Комментарии 62
То, что троян «был обнаружен с 2008ого..», «внезапно пропал» и «снова появился в 2013 году» определяли по датам создания исполняемого файла или библиотеки трояна?
Оо… Только 50% пользователей гиктаймс используют антивирус, в то же время более 50% сидят на винде. Опасно.
Не все сидят на винде под администратором (я надеюсь).
Даже ограниченная учётная запись, регулярные обновления, EMET и антивирус, выкрученные на максимум, и даже осторожность при путешествии по Интернету — не дадут 100% гарантии, но снизят риски на порядки. При этом, в случае заражения, с большой вероятностью это будет интересный в плане анализа руткит.
Здесь крайне высок процент линуксоидов и маководов. Штаба и цифры.
Есть ли вероятность заразиться вирусом, если все подозрительные exe проверять virustotal-ом? (Вопрос не риторический.)
Есть и ненулевая.
Какими путями?
Сам пользовался виндой 15 лет, были только безвредные вирусы, которые сам написал. Разумеется, весь автозапуск отключал.
Сам пользовался виндой 15 лет, были только безвредные вирусы, которые сам написал. Разумеется, весь автозапуск отключал.
Ну например
www.f-secure.com/weblog/archives/00001986.html
www.f-secure.com/weblog/archives/00001986.html
криптованные файлы
Вы правда думаете, что сразу после заражения любым вирусом, сразу на экране осыпятся буквы, появится пират с грозной надписью «тебя взломали» или вообще произойдет крах всей системы?
Вылезайте уже из криокамеры. Большинство современных вирусов сидят в системе тихо и делают свое черное дело. Заметить их совсем не просто в повседневной жизни.
Так что фразы «у меня вирусов нет, потому что я их не вижу» выглядят реально смешно. Особенно учитывая, что периодически проскакивает инфа о взломе всяких популярных ресурсов типа jquery.
Что в свою очередь может привести к заражению даже посещая только «белые и пушистые» сайты.
Вылезайте уже из криокамеры. Большинство современных вирусов сидят в системе тихо и делают свое черное дело. Заметить их совсем не просто в повседневной жизни.
Так что фразы «у меня вирусов нет, потому что я их не вижу» выглядят реально смешно. Особенно учитывая, что периодически проскакивает инфа о взломе всяких популярных ресурсов типа jquery.
Что в свою очередь может привести к заражению даже посещая только «белые и пушистые» сайты.
За 15 лет не встретил никаких признаков вирусов, после чего благополучно перешёл на Linux.
Когда жил с отцом, он где-то раз в год запускал антивирус, который, лишь скучающе вздохнув, пожимал плечами.
Когда жил с отцом, он где-то раз в год запускал антивирус, который, лишь скучающе вздохнув, пожимал плечами.
периодически проскакивает инфа о взломе всяких популярных ресурсов типа jquery. Что в свою очередь может привести к заражению даже посещая только «белые и пушистые» сайты.Можно поподробнее? На что способен зараженный сайт? Может ли антивирус помочь против такого?
Заражённый сайт способен использовать уязвимости вашего браузера или, например, Java-плагина, и заразить ваш ПК. Антивирус может ему в этом помешать (а может и не помешать, гарантий нет).
За 15 лет не встретил никаких признаков вирусов
Вот об этом и речь собственно.
Какие признаки вирусов вы надеетесь встретить?
Никакой визуальной активности зараза может не производить.
P.S. Без обид, но судя по вопросу «На что способен зараженный сайт?», вы очень очень слабо разбираетесь в ИБ, так что вероятность заметить подозрительную активность стремится к нулю… В связи с чем, утверждение о не обнаружении признаков вирусов выглядят особенно самонадеянно.
Ладно, может, у меня были вирусы. Но за 15 лет они не создали никаких видимых неприятностей, и формально теперь мне это должно быть безразлично. Своего рода комменсальная флора кишечника компьютера. :)
Все верно.
До поры до времени ничего и не происходит.
До того момента пока ваш комп не будет использован как проксик для незаконной деятельности.
