти.

Это инструмент, помогающий защититься в том случае, если пользователь сам этого хочет и сам себе не враг.

Для этого он должен придерживаться некоторых простых правил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Антивирус - это не универсальная защита от всего, что только может произойти.

Это инструмент, помогающий защититься в том случае, если пользователь сам этого хочет и сам себе не враг.

Для этого он должен придерживаться некоторых простых правил.

И мы пришли опять к тому, с чего начинали: в первую очередь важно правильно организованное разделение полномочий и прав (пусть и через HIPS) + аккуратное/адекватное поведение за компом, а антивирус... ну ему тоже найдётся чего поделать, но далеко не всегда.

 

А говорить, что батник - это очень опасная вещи и любые батники должны проверяться и блочиться, - это всё-таки неверно, т.к. с таким же успехом можно призывать к запрету использования ножей, т.к. они могут быть применены в преступных целях, в т.ч и по неосторожности (а-ля кривые ручки за компом).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если батник выполняется без ведома пользователя (да и вообще не пользователем написан) и удаляет всё, то это тоже нормально?

 

Это не вирус, а скорее подозрительное действие в системе. Может антивирь и не в состоянии обезвредить, но тем не менее некоторые действия должны выполняться только после подтверждения пользователем. А если необходимо выполнять чистку диска от мусора в атоматическом режиме, как было написано выше, то эти действия должны прописываться вручную пользователем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Есть общий расшаренный ресурс, назначенный всем пользователем в качестве отдельного диска.

Файлообменник. Как и любой файлообменник, диск склонен к замусориванию и подвергается регулярной автоматической полной очистке.

Очищается сценарием, в котором используется та самая команда.

Ты говоришь, что как минимум, надо предупреждать.

То есть принудительно прервать операцию, задав глубокомысленный вопрос о том, что данные могут быть удалены.

Э-э...

- кому ? (тому, кто создавал этот автоматический сценарий ? )

- зачем ? (он не знал, что делает ? )

- когда ? (очистка происходит ночью и отвечать некому)

И, наконец, ради чего лишние сложности ?

Как максимум, помимо этой, запретить следует еще команду copy, как особо опасную. :)

Заодно заблокировать на клавиатуре кнопки Backspace и Delete, а то мало ли... :)

Я рассматриваю ситуацию со стороны обычного домашнего пользователя ПК. На этом ПК установлен антивирусный продукт с системой проактивной защиты. Если нехороший файл не определяется сигнатурно, то он должен блокироваться по подозрительному поведению (неважно, с запросом или тихо, с записью в журнале, но должен). Имеется экзешник-дроппер, извлекающий из себя батник с командой на полную очистку диска. Неизвестно, знает ли об этом пользователь, запускающий этот файл. Может он думает, что это очень полезный файл для оптимизации места на диске или для взлома вКонтакте... :)

Как я уже говорил выше, с точки зрения проактивки, действия, выполняемые этим файлом, должны считаться подозрительными (по моему мнению). Я думаю, что запрос типа "Вы действительно хотите удалить всё содержимое диска С?" должен заставить задуматься даже мифическую "домохозяйку". Либо подобное действие пресекается автоматически без вывода уведомлений с соответствующей записью в журнале.

Если пользователь ведает, что творит, то он либо разрешает действие (в интерактивном режиме) либо вручную добавляет файл в доверенные и тогда очистка будет происходить даже ночью без всяких запросов.

В корпоративной среде всё проще - там всё должен решать админ, а юзвери - сидеть под ограниченной учёткой. [Особо опасным можно "заблокировать на клавиатуре кнопки Backspace и Delete, а то мало ли... :)] :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А если батник выполняется без ведома пользователя (да и вообще не пользователем написан) и удаляет всё, то это тоже нормально?

 

Это не вирус, а скорее подозрительное действие в системе. Может антивирь и не в состоянии обезвредить, но тем не менее некоторые действия должны выполняться только после подтверждения пользователем. А если необходимо выполнять чистку диска от мусора в атоматическом режиме, как было написано выше, то эти действия должны прописываться вручную пользователем.

Батник - только инструмент.

Батник не появляется в системе сам по себе.

Его создает некий вирус или зараженный сайт.

Мячин уже подробно описал цепочку.

Цитирую его:

"Цепочка: ВРЕДОНОС - ДРОПАТЬ - ЗАПУСКАТЬ. Батник не является вредоносом."

Ловить надо на первом этапе.

Не поймал антивирус - плохо !

Есть над чем работать.

Ловить на последнем этапе - технологически неверно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разве сейчас антивирусы поведенчески вообще не анализируют батники?? По моему, батник для скрытого форматирования диска успешно детектится всеми антивирусами сигнатурно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Я рассматриваю ситуацию со стороны обычного домашнего пользователя ПК. На этом ПК установлен антивирусный продукт с системой проактивной защиты. Если нехороший файл не определяется сигнатурно, то он должен блокироваться по подозрительному поведению (неважно, с запросом или тихо, с записью в журнале, но должен). Имеется экзешник-дроппер, извлекающий из себя батник с командой на полную очистку диска. Неизвестно, знает ли об этом пользователь, запускающий этот файл. Может он думает, что это очень полезный файл для оптимизации места на диске или для взлома вКонтакте... :D

Именно !

