Защитни стени - въпроси, мнения, предимства, недостатъци

[Night_Raven]

И защо го даваш линка, след като не си сигурен дали е активен? Защо не го провериш сам? Страх ли те е?

[tanganika]

След като не ползваш виртуални машини ще обясниш ли защо на различните шотове ту си с FlexType, ту без? Много ми е странно.

 

Няма заплаха, която да не изисква стартиране. Ако самият сайт използва ActiveX или нещо такова, за да направи поразии, може, но един изпълним файл не може да направи нищо, докато не бъде стартиран. Започвате да си измисляте. Ако Norton е решил да си стартира файлчето и да го наблюдава какво върши, след което да го почисти, това е отделен въпрос. Но на система без никаква защитна програма мога спокойно да изтегля този файл, който да си седи на десктопа, без да има никакви последици. Поне аз не открих въпросните редове в регистратурата.

FlexType е на компютъра в работата,ако обърнеш внимание на часа няма да откриеш снимка със FlexType след 18:30 ч.

 

Този файл няма нужда да го стартираш.

 

http://www.virustotal.com/analisis/bc970ac...afee-1235541967

 

http://i29.tinypic.com/166dx75.jpg

 

http://i30.tinypic.com/72btic.jpg

 

http://i27.tinypic.com/2zgzyc6.jpg

 

Пробвай го на виртуалната машина без защитни програми,запази го на десктопа рестартирай,след това сканирай с MBAM и публикувай резултатите.

 

Архива съдържа зловреден код,тези които не знаят какво да правят да не го свалят

 

http://4storing.com/w9opi8/db647a512a7c7bc...02e223ba65.html

 

паролата на архива е virus

[Гост M-Power]

И защо го даваш линка, след като не си сигурен дали е активен? Защо не го провериш сам? Страх ли те е?

Да го тегли този който не вярва че,има файлове които се стартират при теглене,и то не с интернет експлорър!!!

От какво да ме е страх?Аз съм го тествал този файл преди месеци,няма нужда да се повтарям

W32.Banker.C се стартира при натискане на линк,това е измама за кражба на номера от кредитни карти.

Също някои Fakeavalert се стартират при теглене.Интернет вече никога няма да е същия както преди 2 години.Поздрави.

[Гост tnn]

Forbidden

You don't have permission to access /setup_akl.exe on this server.

 

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

--------------------------------------------------------------------------------

Apache/1.3.41 Server at www.ardamax.com Port 80 M-Power, това виждам при опит за отваряне с германо-австрийската комбинация. Няма ли да пробва някой с нещо друго?

[Night_Raven]

Ако не се лъжа, маскираните като изображения гадинки разчитат на системата за предварителен изглед (preview) на Windows, която на практика да стартира и изпълни зловредния код вместо потребителя. Така че това на практика отново си е стартирано приложение, просто не и директно от потребителя.

[nikikom]

Ако не се лъжа, маскираните като изображения гадинки разчитат на системата за предварителен изглед (preview) на Windows, която на практика да стартира и изпълни зловредния код вместо потребителя. Така че това на практика отново си е стартирано приложение, просто не и директно от потребителя.

Това може и да се отнася за файлове, но с нужното им разширение. Предполагам, че няма как да бъде изпълнено вълху .exe

 

tanganika свалих ти файла, разархивирах го и рестартирах, System Safety Monitor не се обади нито за него, нито за JXT. Поставил съм го до JXT и ще почакам няколко дни.

 

http://img214.imageshack.us/img214/4648/67216393.th.jpg

 

Ако се сетиш в кои директории Malwarebytes' Anti-Malware е открил заразите слид рестарт, може да споделиш. Така по-лесно да се почистя ако стане нещо, не че нямам инсталиран Malwarebytes. Нали той ги лови?

