 |
|
|
|
|
ФОРУМ /
КОМПЬЮТЕРЫ И МОБИЛЬНЫЕ ТЕХНОЛОГИИ /
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
|
создать новую тему
•
написать сообщение
|
|
|
15:52 31 декабря 2009
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
 |
|
|
|
|
| |
 Felis
писал:
Завтра будет 1 января 2010 года. С Новым годом!
И конечно, люди, игнорирующие антивирусную защиту, с завтрашнего дня начнут кричать "помогите вернуть файлы после пенетратора".
Ведь сегодня ночью он активируется
|
|
ну дык ты включи проактивную защиту и эвристический анализ работы вируса и ничего не случится, тем более такая примитивная активность , как работа по таймеру . Да и ежели нет антивируса я тоже сумневаюсь, что на современных операционках типа висты что-то произойдёт , ведь для этого вирусу прийдётся отключить как минимум службу UAC, что проблематично
.
|
|
|
02:39 1 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
несмотря на большое количество даже бесплатных программ направленных на уничтожение этого (а также других особо опасных вирусов как kido или amvo) есть тип пользователей которых безопасность их машин не волнует. И лечится это как правило первым сбоем повлекшим потерю данных или выходу из строя оборудования (либо и того и другого вместе, как в случае с amvo). А в связи с просто смешными ценами на флешки, вирусы теперь распространяются через них. Сильно распространен миф: у меня стоит антивирус на компе, значит я могу открывать флешку сразу, не проверяя, двойным кликом. А потом кричат, мол антивирус плохой. И пока таким людям будут давать досуп к компьютеру, вирусы подобные пенетратору, или чернобылю будут актуальны еще долгое время.
|
|
|
00:25 2 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
pavelz
писал:
я тоже сумневаюсь, что на современных операционках типа висты что-то произойдёт , ведь для этого вирусу прийдётся отключить как минимум службу UAC, что проблематично
.
|
|
1) UAC контролирует только системные файлы, а обычные не контролирует. Вы же заметили, что UAC спрашивает подтверждения, когда речь идет об установке программ или изменении файлов в папках Windows или например Program Files и не спрашивает ничего, когда вы редактируете свои текстовые файлы
2) Большинство отключает UAC как назойливую функцию
| |
CrazyWolf
писал:
Сильно распространен миф: у меня стоит антивирус на компе, значит я могу открывать флешку сразу, не проверяя, двойным кликом.
|
|
Кстати, новые версии Касперского при установке по умолчанию вырубают автозапуск при двойном клике по флешке.
|
|
|
01:15 2 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
Felis
писал:
Большинство отключает UAC как назойливую функцию
|
|
Абсолютно согласен!) Если сравнивать с аналогичным инструментом в Линуксе, то там из-за более грамотного рапределения прав окно с требованием ввода рутового пароля появляется лишь в действительно необходимых моментах, которые редко возникают при простом использовании системы.
| |
Felis
писал:
Кстати, новые версии Касперского при установке по умолчанию вырубают автозапуск при двойном клике по флешке.
|
|
Хм... Не знал, не знал... Вообще меня раздражают 8 и 9 версии Каспера. Слишком много лишнего и ненужного. И нет прямого доступа к резервному хранилищу. Свои флешки защищаю простым дедовским способом
папка con при умелом использовании - головная боль для заразы при прописывании авторана в корень.
|
|
|
17:58 2 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
Felis
писал:
1) UAC контролирует только системные файлы, а обычные не контролирует. Вы же заметили, что UAC спрашивает подтверждения, когда речь идет об установке программ или изменении файлов в папках Windows или например Program Files и не спрашивает ничего, когда вы редактируете свои текстовые файлы
|
|
ну правильно без ошибок сказал, а теперь мне ответь какой вред может причинить вирус не трогая системные файлы, файлы приложений и активХ компонетнов ? могу сразу ответить незадумываясь никакой ... любой хоть сколь нибудь злодейский вирус лезет в папки system 32, system, папку пользователей, реестр и кэш браузера, а все эти компоненты закрыты UAC. И на своей машине если мне взбредёт в голову даже самому что-то установить левое, то столкнусь со следующей схемой защиты для Висты : NX (No eXecute если по простому то это когда запущенным программам выделяется какой то сегмент памяти и в нем не допускается больше никакого произвольного кода ) ,подписывание драйверов, Windows Service Hardening (если говорить опять таки простым языком , это сервис где представлен список служб имеющих определённые привелегии и ежели какая то служба была атакована то она сразу изолируется от других), ну и Контроль пользовательских учетных записей (UAC) в Висте администратор отключен по умолчанию, чему я несомненно рад, потому как не только вирусы но и семейные хакеры
операционку не могут разломать вдрыз устанавливая горы игрушек.
