Alexufo Сообщение 16/02/2008 11:46 Копия темы
Из интернета и к вам можно залезть только 2 способами :

1) Через дыры в программах, неизвестные на данный момент производителем ошибки программы , баги.:
2) ВЫ САМИ запустили вирус (exe файл) по неведению:

Первый случай .
Дырки в той же самой операционной системе – винда.

Например, самая известная дырка с появлением winXP связана с ошибкой службы RPC ( Служба удаленных процедур).
На определенный порт , где сидит системная служба , посылается определенная команда ( которую выявил хакер ) и эта системная служба просто тупо виснет, глючит или вырубается.( Если весь компьютер материк, то порт это то место куда причаливают корабли с товарами,с дипломатами,с животными , с письмами , с орешками пр.) А если эту команду довести до ума, то она дает полный доступ к вашему компьютеру.Я как-то скачивал уже готовый сканер под названием kaht2 просто для ламеров, на уязвимые компьютеры к этой ошибке.Вбиваете диапазон компьютеров вашего провайдера и ждете пока чей нибудь комп откроется для вас.Я как то стырил пароль с какого-то сервака ( там стоял Windows Server) на 20 000р.Я был на диалапе потому с пароля взять особо было не чего, но подключившись по нему меня выкинуло из сети.( походу дела серв имел приоритет больший чем я) Больше по dial up у меня не пахал ни один контрактный пароль ( видать пров просек, но абсолютно ничего не сделал, это говорил о том что любые махинации ему только на руку :-) и он вообще забивает на кучу мелких шутников типа меня в детстве ).

Internet Explorer - открываете ссылочку , которая по асе пришла, а IE вдруг выполняет загрузку вам на комп какого то хлама. Помню еще была ошибка обработки браузером курсоров для мыши.Вы могли зайти на сайт который мог назначить для курсора мыши определенную картинку , и браузер вис. Думаю довели эту багу то того , что браузер мог сам скачать вирус вам на компьютер, но его надо еще и запустить.Об этом во втором пункте.

2) ВЫ САМИ запустили вирус (exe файл):

А) По глупости, например :" ой, откуда этот файл virus.exe ,надо запустить, глянуть что это, мож вспомню " или запускаете супер патч ( как приложение к письму) , пришедшего по почте обещающий счастье от всех глюков.А в замен троян в 100% случаев. Патчи по почте никто никогда не шлет!
Б) По не ведомостиДопустим хакер смог проникнуть к вам в комп и оставить вирус через ошибку курсоров в iexplorer , дырка в RPC в винде .Через уязвимость в программах. Но оставить то он оставил, его нужно еще запустить у вас на машине.Способы : если в корне диска C или D и пр. есть файлик ( срытый обычно) с именем autorun.inf , то по двойному клику на диск С или D и пр. система запустит любой файл , который прописан в самом файле autorun.inf. ( открываем этот файл блокнотом, там написано наподобие OPEN = 1.exe )

Второй пример, хакер проникнув к вам в комп кидает вирус в папку " автозагрузка" .Все что в ней находится система запускает все при следущей загрузке компа.
Третий пример, если помните как глючил комп когда вы смотрите в проводнике фотографии эскизами?Как "все пропадало" а потом опять появлялось? Это было связано с ошибкой неправильной обработки jpg файлов виндовым модулем. Благодаря ему была написана мечта-программа, но появилась слишком поздно, во втором сервис паке было исправлено большинство "удобных" багов.При запуске вами определенной фотографии ( полученной в этой программе), фотография запускала вирус внутри себя ( exe файл просто находился в jpg , был склеен вместе).
Вот так-то, фотка эксплоатирует уязвимость в винде, с помощью этой уязвимости удалось запустить любую команду, в нашем случае как раз выполнение файла exe в теле фотографии. Так же была уязвимость с файлами wmf. еще слухи были что это микрософт себе для шпионажа такую вещь сделал. :-)

Помните, либо система , либо вы нажимаете Enter запуская тело вируса,что приводит его к исполнению.

И так .Защита

Защититься от дырявой винды и от ее аттак из вне помагает ФАЕРВОЛЛ FIREWALL ,ТИПА БРАНДМАУЕР.
Я использую Outpost. Он предупреждает допуск программ с вашего компа в инет ( спрашивает разрешения на выход ), а так же попытки доступа к вашему компьютеру из все.ТО есть какая бы дырявая система не была, фаерволл не дает доступа к вашим системным службам просто так.Он вас предупредит об этом.Именно вы решаете чему выходить в интернет – чему нет.Вы же контролируете кто выходит и кто заходит в ваш дом? Вот работа без фаервола аналогичная квартире,в которую может зайти любой и взять что хочет.Винде нужно выпустить в интернет только svchost.exe и все.Больше никаких процессов системных.Все остальное что просится в интернет – вами и установлено на тачку. У
Для пользователей adsl и прочих способов подключения имеется NAT у провайдера . NAT это большая коробка, принимающая запросы с локальной сети провайдера, то есть со всех юзеров , переадресовывая на те сайты, к которым идет запрос. Тем самым, NAt – подставное лицо, для сайта и для любого в интернете вы – это ip адрес NAT. А сам NAT никогда не доаст доступ к вам из вне.Только прямой доступ.NAT не спасает от троянов и вирусов – это всего лишь переадресатор запросов.Потому к вам нереально добраться не ломанув прова.Но если у вас статичный ip адрес, то вы как на лодошке.