[Гост tnn]

Ако разчитам на програмки като Malwarebytes' Anti-Malware е много вероятно да съм закъснял в отреагирането. Подобни програми само доказват недостатъчната защитеност от някои програми иначе с претенции. Омръзна ми MBAM да е като ненужна и абсолютно нищо да не установява при контролни сканирания. Но този вариант е по-добрия и Ви го пожелавам. Добрите защитни стени осигуряват информация за контрапреценки спрямо вредоносния код- необходимо е само ползвателят да се позадълбочи и да се увлече в материята. Четете - има достатъчно форуми на всякакви езици!Поздрави

[nikikom]

Ако разчитам на програмки като Malwarebytes' Anti-Malware е много вероятно да съм закъснял в отреагирането. Подобни програми само доказват недостатъчната защитеност от някои програми иначе с претенции. Омръзна ми MBAM да е като ненужна и абсолютно нищо да не установява при контролни сканирания. Но този вариант е по-добрия и Ви го пожелавам. Добрите защитни стени осигуряват информация за контрапреценки спрямо вредоносния код- необходимо е само ползвателят да се позадълбочи и да се увлече в материята. Четете - има достатъчно форуми на всякакви езици!Поздрави

 

Установих го случайно докато ползвах Авира която не го ловеше,бях го свалил на десктопа и след първия рестарт на ОС ми направи впечатление че въпросния файл е със променена икона,последва сканиране с MBAM която откри 5-6 инфекции.

[tanganika]

Ако не се лъжа, маскираните като изображения гадинки разчитат на системата за предварителен изглед (preview) на Windows, която на практика да стартира и изпълни зловредния код вместо потребителя. Така че това на практика отново си е стартирано приложение, просто не и директно от потребителя.

Все пак излиза че има начини да не е нужна намеса от страна на потребителя за да се изпълни даден файл.

 

 

Nikikom,деинсталирай System Safety Monitor,няма как да те попита какво да прави по време на стартиране на ОС и по подразбиране отказва промените.В присъствието на Комодо същия файл си стои мирен на десктопа,но ако премина в обучаващ режим при първия рестарт ще получа инфекции.

[Гост tnn]

Malwarebytes' Anti-Malware 1.40

Версия на базата от данни: 2710

Windows 5.1.2600 Service Pack 3

 

8/28/2009 10:18:03 PM

mbam-log-2009-08-28 (22-18-03).txt

 

Тип сканиране: Бързо сканиране

Сканирани обекти: 90969

Изминало време: 5 minute(s), 9 second(s)

 

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 0

 

Заразени процеси в паметта:

(Не бяха открити заплахи)

 

Заразени модули в паметта:

(Не бяха открити заплахи)

 

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

 

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

 

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

 

Заразени папки:

(Не бяха открити заплахи) Nikikom, Mamutu 2.0 подсигурява Авира и логовете са все такива - пак мога да деинсталирам MBAM. Така е и при трите ми защитни конфигурации. Аналогично е и със SUPERAntiSpyware Free Edition.Те се изявяват при недостатъчно добрите програми! Поздрави

[nikikom]

Все пак излиза че има начини да не е нужна намеса от страна на потребителя за да се изпълни даден файл.

Иконата не игрое никаква роля. Опитай да отвореш програма за преглеждане или редактиране на снимки .JPEG, .bmp и се опитай да отвориш\стартираш .exe

Демек от настройките за предварителен изглед на файловете, няма да ти се стартира .exe

Това е твоята снимка - PIC2009-02-15-JPG.

 

http://img12.imageshack.us/img12/4222/95352742.th.jpg

 

Nikikom,деинсталирай System Safety Monitor,няма как да те попита какво да прави по време на стартиране на ОС и по подразбиране отказва промените.В присъствието на Комодо същия файл си стои мирен на десктопа,но ако премина в обучаващ режим при първия рестарт ще получа инфекции.

 

На System Safety Monitor не съм му позволил да блокира всякакви промени

 

http://img17.imageshack.us/img17/6402/79911628.th.jpg

[Night_Raven]

Все пак излиза че има начини да не е нужна намеса от страна на потребителя за да се изпълни даден файл.

