[holywar] Можно ли не ловить винлоки в принципе?

[Aside]

На каком основании по-вашему юзеры могут определять -можно ли на эти сайты ходить и запускать эти программы, а не те сайты нельзя ходить, и программы отсюда качать и запускать нельзя? Если файловая защита антивируса обнаружила вирус -повезло. А если не обнаружила? Перестраховаться, и думать, что там может быть вирус? Но так паранойя может развиться! 100% обнаружения вирусов нет, поэтому нет основания, что на данный сайт нельзя зайти и нельзя запустить данную программу (на компе для работы нельзя).

ИТ специалисты , тем не менее,справляются с этим. Существует ряд признаков.
Можно их перечислить, на всеобщность не претендую

Для сайтов:
1) Незнакомый сайт.
1.2) Плохочитабельное имя сайта
1.3) Сайт на неизвестном домене
1.4) Не понятная по смыслу ссылка
1.5) Переход на сайт был сделан за вас
2) Непонятная тематика сайта
3) Вызывающий дизайн сайта
4) Отсутствие достоверных ссылок на сайт
5) Неструктурированные SEO поля
6) Отсутствие user generated content на сайте
7) Отсутствие метрик на сайте (яндекс метрика, liveinternet, итд)

Таким образом, чем большему количеству пунктов сайт удовлетворяет, тем он более трешевый а ,значит, не от доброты душевной, скорее всего, его хостят. Особенное внимание нужно уделить пункту 1.5 : некоторые юзеры видят, что открылся какой-то сайт и начинают по нему лазить, а вот это как раз делать и не следует. Кроме того, важно понимать, откуда у вас берется ссылка: если кто-то дает вам ссылку по почте или в аське, нужно переспросить этого человека, что это за ссылка и для чего он вам ее дает. Аккаунты некоторых людей взламывают и рассылают вредоносные ссылки.

С программами сложнее, но помимо антивируса есть несколько ключевых признаков:

1) Размер файла слишком мал (менее 250 кб) или слишком высок (например, вы скачиваете какой-то документ, а вам там предлагают закачать какой-то архив на 15 мегабайт)
2) Для запускаемых файлов
2.1) Прикладные программы, не имеющие инсталлятора, всегда содержат адекватный файл Readme и почти всегда состоят не менее чем из 3х файлов (это могут быть DLL файлы, ini файлы и прочее).
2.2) Если речь идет об инсталляторе, то если в свойствах файла не указан производитель этого файла (либо - производитель инсталлятора), то нужно насторожиться.
3) Неадекватная иконка программы
4) Вас просят ввести пароль
5) Файлы размером вплоть до нескольких мегабайт можно кидать на сайт virustotal.com, там файл будет проверен всеми известными человечеству антивирусами и вам выдадут заключение каждого из них.


Если соблюдать эти несложные правила, то все будет отлично.

 

[Aside]

Большинство пользователей хотят ходить на те сайты и запускать то, что они хотят. Можно конечно не делать так, но тогда много ограничений будет.

Большинство жителей этой страны не хотят ничего делать, а только нажираться по выходным. (или чаще)
Они, по всей видимости, тоже думают, что если они этого не будут делать, то будут находится в плену могущественных ограничений, с которыми и жизнь не мила совсем. :biggrin:

Под защитой я понимаю такую защиту, при которой пользователь не ограничивает себя и при этом надежно защищен.

Таких защит не существует. То что вы предлагаете противоречиво изначально.

 

[Rusdon]

Большинство пользователей хотят ходить на те сайты и запускать то, что они хотят. Можно конечно не делать так, но тогда много ограничений будет.

Большинство жителей этой страны не хотят ничего делать, а только нажираться по выходным. (или чаще)
Они, по всей видимости, тоже думают, что если они этого не будут делать, то будут находится в плену могущественных ограничений, с которыми и жизнь не мила совсем. :biggrin:

Под защитой я понимаю такую защиту, при которой пользователь не ограничивает себя и при этом надежно защищен.

Таких защит не существует. То что вы предлагаете противоречиво изначально.

да уж, верно сказано. Свобода действий с безопасностью редко сочетаются

 

[Arwed]

Установщики, скачанные с официальных сайтов, меняют ключи реестра и файлы, относящиеся к системным файлам, параметрам безопасности и т.д. Такие сообщения у меня появлялись, потому что я настроил "сообщать как можно больше о том, что делает программа". Значит там вирусы?? Бред какой-то получается!
Троян, спрятанный в игру, хочет переписать MBR загрузчик (там спрятан винлок). Можно запретить это действие, троян проигнорирует. Игра работатет, троян не навредил. Другой троян выдает табличку "отказано в доступе". Игра не работает. Игру можно попробовать вылечить, то есть запретить выполнять потенциально вредоносные команды сохранив работоспособность программы. Или удалить эти строчки кода, чтоб процессор не пытался переписать MBR загрузчик (как будто в игре трояна и не было).

У антивирусов вообще цель - обнаружить malware. А получится ли вылечить - это как повезёт? Если в программе только вредоносный код, то конечно эту программу нужно поскорее убить и удалить. Троян, запущенный с правами пользователя, остаётся трояном, но не может сильно навредить. Как автомат, у которого патроны кончились. Он автоматом остался, но убить никого не может (пулями).

Если на virustotal пишут , что тут троян, это не значит что он на таком то компе навредит. Тот backdoor, например, который через службу Telnet работает, он есть в антивирусных базах. Но он не вредит, он не доделан и навредить не может. То есть пользователь запускает тот backdoor, а взломщик подключится не может.