Первое правило , если вы серьезная цель – через трой, какой нибудь приватный баг, ломанут по любому.Как в крутых американских фильмах все важные в мире компы подключены к интернету почему-то.Жалко что угонять пароль от аси. ( если циферки блатные то в основном охота за ними), а чего хуже засядет кейлоггер ( сохраняет все введенное с клавиатуры, пароли, тексты, а потом шлет их мне на почтвый ящик :-) ).

Антивирус в этом ни капли не поможет ( все что пишется для вас, все тестируется на прохождения всех антивирусов со всеми последнимим базами с самыми строгими настройками).С обходом фаервола все сильно сложнее.Здесь логика такова, что передача украденных данных вирусом попавшего на ваш комп происходит не отдельным новым процессом, который зачесет фаерволл,а происходит внедрение пакетов в уже разрешенные к выпуску в интернет программ.Возьмем тот же IE. Ему разрешили допуск в инет , а троян может примешаться к пакетам IE так что фаерволл ничего не поймет.От этого не существует защиты.Но Outpost предлагает максимум.Делать это настолько сложно, что программист обладающий такими знаниями, в большинстве своем понимает глупость сей затеи, кражи и прочего.ТО есть получая знания к созданию ядерного оружия, вы понимаете что цель жизни это не несение смерти.Но так сложилось,что есть люди не само реализовавшие себя.Вот они самые и пишут вирусы и троянчики.
Зачем нужен антивирус.Антивирус помогает в случае , когда вирус вам не предназначается.То есть вы его словили сами.Запустили exe из письма, по асе, из письма открыли ссылку от черт знает кого через дырявый IE...
Каждый день вирусов выходит просто дофига.Их постоянно ловят программисты в антивировских лабораториях, анализируют их деятельность, добавляют метку о вирусе в базу и выпускают апдейт.ТО есть базы каждый день увеличиваются, комп каждый день все больше тормозит, более того, вы платите за вирусы которые вам не предназначаются, вы их вами запускаете.И это не дает гарантии безопастности от вирусов которые предназначены для вас ибо разработчики понятия не имеют о вирусе который написан для вас.Использование реалтайм антивируса подобно тому, что когда у вас болит печень,вы пьете таблетки каждый день,но не задумываетесь о том что надо меньше жирного есть.
Кто то тут такой бред писал, что если у него вирус, он 7 антивирей подряд использует. :-)))) Ну а смыл? получается пытаетесь найти тот вирус который еще не добавлен в базы допустим касперскому но его успели добавит в базу программисты из Mcafee? Да подождите пол часа и используйте касперского с новой базой.Если конечно у этих ребят обед, то база апдейтнится т чуть по позже :-) В любом случа с неизвестным вирусом если замечена его активность надо бороться логикой. Троян старается стырить все пароли и незаметно их выслать .Действует он моментально, именно его моментальность заставляет шуметь жесткий диск, громыхать, троян ищет все заложенные в нем списки программ на кражу паролей, и старается сделать это быстро.На не защищенной тачке бесполезно что делать. Если у вас вирус , просто вредоносный – это попроще. Помните все глюки что происходят с системой. Где то какой то файл странный появился с названием winfile.exe , например. В диспетчере задач появился странный процесс, который вы первый раз видите, например sys32.exe ( хотя вирусы стремятся "висеть" в процессах с именами системных служб для конспирации). для конспирации вирусы иногда вообще не разрешают запускать диспетчер задач, ругаются что вам нужны права администратора. :-) Вирусы отключают показ скрытых и системных файлов, даже если вы захотите их включить снова.

Вырубаете комп, а на другом ,на зараженном, гуглите имена странных файлов.Если антиврь показал имя вируса, обязательно его запомните. Если что то нашли – читайте описание. Конечно, не у всех два компа, но если вы не знаете логики вирусов ( она у всех почти одинакова) то комп лучше не врубать с инетом.Лучшее средство нарезать себе на диск WinPE или Mini XP , дабы загрузиться с операционной которая 100 % чистая и которую нереально заразить так как она на CD , а из под нее уже искать инфу по вирю со своей же тачки.Или же с этого диска WinPE или Mini XP и проверяться антивирусом – лучший вариант.

Если вирус не палиться антивирем, а его активность на лицо, ну чуете нутром вы это, то нужно отослать тело вируса ( найти бы его ;- ) или отослать файл с которого,как вам кажеться начались глюки) какому нибудь веберу или касперскому ( на сайтах их есть формы по отправке вирусов новых) , через два часа вам сообщат что это – вирь или не вирь. Как найти тело вируса.Хм. сложно сказать как.Напрмер в большинстве случаев тело находится в папке system32 и бывает в папке windows файл с любым именем и с любой иконкой с расширением exe или com. Обычно маленькие по размеру. не больше 50кб. Как его дальше искать – без понятия :-)
Мне например, аутпост раз сказал что неизвестный процесс попытался проникнуть в память другого дабы захватить его , страшная такая табличка.После этого при включении компа он ругался на ошибку nml.exe , я задолбался и нашел этот nml.exe в папке system32 , отослал веберу и он сказал что это новый вирус.До этого его никто из онлайн сканеров не определял как вирь.Его кто то тут с фриланса запостил. Фаерволл спас мои пароли.Антивирусов у меня не стоит 4 год.Так, утилиту скачаю от вебера бесплатную последнюю с базами иногда.