| |
Felis
писал:
2) Большинство отключает UAC как назойливую функцию
|
|
невижу никакого смысла в отключении данной функции, её мне один раз приходилось обойти включив права администратора, когда запортились подписи драйвера и я запускал службу по восстановлению. Так что не пужайте тут народ зря
, ну естесно я нисколько не призываю жить без антивируса, антивурус должен стоять всегда.
|
|
|
00:52 4 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
pavelz
писал:
а теперь мне ответь какой вред может причинить вирус не трогая системные файлы, файлы приложений и активХ компонетнов ?
|
|
Затереть любимые "фотачки с друзяшками".
Что касается того, как именно попадет вирус в систему - дело третье. Во-первых, не всякому вирусу обязательно лезть в системные папки - он может прекрасно поселиться в совершенно незащищенной папке с документами пользователя (%Userprofile%), а еще он может быть нерезидентным и заражать другие программы "классическим" способом и запускаться всякий раз, когда пользователь запускает программу.
Короче, обойти этот жалкий UAC нет никакой проблемы, лезть портить системные файлы - не обязательно, достаточно повредить пользовательские фото и документы. Ведь самое ценное на компьютере пользователя - папка "Мои документы", а вовсе не "System32".
Да, и еще, 99% пользователей из тех, кто не отключают UAC, просто не читают, что он там спрашивает. А если читают и не понимают, что за программа куда ломится, многие на всякий случай жмут "разрешить". Так что вирус очень легко может благодаря одному клику пользователя получить высшие права в системе.
Ну и наконец, Windows XP пока живее всех живых. И считаться с этой угрозой стоит.
Кстати, я уже слышал о пострадавших от Пенетратора в этом году
|
|
|
15:33 4 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
Felis
писал:
Затереть любимые "фотачки с друзяшками".
|
|
моно узнать название вируса, который вам "фотачки" затирает ?. Ежели серьёзно то не надо даже быть знатоком великим в вирусологии коим я и не являюсь, и я даже не программист чтобы догадаться, что к файлам данных коим и являются "фотачки" нуна прицепиться скриптом (создать файл типа батника) и для размножения прописаться в реестре, изменить атрибуты файла, короче поиметь полный доступ к системе иными словами. А теперь как специалист расскажите как все это моно сделать обойдя
и ещё несколько контрольных процедур на целостность кода о которых я упомянул выше ? Да и ещё Вы забыли упомянуть, что зачастую подобные вирусы требуют наличия специальных библиотек в винде, чтобы вообще активироваться. Я совсем не утверждаю при этом, что встроеные механизмы современной винды нельзя обойти, больше чем уверен, что вскоре это будет сделано, но пока в висте и 7-ке со всеми их причиндалами барьеров безопасности больше чем в хрюшке и не все так просто. Вирусы в данное время в основном пишут чтобы , что-то стырить с компа типа данных платёжной карты ( вот эти вирусологи самые опасные и вирусы у них самые хитромудрые), а чтобы тереть чего-то и портить этим чаще занимаются студенты и школьники освоившие дельфи, мне лично так кажется
.
|
|
|
20:29 4 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
pavelz
писал:
моно узнать название вируса, который вам "фотачки" затирает ?
|
|
Ээээ.... посмотрите в заголовок данной темы. Вирус называется Win32.HLLP.Kati, более известный в народе как "Пенетратор".
Есть еще замечательная серия вирусов, шифрующих данные.
| |
pavelz
писал:
и я даже не программист чтобы догадаться, что к файлам данных коим и являются "фотачки" нуна прицепиться скриптом (создать файл типа батника) и для размножения прописаться в реестре, изменить атрибуты файла, короче поиметь полный доступ к системе иными словами.
|
|
Эммм... каким скриптом к файлам данных? Какой еще батник?! Вирусу не нужно ничего создавать, что бы перезаписать файлы данных. Он просто затрет их. Что касается заражения файлов, может быть забыли, что когда-то были вирусы, которые не просто создаются "рядом", а внедрялись непосредственно в код исходной программы?