 

[-[MADS]- Demid]

Ни один пользователь не желает вычислять вероятность того, что непойманный вирус не навредит. Если антивирус поймал угрозу, то он молодец, хороший антивирус. Если же нет, то плохой, даже если в результате вредоносный файл и не сработал. Однако излишняя пугливость антивирусу тоже ни к чему: если он ловит все подряд и настойчиво сообщает пользователю о каждом шаге каждой программы, значит его разработчики сами не уверены, что представляет угрозу, а что нет. На мыло таких разработчиков! Идеальный сферический антивирус ловит все вирусы, но ничего кроме вирусов. :victory:

 

[Arwed]

Файловая защита и экран поведения работают по совершенно разным принципам. Не надо их в одну кучу смешивать. Файловая защита (антивирусная база) не может ловить новые угрозы, у неё другая цель (она никогда не будет ловить новые угрозы, и не обязана их ловить). Этим занимается экран поведения. Экран поведения не защищает от вирусов. Он сообщает о том, что делает программа. После анализа пользователь делает вывод, заражена ли программа или нет. Экран поведения может только помогать, а не решать за пользователя.
KIS 2010 (контроль программ) программе Fraps (http://www.fraps.com/download.php), скачанной с официального сайта, назначил 100 баллов (опасно). KIS 2011 назначил 75 баллов (подозрительно). Кому верить - касперскому или разработчикам fraps?
Fraps внедряет модуль во все процессы путем установки глобальной ловушки. Правда, касперский не уточняет, что конкретно происходит после внедрение модуля. Я так понимаю, кому интерестно, ставят отладчик (ollydbg) и анализируют программу.

 

[Rusdon]

Зачастую это уже самому пользователю решать в конечном счете, запускать программу или нет. Мне Escan сообщает, когда есть угроза. Хочешь риска- запускай, хочешь быть уверенным в безопасности, ставь самый высокий уровень. Это можно воспринимать как руководство к действию, вывод только лучше делать самому.

 

[Jamski]

Доброго времени суток всем! Специально зарегился здесь, чтобы малось пролить свет на принцип действия винлокеров и ответные реакции антивирусов.
Сам я работаю IT инженером в крупной государственной организации и почти каждый день сталкиваюсь с винлокерами - для меня удалить винлокер локально или удалённо - подчистить за ним - обычное дело.
В нашей конторе используется корпоративный антивирь ESET - антивирусом я его могу назвать лишь с большой натяжкой и только из-за того, что он может при сканировании убивать вирусы. Используем его из-за скорости работы. Были предложения использовать корпоративного каспера - но все быстро сошлись на мысли, что 90 процентов пользователей взвоет из-за непомерных тормозов, вызванных его работой. Если у вас стоит ESET 3 или 4-ой версии - то вы 100% не защищены от вирусни с флэшек - также он совсем не умеет блокировать ява скрипты с сайтов - кстати говоря это и есть основной способ распространения винлокеров. Вы открываете сайт - вместе с сайтом к вам грузиться какой-нить винлокер, методом доставки и обработки в большинстве случаев для них служит java - ESET приспокойненько спит в этот момент. Прописывается всё это в одни и те же места - и не имеет значения какие в данный момент у пользователя права:
Разделы реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Это если же у вас ось XP к примеру.
На Vista и 7 там у вируса не всё прокатывает
Лечиться правкой реестра.
Могу сказать что от вирусни и всякой гадости с флэшек вы можете защитить свою машину одной интересной бесплатной програмулькой - которую написал студент из Байконура
"Зоркий глаз"
По поводу антивируса - Я думаю все же если для себя - то юзать каспер - никогда не подводил.
Есть ещё несколько рекомендаций - это отключать яву и в просмотрщике pdf файлов отключать онлайн просмотр документов

 

[Солярис]

Jamski
Спасибо, хороший комментарий . По делу и кратко . :yes:
Насчёт Есета - согласен, программуля загадочная, вроде и антивирус, а вроде - не очень .
А по поводу проникновения винлоков .... всё думал, почему же у меня никогда не было такой гадости, у всех вокруг эта дрянь загораживает раб.стол, только я заколдованный . Понял - у меня на лису навешен noscript, а он блокирует всяческие флэши, несанкционированные переходы на другую страницу/сайт, баннеры и прочую всплывающую ахинею, в которой требуют "срочно установить суперновый модуль, который невероятно улучшает просмотр этого чудесного сайта" .
Ну и антивирь у меня неплохой, да . Но баннерорезки - маст хэв . :victory:

 

[Jamski]

Да, конечно - настоятельно рекомендуется помимо хорошего антивиря использовать фильтры рекламы. Можно юзать отдельные платные программы резки рекламы - а проще всего бесплатные дополнения к браузерам - например в лисе это noscript - в opera это расширение NoAds Advanced. И ещё можно использовать альтернативные днс сервисы - тоесь блокирование вирусни будет производится ещё до загрузки вами сайта. К примеру я пользуюсь SkyDNS - есть и другие аналогичные. В борьбе с врагом все средства хороши.

 

[kolover]

на лису навешен noscript

я предпочитаю adblock. Порой захожу к людям, у которых его нет, лезу на любимые сайты, а там.... оказывается, не такие они и красивые, если видеть всю эту рекламу, флеши и т.д.