Моя грешка. Нека бъда по-конкретен и точен. Една система може да се зарази само и единствено, ако зловредният код бъде стартиран. Това става по два начина: чрез ръчно стартиране или чрез използване на дупка/exploit. В текущия случай говорим за първото. Това е стандартен изпълним файл с двойно разширение, което го замаскира като изображение. Това е направено с цел потребителят да го помисли за такова и да кликне два пъти върху него. Т.е. да се залъже потребителя сам да си стартира гадинката.

Крайното ми становище по въпроса е, че този файл също не прави нищо, докато си стои на твърдия диск.

 

Nikikom,деинсталирай System Safety Monitor,няма как да те попита какво да прави по време на стартиране на ОС и по подразбиране отказва промените.В присъствието на Комодо същия файл си стои мирен на десктопа,но ако премина в обучаващ режим при първия рестарт ще получа инфекции.

Как така Comodo в нормален режим не се обажда, а в обучаващ ще се заразиш? То точно ако не се обажда в нормален, значи няма активност. Щом няма активност, значи и в обучаващ режим не би трябвало да се заразиш, ако правиш същото, което правиш и под нормален режим, когато не реагира програмата.

[tanganika]

Моя грешка. Нека бъда по-конкретен и точен. Една система може да се зарази само и единствено, ако зловредният код бъде стартиран. Това става по два начина: чрез ръчно стартиране или чрез използване на дупка/exploit. В текущия случай говорим за първото. Това е стандартен изпълним файл с двойно разширение, което го замаскира като изображение. Това е направено с цел потребителят да го помисли за такова и да кликне два пъти върху него. Т.е. да се залъже потребителя сам да си стартира гадинката.

Крайното ми становище по въпроса е, че този файл също не прави нищо, докато си стои на твърдия диск.

 

 

Как така Comodo в нормален режим не се обажда, а в обучаващ ще се заразиш? То точно ако не се обажда в нормален, значи няма активност. Щом няма активност, значи и в обучаващ режим не би трябвало да се заразиш, ако правиш същото, което правиш и под нормален режим, когато не реагира програмата.

При параноичен режим ако не може да попита по подразбиране отказва промени.В обучаващ режим разрешава всичко и си създава правила без въпроси.Този файл проявява активност при рестарт на ОС-ма.

Касперски в началото също не ловеше въпросния файл и си стоеше на десктопа необезпокояван,но при първия рестарт беше проявил активност и Касперски показа какво е искал да направи и какво е блокирал HIPS-а му.

Нормално ли е даден файл да е с променен вид на иконата след рестарт ?

Пробва ли да го свалиш на виртуалната машина без защитни програми и да рестартираш ?

[nikikom]

На System Safety Monitor не съм слагал парола за потребителския интерфейс. Демек всеки файл ако реши да създаде процес, System Safety Monitor няма да го благира без да ме осведоми, ще го блокира, като ми даде възможност аз да реша какво да правя.

До два дни мисля че въпроса с тея два файла ще бъде решен. От както съм качил файловете съм гасил компютъра веднъж и е рестартиран два или трипъти. За сега нямат никаква активност.

[Night_Raven]

При параноичен режим ако не може да попита по подразбиране отказва промени.

В какъв случай не пита? В параноичен режим трябва да пита за абсолютно всичко, за което вече не е обучена?

 

Нормално ли е даден файл да е с променен вид на иконата след рестарт ?

Пробва ли да го свалиш на виртуалната машина без защитни програми и да рестартираш ?

Самостоятелен файл не би трябвало да е с променена икона, ако не си му правил нищо.

Да, опитах да го сваля и разархивирам, след което да рестартирам. После сканирах с NOD32 и тя откри само и единствено файла. След това направих тест с Real-time Defender. Свалих файла, но не го разархивирах. Инсталирах Real-time Defender, подържах я известно време в обучаващ режим, за да съм сигурен, че когато се обади, ще е нещо, на което трябва да обърна внимание. След като сметнах, че е достатъчно обучена, разархивирах файла от архива и рестартирах системата. Real-time Defender не се обади за абсолютно нищо. Case closed.