Логичнее ловить на несанкционированном программном появлении батника, но не запрещать все подряд в системе.

Это и есть подозрительное поведение.

Как я уже говорил выше, с точки зрения проактивки, действия, выполняемые этим файлом, должны считаться подозрительными (по моему мнению). Я думаю, что запрос типа "Вы действительно хотите удалить всё содержимое диска С?" должен заставить задуматься даже мифическую "домохозяйку".

"Поздно пить боржоми". Если вредонос создал этот файл, то он уже отработал.

И не обязательно его функция ограничивалась созданием батника.

Уверяю тебя, очень мало попадалось людей, которых останавливала надпись "Вы действительно хотите... ?"

Особо не задумываясь, нажимают "yes". :)

 

Ты же знаешь тенденцию развития вирусописательства.

Какова вероятность нарваться на вирус, который первым же шагом попытается стереть все что можно, чтобы вывести из строя систему ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
По моему, батник для скрытого форматирования диска успешно детектится всеми антивирусами сигнатурно.

Попробуй, запусти его. Он просто не сработает. Система не даст.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
По моему, батник для скрытого форматирования диска успешно детектится всеми антивирусами сигнатурно.

Попробуй, запусти его. Он просто не сработает. Система не даст.

Тогда зачем его детектить?

 

А х.exe с похожим функционалом - работает, как мы могли выше убедиться.

 

P.S. Похоже, пора в отдельную тему выделять весь офтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Тогда зачем его детектить?

Об этом я и говорю.

Нет смысла детектить "fomat c:". Он все равно не запустится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
запретить выполнение?

Я считаю, что да. Или так: http://www.securelist.com/ru/descriptions/....BAT.FormatC.ab

я от тебя не ожидал :D:lol:

Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

цитата с твоей ссылки

он не бачит, отчет vt об этом убедительно гутарит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А х.exe с похожим функционалом - работает, как мы могли выше убедиться.

Ну знаешь... :lol:

Было желание, время и возможность, руками правил и Partitional Table и FAT32.

Что ж в этом такого страшного ? :D

И тоже стирал бывалочи неудачно так, что грузиться переставала. :)

P.S. Похоже, пора в отдельную тему выделять весь офтоп.

Наговоримся - выделим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Уверяю тебя, очень мало попадалось людей, которых останавливала надпись "Вы действительно хотите... ?"

Особо не задумываясь, нажимают "yes". :lol:

Ну тогда пусть не ноют, что их не предупреждали.

Ты же знаешь тенденцию развития вирусописательства.

Какова вероятность нарваться на вирус, который первым же шагом попытается стереть все что можно, чтобы вывести из строя систему ?

Новое - это хорошо забытое старое. Развитие по спирали. Может, это будет не первый шаг...

 

Было желание, время и возможность, руками правил и Partitional Table и FAT32.

Что ж в этом такого страшного ? :D

И тоже стирал бывалочи неудачно так, что грузиться переставала. :)

Ключевое слово - руками. :) А тут - файло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Новое - это хорошо забытое старое. Развитие по спирали. Может, это будет не первый шаг...

да. даж у аваста был крутой блокировщик, который запрещал эту байду.

 

вот ток жаль что к касперскому и теме о нем это не имет отношения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Новое - это хорошо забытое старое. Развитие по спирали. Может, это будет не первый шаг...

Дело не в приемах. Дело в коммерциализации явления.

Чем дальше, тем сильнее.

Глобализация, блин.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
я от тебя не ожидал :D:lol:
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

цитата с твоей ссылки

он не бачит, отчет vt об этом убедительно гутарит

Да это просто пример с Каспером, что Яндекс выдал... :)

Вот я и говорю - детектить хотя бы этот батник после извлечения. Знающий пользователь всё равно добавит его в исключения. Да и соц. инженерию никто не отменял. Но всё равно - предупреждать надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Было желание, время и возможность, руками правил и Partitional Table и FAT32.

Что ж в этом такого страшного ? :lol:

И тоже стирал бывалочи неудачно так, что грузиться переставала. :D

Ключевое слово - руками. :) А тут - файло.

Когда бутменеджеров еще не было, а две разных системы на одном диске иметь захотелось, то делали и "файло" переключающее загрузку систем.

Не сразу удачно получалось. :)

Откуда взялся этот образец неизвестно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а я еще раз пожалуй подчеркну ничтожность любого антивира на примере этого x.exe

 

ну как?ну как?ну как аутпост этот файл блокирует,а касперский нет????

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а я еще раз пожалуй подчеркну ничтожность любого антивира на примере этого x.exe

Я тебя немного поправлю.

Чтобы это сработало, надо присвоить себе излишние, ненужные для повседневного серфинга, права.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так. стоп!

обозвать тему "тренировка мозга" и вынести туда всё что не относится к услуге каспера от билайн? нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
так. стоп!

обозвать тему "тренировка мозга" и вынести туда всё что не относится к услуге каспера от билайн? нет?

Да вынесем, конечно. Дай "наговориться". :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах