Компьютерные вирусы и антивирусы

[ZED]

мало ли, вдруг в вендах разочаруешься)))

Всё течёт,всё изменяется,такой вариант не исключен.

[Сволочь]

Вот только на днях отрубил Каспера (но коммент почему - было надо) и тут же подловил гамно какое то... ну не сипец, господа?

[Suprim]

Лень искать ссылку, у людей ХР работал по шесть лет при пользовании интернетом и заменялся на висту вместе с компом. И лично меня вполне устраивает как работает платный софт,напротив как только я перешел на бесплатные аваст и pc tools farewall +,то случился вирусный гимор,может так совпало,но теперь меня очень трудно будет убедить в его эффективности.

Я вобщем-то ни кому и не навязываю свое мнение.

У меня дома комп под ХР с 2002 года стоит и на висту будет менятся вместе с железом. Кстати, юзал все винды от 3.11 до ХР - с ХР, как у Христа за пазухой

Из 6 лет только полгода стоял Аваст+аутпост - стоял, так я наловил дряни... А с Касперами (4-6) за остальное время - неа...

[ZED]

Из 6 лет только полгода стоял Аваст+аутпост - стоял, так я наловил дряни... А с Касперами (4-6) за остальное время - неа...

Многие об этом и говорят...Как его не обсирай а результат как говорится на лице

Изменено 11 января, 2008 пользователем ZED

[Dr.Bormental]

Активное обсуждение в соседней теме выбора антивирусного ПО вызвало у меня вопрос, касающийся проблем и ущерба от вирусов. С какими проблемами, вызванными вирусами вы сталкивались? Лично для меня самый большой ущерб был причинен вирусом Win32.Hidrag, лечение от которого обернулось убийством многих ехешников, даже с флеш-анимацией. Любопытно, что сейчас чисто деструктивных программ мало. Новые вирусы носят часто шпионский характер, похищая конфиденциальную информацию, и таким образом их вред неоднозначен - их работаможет быть заблокирована настройками сетевого оборудования, а наличие вовсе никак не проявляться. Такие же вещи, как WIN95.CIH наврено вымирают и останутся уделом "веселых" студентов.

[Lashana]

Блокирование через реестр запуска диспетчера задач, прописка в корень диска (как жесткого, так и флеш) autorun.inf, которые не позволяет открыть диск никакими средствами, кроме "Открыть с помощью" и выбора там explorer.exe. Автозагрузка при включении компа сайтов (например с базой mp3 или рекламных, а не тех что вы подумали ) Так что у меня (тьфу-тьфу-тьфу) только фигня была.

У друзей от вирусов слетала антивирусная защита - вот это уже серьезней! Так чтобы крякнулась вся системы - не было. Наверное вовремя замечали вирусы.

[Illusion]

Помню в детстве пришлось в срочном порядке форматировать диски. Даже без сохранения каких-либо данных. Вирус с каждым разом уничтожал всё больше програм. Зпускаешь винду - прога работает, перезагружаешься - уже нет. Отец думал, что это "Чернобыль" ну и собственно форматнул С...

(Тада игра оооочень интересная уничтожилась, которую я так любил )

А так всякие не приятные глюки только были. Скажем печатать не мог. Или мышь отказывала. (Не помню как вирус звали).

Другой был - в каждой папке, куда я заходил, создавал её клон... Долго от него избавиться не мог.

Изменено 26 мая, 2008 пользователем Illusion

[Naves]

сегодня тупо заразился:

вставляю флешку, побывавшую в грязных лапах врагов, вижу в корне New Folder.exe, ясен пень вирус...запускаю на автомате ентером в total commander...

сразу запускаю sysinternals process explorer убиваю процесс типа свчост.ехе, далее проверка drweb, что-то находит в каталоге венды, удаляю. запускаю msconfig ничего лишнего в автозапуске не появилось, как бы пронесло....

перезагружаюсь и что я вижу: вместо десктопа открыта одна папка мои документы, заблокирован taskmamager, regedit, при запуске explorer вместо десктопа грузится одно окно моих документов и все.

сижу в линух, думаю, как делать курсач в проге для венды...