Вирус при запуске легко может сделать скрытыми ваши папки на диске D, а сам с теми же названиями и с иконками, имитирующими вид папок - будет лежать себе вместо этих папок. У большинства неопытных пользователей не показаны расширения файлов и не включен показ скрытых папок. Такой человек не заметит разницы, каждый раз, открывая "папку", он на самом деле будет сам запускать вирус. Автозапуск в реестре не нужен!
Я не спорю, что UAC в какой-то небольшой мере способствует повышению уровня безопасности, но если вы его считаете некоторой "панацеей", так лучше бы этого UAC не было. Это ошибочное и очень опасное ощущение безопасности!
| |
pavelz
писал:
а чтобы тереть чего-то и портить этим чаще занимаются студенты и школьники освоившие дельфи, мне лично так кажется
|
|
Правильно кажется, студент из Калининграда, который написал вирус "Пенетратор", уже пойман. Но это не спасает уже третий год от новогодних сюрпризов.
Потому что далеко не все сидят на Висте или 7, большая часть все еще на XP. Потому что даже те, кто сидят на Висте или 7, в большинстве случаев отключают UAC. Потому что даже те, кто не выключают его, могут нарваться на вируса, который либо вообще не попытается получить доступ к системным файлам и реестру, либо попытается, UAC спросит разрешения, а пользователь (который читать не любит), не глядя ткнет "Да", тем самым предоставив вирусу тот самый доступ, своими собственными руками.
|
|
|
00:18 5 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
Felis
писал:
Эммм... каким скриптом к файлам данных? Какой еще батник?! Вирусу не нужно ничего создавать, что бы перезаписать файлы данных. Он просто затрет их. Что касается заражения файлов, может быть забыли, что когда-то были вирусы, которые не просто создаются "рядом", а внедрялись непосредственно в код исходной программы?
|
|
у меня такое ощущение , что Вы ещё меньше моего знаете о подобных вирусах
. топайте на вирусинфо и читайте как работали последние сигнатуры вирусов якобы портящие jpg и подобные файлы (там наверняка и пример кода будет такого вируса, потому как подобную халтуру тоже делали студенты). А насчет вашего пенетратора странно, что я не ошибся предположив о студентах хакерах
. Не хочется быть навязчивым по поводу висты, но я являюсь владельцем висты с включенным UAC & установленом антивируснике, поверте на слово за почти 3 года дружбы с ней я не имел удовольствия ниразу поймать вирусы, трояны и прочии банеры-информеры чего и вам желаю (а по инету с моего компа лазили кажется по всем вирусным помойкам некоторые домашние и приходящие хакеры собутыльники
), А по поводу ХР очень даже согласен с вами система просто создана для размножения всех типов вирусов.
|
|
|
15:16 5 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
pavelz
писал:
у меня такое ощущение , что Вы ещё меньше моего знаете о подобных вирусах
|
|
Ну учитывая, что по образованию программист и по роду деятельности админ, все-таки я подозреваю, что знаю о них больше, причем не только извне, но и изнутри. И я знаю способы создания вирусов, которым просто *не надо* админских прав доступа к системе через UAC, что бы иметь возможность запускаться, размножаться и вредить. Нет нужды прописываться в папку System32 и нет нужды лезть в реестр. UAC даже не пикнет, потому что никаких "подозрительных" действий троян не сделает.
И я знаю, что бинарная программа, которая сама по себе является исполняемой инструкцией, просто не нуждается в "прикреплении к файлам данных скриптом типа bat-файла", так как она сама по себе может делать произвольные действия с файлами. Когда вы редактируете файл на диске D, типа текстовый, у вас что, каждый раз UAC вылазит что бы спросить, разрешить ли Блокноту внести изменения в файл? Нет, потому что UAC защищает только системные папки. Так же и деструктивные вирусы, типа того же Пенетратора, просто не нуждаются в повышенных правах, что бы перетереть ваши текстовые документы и фотки. И если это произошло, остается только молиться, что бы вирус не портил физически файлы, а только удалял их, заменяя файлами-пустышками.