Типа вывода денег или прямой кражи с чего-то кошелька. Или для регистрации и управления каким-то ресурсом с запрещенным контентом… вариантов много можно придумать)
Я не говорю что непременно можно сразу сесть… Но огрести не иллюзорных проблем можно.
Особенно учитывая реалии нашей жизни.
До поры до времени ничего и не происходит.
До того момента пока ваш комп не будет использован как проксик для незаконной деятельности.
Типа вывода денег или прямой кражи с чего-то кошелька. Или для регистрации и управления каким-то ресурсом с запрещенным контентом… вариантов много можно придумать)
Я не говорю что непременно можно сразу сесть… Но огрести не иллюзорных проблем можно.
Особенно учитывая реалии нашей жизни.
Да можно и сразу сесть, чего уж там. Просто я оцениваю вероятность всех эти проблем с антивирусом и просто с аккуратным использованием компьютера, и считаю, что для моих задач и реалий жизни покупка/поддержка антивируса того не стоит. Пока что мой личный опыт это подтверждает, что может оказаться случайностью, а может оказаться какими-то неучтёнными вами факторами.
Есть. И реально немаленькая.
Хотя, если подозрительный файл отложить на недельку после успешной проверки и проверить снова, вероятность станет крайне невысокой.
Хотя, если подозрительный файл отложить на недельку после успешной проверки и проверить снова, вероятность станет крайне невысокой.
Тру-вирусы не через exe распространяются. Черви всякие лезут через сеть используя уязвимости в ПО.
А чего опасного? За те шесть лет, что на моем компьютере стоит WinXP, вирус мне пришлось выгонять только один раз — когда по моему недосмотру знакомая самостоятельно воткнула фотоаппарат и что-то там попыталась сделать. Когда я пришел, было уже поздно. Это был небезызвсестный Kido, кстати. Вылечил, с тех пор втыкаю все сам и живу спокойно, периодически проверяя систему сканерами вроде CureIt и AVZ. За последние пять лет, за исключением того случая, ничего не находилось.
А вот с чужих флешек я вирусы регулярно сношу, это правда. Бывает, открываешь ее в FAR и видишь, что реальные файлы скрыты, а вместо них ярлыки на что-то странное. Чистишь руками, перетыкаешь — все работает.
Разумеется, автозапуск везде отключен, стоит фаервол, блокировщик рекламы + кастомный список блокировки, весь софт настроен сначала спрашивать, потом делать. Программам, которым интернет по моему разумению не нужен, доступ обрубается фаерволлом. Включено отображение расширений, так что если качаешь музыку и вдруг видишь, что предлагают .exe, можно сразу среагировать.
Так что нет, лучший антивирус — здравый смысл. Все остальные резидентные сканеры только тормозят систему.
А вот с чужих флешек я вирусы регулярно сношу, это правда. Бывает, открываешь ее в FAR и видишь, что реальные файлы скрыты, а вместо них ярлыки на что-то странное. Чистишь руками, перетыкаешь — все работает.
Разумеется, автозапуск везде отключен, стоит фаервол, блокировщик рекламы + кастомный список блокировки, весь софт настроен сначала спрашивать, потом делать. Программам, которым интернет по моему разумению не нужен, доступ обрубается фаерволлом. Включено отображение расширений, так что если качаешь музыку и вдруг видишь, что предлагают .exe, можно сразу среагировать.
Так что нет, лучший антивирус — здравый смысл. Все остальные резидентные сканеры только тормозят систему.
Ну с фаерволом то жить можно, конечно.
А вот автозапуски я не понимаю, почему они вообще существуют. Зачем? Тоже всегда вырубаю.
А вот автозапуски я не понимаю, почему они вообще существуют. Зачем? Тоже всегда вырубаю.
Меня убивает, что эта функция ВКЛЮЧЕНА по умолчанию. Стоит по дефолту запретить автозапуск и эпидемии будут заканчиваться в зародыше. Это же основной путь заражения.
Хотели же как лучше…
А в Win7 он тоже включен по умолчанию? Пользуюсь XP, потому не в курсе.
А в Win7 он тоже включен по умолчанию? Пользуюсь XP, потому не в курсе.