нужно какие-то строчки в реестре искать чтоб все вернуть взад

[nikON]

Другой был - в каждой папке, куда я заходил, создавал её клон... Долго от него избавиться не мог.

Вово! Тож такой был. Только не клон, а ярлык на эту же папку.

[pop]

Вово! Тож такой был. Только не клон, а ярлык на эту же папку.

Аналогично, как избавились?

[e_man]

Naves, regedit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU\ аналогично.. смотри что там, фикси сервисы.

лучший вариант - просканить хард с другой машины, либо как вариант с эмулятора под линухой (или виртуальной машины).

ну и в порядке вещей - иметь запасную админскую учётку..

грузиться в сейф-моде.

[Naves]

Naves, regedit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU\ аналогично.. смотри что там, фикси сервисы.

лучший вариант - просканить хард с другой машины, либо как вариант с эмулятора под линухой (или виртуальной машины).

ну и в порядке вещей - иметь запасную админскую учётку..

грузиться в сейф-моде.

под другой учеткой есть доступ к регедитам, но декстоп не грузится

блин, прихожу к выводу что под вендой тоже нефиг под админом сидеть

Изменено 26 мая, 2008 пользователем Naves

[Illusion]

Аналогично, как избавились?

Full system scan by Kasper...

[nikON]

Аналогично, как избавились?

Full system scan by Kasper...

А я НОДом ипанул

[Naves]

поборол венду, разблокировал всякие таскбары и таскменеджеры небольшой прогой

Sergiwa Remove Restrictions Tool (RRT)

ссылка

пара кнопок и не надо рыскать в дебрях реестра и групповых политик gpedit.msc

также через AVZ ссылка нашел задание планировщика на уже удаленный файл вируса

Изменено 27 мая, 2008 пользователем Naves

[Lashana]

также нашел задание планировщика на уже удаленный файл вируса

Фигасе!!! Вирусы себя еще и в задания планировщика прописывают!? Вот о таком первый раз слышу!

[St0rm]

Ленивый вирус... Распространяется за счет средств винды

[Сволочь]

Самый большой залет - чистка 5ти или 6ти сайтов на которые стырив пароли пролез червь. После этого был совершен резкий маневр в сторону линукса.

[MAPODEP]

Омг Вирус в детстве был комп тупил пострашному полетел кулер а следом материнка страшный был вирус ,биос жрущий

[Dr.Bormental]

Сегодня ожидается самая мощная вирусная атака в Интернетe

1 апреля может произойти атака вируса Kido. Cпециалисты отмечают, что эта атака может стать самой опасной в истории глобальной сети.

Ведущий эксперт «Лаборатории Касперского» Виталий Камлюк сообщил, что данный вирус представляет серьезную угрозу для всего Интернет-сообщества. По его словам, Kido распространяется через компьютерные сети и сменные носители информации.

Эксперты по безопасности и пользователи Интернета встревожены, - уточняет итальянская La Repubblica: в среду могут неожиданно начать действовать компьютеры, зараженные компьютерным червем Conficker. Речь идет о 9-15 млн. ПК. Зараженные компьютеры не проявляют явных признаков инфекции, но становятся оружием в руках агрессоров, которые могут использовать их для незаконной деятельности.

"Не думаю, что авторы Conficker хотят создать какие-то серьезные коммуникационные проблемы в Интернете, это было бы абсурдом с экономической точки зрения", - говорит Ричард Ванг из фирмы по обеспечению компьютерной безопасности Sophos. Такого же мнения придерживается большинство экспертов.

Если раньше хакеры осуществляли громкие акции, то теперь хакерство превратилось в миллионный бизнес, и сами хакеры предпочитают оставаться в тени. Создатели Conficker получат возможность распространять спам, осуществлять кибератаки, красть данные. "После 1 апреля, - полагает эксперт Symantec Антонио Форциери, - инфицированные компьютеры не смогут скачивать обновления систем защиты, и в руках у создателей червя окажется еще более мощное оружие".

По словам Антонио Форциери, чтобы защититься от этих угроз, следует скачать на cвой компьютер последние обновления программ безопасности.

ссылка

Ну что, у кого началось уже?