Вообще-то мы спорим не о чем. Мое сообщение в этой теме было лишь в перед Новым годом не для таких мудрых, защищенных UAC пользователей, как вы. А как раз для тех, кто сидит с выключенным UAC, либо на XP и главное - без антивируса. Ведь именно эти товарищи "попадают" каждую новогоднюю ночь.
|
|
|
16:27 5 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
Felis
писал:
Вообще-то мы спорим не о чем.
|
|
ладно согласен, спор не очем
, хотя о том как заразить графический файл почитайте, я конечно упростил упомянув bat файл, просто не хочется тут на форуме умными словами бросаться, будет читаться как ругательство для других. И самое главное Вы меня наверно не очень хорошо поняли, я совсем не доказывал какую то надёжность UAC, я просто хотел сказать о общем повышении безопасности новых версий винды, которую не так просто обойти простым вирусам написаным самопально студентами. Для примера как то у меня дома на компе лазил хакер собутыльник и при посещении уж не помню какого ресурса, винда !!! выдала сообщение , что была произведена атака на один из сервисов винды и этот сервис был изолирован. Я был в шоке от того, что в это время у меня был запущен каспер с новыми обновлениями ... И только через сутки где то каспер увидел этого трояна...., когда обновил сигнатуры.
|
|
|
16:33 9 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
CrazyWolf
писал:
Свои флешки защищаю простым дедовским способом папка con при умелом использовании - головная боль для заразы при прописывании авторана в корень.
|
|
а можно поподробнее что за папка con? у меня переименовываться не хочет.
|
|
|
16:44 9 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
avirage
писал:
а можно поподробнее что за папка con? у меня переименовываться не хочет.
|
|
Некоторые папки невозможно создать, потому что имена типа con, lpt и тому подобные названия зарезервированы со времен DOS.
Но создать такую папку можно через командную строку
md F:\con\
Если создать на флешке папку с именем autorun.inf и внутри нее создать папку con, то у вируса типа Пенетратора возникнут проблемы при попытке создать файл autorun.inf, так как уже существует такая папка, а удалить эту папку вирус не сможет (если только не будет специально этому обучен)
Еще вариант защитить флешку - это отформатировать ее в NTFS и средствами доступа NTFS запретить запись любых файлов в корень.
А вообще-то главное не защитить свою флешку, а защитить свой компьютер.
|
|
|
17:54 9 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
Felis
писал:
Если создать на флешке папку с именем autorun.inf и внутри нее создать папку con, то у вируса типа Пенетратора возникнут проблемы при попытке создать файл autorun.inf, так как уже существует такая папка, а удалить эту папку вирус не сможет (если только не будет специально этому обучен)
Еще вариант защитить флешку - это отформатировать ее в NTFS и средствами доступа NTFS запретить запись любых файлов в корень.
|
|
Лучше использовать готовый
софт.
Он как раз делает пустой файл autorun.inf на флешке, который вообще просто так не удаляется. Заодно и автозапуск в венде отрубает напрочь. От всяких autorun-вирусов отличная защита.
|
|
|
01:00 14 января 2010
|
|
тема
Атака вируса Win32.HLLP Kati 1 января 2008 г.
|
|
|
|
|
|
|
| |
Felis
писал:
Некоторые папки невозможно создать, потому что имена типа con, lpt и тому подобные названия зарезервированы со времен DOS...
|
|
Бинго!) молодец!)
еще можно поразвлекаться с дырками самого эксплорера. Создай аналогичным образом папку
md primer...\
Будешь немного удивлен при попытке доступа
| |
Felis
писал:
А вообще-то главное не защитить свою флешку, а защитить свой компьютер.
|
|
Сегодня работал на вызове у одной из краевых организаций в нашем городе (название умолчу). Причина: 12го вышли на работу, большинство документов по 196 байт содержат всякие непристойности. Картинки тоже попорчены, заменены на маленькую картинку с надписью "Penetrator". Для работы с зараженными машинами использую SD-карты. На них есть замечательный переключатель "lock". Аппаратно блокируем запись. Очень полезно когда надо восстановить работоспособность системы CureIT'ом, KKшником, или просто обновить базы.
|
|
| |
|
|
|
создать новую тему
•
написать сообщение
|
|
|
|
|
|
|
|
|