Включён ((
В семерке для флэшек выключен, исходя из моего опыта. Нужно было как-то сделать легальную флэшку с автозапуском — оказалось, не так это и просто в условиях современных версий винды.
Он же там как бы включен, но как бы нет. Даже если autorun.inf присутствует, виндовс покажет окошечко с вариантами действий. Ну, типа, открыть в explorer, добавить там куда-то фотки, и одним из пунктов будет прописанное в autorun.inf действие. Ну если человек настолько глуп, что запускает неизвестно что своими руками, у него не должно быть учетки администратора.
mephisto видимо о том же говорит.
mephisto видимо о том же говорит.
Могу ошибаться, но в режиме по-умолчанию заражение авторанами прекрасно происходит. Сейчас точно не скажу — я давно с Windows ушёл.
А вот автозапуски я не понимаю, почему они вообще существуют.
Ради удобства, вставляешь диск и сразу запускается красивый мастер установки.
Если антивирус используют пользователи виндоус, то все логично.
По поводу опроса: дома я антивирус не использую, а на работе использую (установлен мною, сознательно). Что отвечать-то?
Heartbleed, Shellshock, теперь ещё троян Reign… Многовато крупных фейлов систем безопасности в этом году.
Наоборот много крупных успехов. Все они использовались ранее, а в этом году их заметили и обезвредили.
Движение в сторону открытого кода и повышение среднего уровня грамотности участвующих в этом движении рано или поздно сделают свое дело. В не таком далеком будущем, я надеюсь, базовые «кирпичики», на которых строится основа большинства IT будет проверена и перепроверена так, что такие исправления будут появляться все реже.
Пойдут активнее искать баги в железе…
так и ShellShock и HeartBleed показали что не работает мантра про открытый код= безопасный и много глаз = меньше багов.
Единственное утверждение, которое пока прошло проверку временем — «если на вашей платформе нету вирусов — это означает что в масштабах ботнета вы статистически незаметны, т.е. неинтересны».
Единственное утверждение, которое пока прошло проверку временем — «если на вашей платформе нету вирусов — это означает что в масштабах ботнета вы статистически незаметны, т.е. неинтересны».
>так и ShellShock и HeartBleed показали что не работает мантра про открытый код= безопасный и много глаз = меньше багов.
Это исключения из правила. Ещё не известно, что бы было, если бы код bash и openssl был закрыт. Этих багов, наверняка не нашли бы. А о том, какие ещё баги скрываются в закрытых продуктах, можно только догадываться.
>Единственное утверждение, которое пока прошло проверку временем — «если на вашей платформе нету вирусов — это означает что в масштабах ботнета вы статистически незаметны, т.е. неинтересны».
И оно с треском опровергается большим количеством серверов на LAMP. Хотя там тоже ботнетов хватает, но механизмы заражения — в основном, слабые пароли, так что не считается.
Это исключения из правила. Ещё не известно, что бы было, если бы код bash и openssl был закрыт. Этих багов, наверняка не нашли бы. А о том, какие ещё баги скрываются в закрытых продуктах, можно только догадываться.
>Единственное утверждение, которое пока прошло проверку временем — «если на вашей платформе нету вирусов — это означает что в масштабах ботнета вы статистически незаметны, т.е. неинтересны».
И оно с треском опровергается большим количеством серверов на LAMP. Хотя там тоже ботнетов хватает, но механизмы заражения — в основном, слабые пароли, так что не считается.
Ну давайте сравним исполько уязвимостей было найдено в OpenSSL и сколько в STunnel. Только вычтем архитектурные косяки и не очень умное конфигурирование (например POODLE)
В то же время, ShellShock уязвимость существовала уже давно, и нашли ее не просматривая код Bash'a насколько я помню. Я, если честно, думал это by design фича такая, поэтому никогда bash и не использовал там где есть доступ наружу.
А то, что великие умы OpenSSL допускают ошибки типа Bounds check говорит, что открытый код не значит качественный.
> И оно с треском опровергается большим количеством серверов на LAMP. Хотя там тоже ботнетов хватает, но механизмы заражения — в основном, слабые пароли, так что не считается.