[Mistress]

типа, с 1 апреля

[Lashana]

Этот Kido недавно весь наш офис перезаражал Сегодня вроде тихо

[Naves]

галактеко опасносте

[ASA]

И у меня обнаружился червь Conficker. NOD32 его время от времени удаляет, но он снова возникает. Как от него спасаться-то? Люди знающие, подскажите!

[lytgeygen]

ASA Снаси винду и ставь заного, есди верси последния антивирусом от него не избавиться....

А по сети об этом уже давно ходит...

Сейчас в интернете бродит много слухов про то, что якобы первого апреля случится что-то страшное. Conficker (Downadup, Kido) начнет использовать новый алгоритм определения доменов для рассылки обновлений, поэтому многие придумывают всякие небылицы, вплоть до «конца интернета». Некоторые товарищи даже советую не выходить в интернет 1-ого апреля.

Вчера наши парни опубликовали FAQ про это в блоге F-Secure, а я тут привожу его перевод. Прочитайте, чтобы не поддаваться панике и знать, что именно произойдет 1-ого апреля.

Q: Я слышал, что что-то очень-очень плохое случится с интернетом 1 апреля. Так это?

A: Нет, не совсем.

Q: Серьезно, червь Conficker начнет делать что-то плохое 1-ого апреля, так?

A: Conficker aka Downadup немного изменит свой алгоритм работы, но это врядли приведет к каким-то видимым изменениям 1-ого апреля.

Q: Так что случится-то 1-ого апреля?

A: Сейчас Conficker генерирует 250 разных доменных имен каждый день и пытается скачать с них программу апдейта и запустить ее. 1 апреля новейшая версия Conficker-а начнет выбирать уже 500 из 50,000 доменов каждый день для той же цели — скачивания и запуска файлов.

Q: Последняя версия? Есть несколько разных версий чтоли?

A: Да, и последняя версия сейчас не самая распространенная. Большинство зараженных компьютеров сейчас заражены вариантом B, который начал распространяться в Январе. И в поведении этого варианта B ничего не изменится.

Q: Я только что проверил, что моя Windows машина не заражена. Что-нибудь случится с моим компьютером 1-ого апреля?

A: Нет!

Q: У меня Mac, что-нибудь случится с моим компьютером?

A: Нет!

Q: Итак, это значит, что хакеры смогут использовать этот новый канал для скачивания и запуска любой программы на всех машинах?

A: Да, на всех машинах, которые инфицированы последней версией червя.

Q: Но что такое эта peer-to-peer функциональность для скачивания, про которую я слышал?

A: Червяк имеет peer-to-peer функциональность, что значит, что инфицированные компьютеры могут общаться друг с другом без надобности в сервере. Это позволяет червю апдейтить самого себя даже без регистрации одного из 250 или 50,000 доменов.

Q: Но не значит ли это, что если бы «плохие парни» хотели запустить что-то на зараженных машинах, им не надо было бы ждать до 1-ого апреля?

A: Да! И это еще одна причина, почему маловероятно, что что-то плохое случится именно 1-ого апреля.

Q: Будет ли поднят серьезный хайп в СМИ?

A: О, да! Как всегда, когда у какого-то широко распространенного червя есть тригерная дата. Вспомните случаи с Michelangelo (1992), CIH (1999), Sobig (2003), Mydoom (2004) и Blackworm (2006).

Q: Но ведь в тех случаях ничего особого и не случилось, несмотря на то, что все ожидали, что что-то случится!

A: Именно!

Q: Итак, должен ли я отключить и не включать мой компьютер 1 апреля?

A: Нет. Но вы должны провериться и быть уверенным, что ваш компьютер не заражен.

Q: Могу ли я просто сменить дату на своем компьютере и тем самым защитить себя?

A: Нет, конечно. Червь использует локальное время для нескольких своих функций, но он не полагается ТОЛЬКО на время на вашем компьютере.

Q: Я смущен. Как вы можете быть уверены заранее, что 1-ого апреля не будет глобальной вирусной атаки? Должно быть вы что-то скрываете!

