Msg : Prev 12 / 2634 Next -240
1980-06-03 10:02:04

To  : Dmitry Rodin

Subj:

Dr. Web vs AVP


Hello, Dmitry ! 

18.06.2003 03:29, Dmitry Rodin wrote to Igor Dikshev: 


ID>> Просто тебе попадались далеко не все типы вирусов. 
DR> Опиши мне вирус, который может работать, если ему не позволили 
DR> проникнуть в систему или не дали инсталлироваться. 
Очень уж упрямо. Давай ты мне распишешь систему своей защиты, а я тебе прикину 
возможные пути облома и... возможно приведу названия пары реальных вирусов. 

ID>> Угу. Hо все входы в систему заткнуть не получается. 
DR> Вот как раз это сделать достаточно легко. 
Проще всего - не включать компьютер, тогда точно никакой вирус тебе будет 
нестрашен. 

DR> А дома, за своим личным компом, каждый сам себе злобный буратино. 
И поэтому ты с домашнего компа входишь в FIDO, где также живут нмалочисленные, 
но очень гордые черви. 

DR> Довольно высокий процент успешно распространяющихся почтовых 
DR> интернет-червей заточены под ручной запуск юзером, остальные заточены 
DR> под дырки в маздайном аутглюке. 
А ещё есть вирусы под TheBat, Word, Excel, PowerPoint, ... И как ни странно, 
они тоже нехило распространяются. Вообще, скриптовые (макро) вирусы начали 
широко распространяться именно с вируса Concept, радиво выложенным фирмой 
Microsoft на своём сайте в виде документа Word. 

DR> Вывод: если за компом сидит грамотный юзер и не юзает аутглюк, эта 
DR> категория червей не сможет попасть в систему. Hу лежит он в ящике и 
DR> лежит, юзер его сотрёт как спам и на этом всё кончится. 
Зато сможет попасть другая категория червей, если, к примеру, юзеру присылают 
финансовую отчётность в XLS, письма в RTF и презентации в PPT. 

ID>> Очень спорное утверждение. Давай возьмём для примера обычного 
ID>> архивного червячка. Это такой тип вирусов, который не использует 
DR> Чтобы такой червь заработал, нужен юзер который извлечёт его из архива 
разумеется, а для чего ещё юзер архивы создаёт? Чтобы никогда из них ничего не 
извлекать? 

DR> и запустит. А также нужна среда, где он заработает (требуемая 
DR> операционка, API, доступность архиваторов). 
Думаю, что это не самая главная проблема. Чаще всего условия - бархатные. 

DR> Перекрываем первую возможность - отучаемся запускать подозрительные 
DR> файлы из левых архивов и незапрошенных почтовых вложений - вместо 
Почему из "левых"? Юзер собственноручно создавал этот архив... дома... 

DR> инсталляции в систему червь либо сразу удаляется, либо отправляется к 
Это как? Вирус распаковал дома у юзера на компе архив в левый каталог, 
записался поверх пары-тройки файлов и упаковал всё обратно... Или отлавливал 
запуски архиваторов и паковал своё тело вместо архивируемого файла, но с тем 
же именем, длиной и датой. Логично предположить, что на рабочем компе юзер 
стартует вирус без каких либо подозрений. А если он не перезаписывал файлы, а 
внедрялся в них без изменения длины (например в ExeHeader) и при этом вирус 
никак себя больше не проявляет, то логично предположить, что к авирам он 
отправится не скоро. 

DR> авирам. Перекрываем вторую возможность - что запускай, что не 
DR> запускай - эффекта никакого. 
Hу если наш юзер - обычный программер на Delphi, то логично предположить, что 
на рабочем компе у него стоит почти тот же набор утилит и операционка. А 
вирусы могут не только исполняемые файлы поражать, но и внедряться в исходный 
текст модулей... 

DR> Или просто недоступен червю (например, некий извращенец переименовал 
DR> или спрятал в шкафу на сменном носителе вместе с утилитами format и 
DR> deltree). 
Есть такие вирусы, которым не нужен внешний архиватор, они таскают 
соответствующие алгоритмы в своём теле. 

DR> Или отсутствует возможность запустить исполняемый файл червя на данной 
Hу как же так? Я не говорю про многоплатформенность вирусов... пока не 
говорю... 

DR> системе. Или невозможно открыть другие архивы на запись - весь 
DR> раздел доступен только на чтение. 
Hо что-то у юзера таки открыто на запись? И пусть там будут не архивы, а 
документы Word или исходники проекта на Visual C. 

DR> Эпидемии происходят не на извращённых системах, а на самых 
DR> стандартных, чаще всего установленых из коробки с опциями по 
DR> умолчанию и без обновлений. 
Почти согласен. Hо хэкеры проникают обычно как раз на извращённые конфигурации 
и подсовывают туда всяческие нехорошие программки... 

DR> По приоритетам и задачам. Для сетевого взломщика вирусы, черви, 
DR> трояны и средства удалённого администрирования - это инструмент, такой 
Согласен. 

DR> же как например сканер безопасности. Причём, одна и та же задача 
DR> может быть выполнена разными методами с помощью разных инструментов. 
DR> Грубо говоря, чтобы своровать пароль на интернет не обязательно 
DR> внедрять троян, если юзер сам расшарил свой диск для всеобщего 
DR> доступа. 
А если не расшарил, то можно и троян внедрить... 

DR> Для вирусописателя, создание червей, троянов и вирусов - нечто типа 
Только вот давай без этого? А? Hе люблю я, когда люди рассуждают о том, о чём 
сами имеют лишь маленькое представление, да и при этом чересчур извращённое. 

With best regards, Igor 
E-Mail: [email protected] WWW: http://redarchomepage.chat.ru 

--- GoldED/W32 3.0.1 
* Origin: (2:5053/49.6) 
VX Heavens - коллекция вирусов,исходников и статей.
Нажми Alt + F, чтобы перейти к форме поиска
Пользовательского поиска