Ох вау. Вам показать 100500 дырявых сайтов на DLE, WP и прочих? Просто LAMP сервер это бложик на шареде от которого толку нет. Можно конечно дропера повесить в index.php (чем и занимаются). Просто сервера требуют более индивидуального подхода, а зачастую так вообще светят mongodb в паблик (вот что происходит когда jquery програмисты делаю, что угодно кроме слайдеров).
Сделать из сервера числодробилку тоже не получатся — сработает система мониторинга (или автор заметит, что сайт не открывается) и все быстро встанет на свои места. Данные также зачастую не хранятся на сервере в открытом виде. Короче, проще дропера на бложик нацепить и сливать данные уже с хомяков.
> Этих багов, наверняка не нашли бы. А о том, какие ещё баги скрываются в закрытых продуктах, можно только догадываться.
Давайте сразу на кофейной гуще гадать, а?
Разница меджду открытым и закрытым кодом мнимая. Финансирование может быть или не быть у обоих; Не очень адеватное управление точно так же у обоих (ffmpeg например). Адекватное закрытие багов? Вам показать не закрытый баг 2006 года — touch может убить upstart и система уйдет в segmentation fault? А сколько раз из KVM/LXC совершали побег?
В то же время, ShellShock уязвимость существовала уже давно, и нашли ее не просматривая код Bash'a насколько я помню. Я, если честно, думал это by design фича такая, поэтому никогда bash и не использовал там где есть доступ наружу.
А то, что великие умы OpenSSL допускают ошибки типа Bounds check говорит, что открытый код не значит качественный.
> И оно с треском опровергается большим количеством серверов на LAMP. Хотя там тоже ботнетов хватает, но механизмы заражения — в основном, слабые пароли, так что не считается.
Ох вау. Вам показать 100500 дырявых сайтов на DLE, WP и прочих? Просто LAMP сервер это бложик на шареде от которого толку нет. Можно конечно дропера повесить в index.php (чем и занимаются). Просто сервера требуют более индивидуального подхода, а зачастую так вообще светят mongodb в паблик (вот что происходит когда jquery програмисты делаю, что угодно кроме слайдеров).
Сделать из сервера числодробилку тоже не получатся — сработает система мониторинга (или автор заметит, что сайт не открывается) и все быстро встанет на свои места. Данные также зачастую не хранятся на сервере в открытом виде. Короче, проще дропера на бложик нацепить и сливать данные уже с хомяков.
> Этих багов, наверняка не нашли бы. А о том, какие ещё баги скрываются в закрытых продуктах, можно только догадываться.
Давайте сразу на кофейной гуще гадать, а?
Разница меджду открытым и закрытым кодом мнимая. Финансирование может быть или не быть у обоих; Не очень адеватное управление точно так же у обоих (ffmpeg например). Адекватное закрытие багов? Вам показать не закрытый баг 2006 года — touch может убить upstart и система уйдет в segmentation fault? А сколько раз из KVM/LXC совершали побег?
habrahabr.ru/company/pt/blog/243047/ 19 лет или с самого рождения
shellshock — 22 года
heartbleed — 3 года.
shellshock — 22 года
heartbleed — 3 года.
Растет мощность орудий -> растет защита брони и наоборот. Процесс этот имеет автоколебательный характер.
В голосовалку можно добавить: Я не верю в антивирусы
А под Linux он есть?
Добавьте варианты
«У меня MAC»
«На Линуксе антивирус не нужен»
«У меня MAC»
«На Линуксе антивирус не нужен»
Все пользователи Win 8 и старше так или иначе пользуются антивирусным ПО (MSE) :) Настоящие шпионские зловреды от секретных служб могут быть включены в «белый» список антивирусного ПО.
Сложилось ощущение, что статья обрывается на самом интересном месте, и за ней последует следующая, в которой будет описан более детально алгоритм действия вируса и используемые при этом технологии… to be continued… надеюсь…
А есть какая-нить инфа куда информацию то сливал Regin?
Удивлен результатами голосования. Сколько непуганых пользователей.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Продвинутый вирус следил за компьютерами с 2008 года