A: Да, вы смущены. Не будет никакой «глобальной вирусной атаки». Машины, что УЖЕ инфицированы, могут начать делать что-то новое 1 апреля. Мы знаем это, потому что мы изучили код червя и можем видеть, что это именно то, на что он запрограммирован.

Q: Будет ли скаченная червем программа запущена с администраторскими привилегиями?

A: Да, с правами локального администратора. Что очень плохо!

Q: И этот червь может скачать апдейт не только 1-ого апреля, но и в любой день после этого?

A: Точно. Так что нет никакой причины, почему они не смогут это сделать, скажем, 5 апреля, а не 1-ого.

Q: ОК, они могут запустить программу на зараженном компьютере. Но зачем? Что будет делать эта программа?

A: Мы не знаем что они планируют делать, если вообще что-то планируют. Конечно, они могут украсть ваши данные, посылать с вашего компьютера спам, делать DDOS атаки на другие компьютеры и сервера и так далее. Но мы не знаем что именно они собираются делать дальше.

Q: Они? Кто они? Кто сделал этого червя?

A: И этого мы тоже не знаем. Но они выглядят очень профессионально судя по тому, что они делают.

Q: Профессионально? Это правда, что Conficker использует MD6 hash algorithm?

A: Да. Это, вероятно, первая программа, которая использует этот новый алгоритм!

Q: Почему вы сами не можете заразить свой компьютер, установить часы на 1-ое апреля и проверить, что случится?

A: Потому что оно так не сработает. Червь коннектится на некоторые вебсайты, чтобы узнать сегодняшнее число и время.

Q: Правда? Тогда выключите эти сайты и проблема исчезнет!

A: Не можем. Это сайты типа google.com, yahoo.com и facebook.com.

Q: Нет, серьезно, вы же можете поднять у себя в лаборатории свой google.com, установить на нем 1 апреля и проверить всё!

A: Можем. Но сайты, с которых червь попытается что-то скачать 1-ого апреля не имеют ничего сейчас! Они могут иметь что-то 1-ого апреля. А могут и не иметь.

Q: Теперь я взволнован. Как я узнаю, что я заражен?

A: Попробуйте зайти на www.f-secure.com. Если вы не можете зайти на наш сайт, то вы вероятно заражены, т.к. Downadup/Conficker блокирует доступ к сайтам антивирусных компаний. Никому не говорите, но те, кто не могут зайти на f-secure.com из-за вируса, могут зайти на спец. зеркало www.fsecure.com.

Q: Откуда пришло название «Conficker»?

A: Conficker — это своего рода анаграмма из слова trafficconverter – сайта, на который коннектился первый вариант червя.

Q: Почему у червя несколько имен – Downadup, Conficker, Kido?

A: Вирус был найдет примерно в одно и то же время несколькими антивирусными компаниями и в каждой из них его назвали своим именем. Сейчас большинство компаний используют имя Conficker. Но и сейчас продолжается неразбериха с названием новых модификаций между компаниями.Мы все сожалеем об этом.

Q: Как много компьютеров сейчас инфицировано червем Downadup/Conficker?

A: Около 1-2 миллионов. Сколько из них заражено последней версией? Мы не знаем точной цифры.

Q: Как антивирусная индустрия реагирует на все это?

A: Мы отреагировали, создав Conficker Working Group. Группа включает в себя представителей компаний-производителей антивирусов (включая нас), регистраторов, исследователей и т.д.

Q: Я хочу знать больше технических деталей про червя.

A: Конечно. Здесь наше описание (англ), и здесь есть отличное описание (eng). А тут есть моё описание на русском.

Q: Когда был обнаружен первый вариант Downadup/Conficker?

A: Он был найден 20 ноября 2008.

Q: Больше, чем 4 месяца назад? Я хочу увидеть таймлайн того, что произошло за эти 4 месяца.

A: Byron Acohido написал об этом.

Q: Антивирус от F-Secure может обнаружить и вылечить от этого червя?

A: Конечно.

Q: Есть ли у вас специальная программа для лечения червя??

A: Да и она бесплатная. Скачайте её отсюда.

Q: Вы собираетесь продолжать следить за этим дальше?

A: Да. Оставайтесь с нами и ждите новой информации.

Хабр