информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Spanning Tree Protocol: недокументированное применениеЗа кого нас держат?Сетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Число обнародованных уязвимостей... 
 Последний второй Python 
 Microsoft предупредила о двух незакрытых... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2005 / август
2005
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




The Bat!

Вирусы для Windows Vista уже готовы. Но использовать их не получится.
dl // 05.08.05 03:12
Австрийский хакер, называющий себя "Second Part To Hell", опубликовал вирус, использующий новую командную оболочку Monad, которая включена в недавно вышедшую бета-версию Windows Vista.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/08/05.html]
По словам представителя F-Secure Микко Хюппонена (Mikko Hypponen), все это было вполне ожидаемо и единственное, что удивляет, так это скорость появления нового семейства вирусов - всего восемь дней с выхода беты. Хотя лично я и в этом не вижу ничего удивительного :)

Впрочем, чуть позже появилась информация о том, что Monad не войдет в стандартную поставку окончательной версии Vista. Пока планируется включить его в предположительно выходящий в 2007 года Longhorn Server, хотя, возможно, он будет выпущен в качестве дополнения к Server 2003, XP и Vista.

Источник: InfoWorld, cnet      
теги: vista, windows, server, xp  |  предложить новость  |  обсудить  |  все отзывы (36) [9085]
назад «  » вперед

аналогичные материалы
Microsoft закрыла серьёзную уязвимость, открытую АНБ // 15.01.20 00:52
Прощаемся с Windows 7 // 14.01.20 22:22
Типовые уязвимости в драйверах уровня ядра ряда производителей // 11.08.19 03:16
Microsoft готовит к выпуску Windows Terminal // 06.05.19 19:02
Microsoft отозвала октябрьское обновление // 06.10.18 11:44
Октябрьское обновление Windows 10 может удалять пользовательские данные // 05.10.18 19:05
Google считает, что Microsoft подставляет пользователей Windows 7 и 8 // 08.10.17 19:19
 
последние новости
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21
Последний второй Python // 25.04.20 23:22
Microsoft предупредила о двух незакрытых уязвимостях // 24.03.20 00:44
Перевод Firefox на DNS over HTTPS // 25.02.20 16:33
Microsoft закрыла серьёзную уязвимость, открытую АНБ // 15.01.20 00:52
Прощаемся с Windows 7 // 14.01.20 22:22
С наступающим // 31.12.19 23:59

Комментарии:

ну сколько можно одно и то же 10.08.05 20:17  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
на всякой сложной подключенной к сети системе могут появиться т.н.вирусы

количество их зависит от многих параметров но самое главное - обратно пропорционально уникальности программной системы

воспринимайте это как generic system ability
Все вполне прогнозируемо. Сложно верить в то, что Vista... 08.08.05 10:06  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
Все вполне прогнозируемо. Сложно верить в то, что Vista писалась с нуля. Что с нуля разрабатывалась архитектура, идеология и т.д и т.п А следовательно если писалось из "родительского" кода, то и болячки родительские на себе потащит. Разработка новой командной оболочки - это не панацея и видимо избавить Windows от всевозможной дырявости малореально.
Не в дырявости дело 08.08.05 12:12  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Вирус это обычная программа, отличающаяся от других только наличием в базе антивирусов.
Количество вирусов для какой-либо платформы зависит в первую очередь от распространенности этой платформы среди обычных юзеров и во вторую в наличии необходмимой документации и средств разработки. Любая ос в которой могут исполняться программы, которые могут сохранять файлы уже потенциальный рассадник для вирусов. И "дырявость" тут абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых... 09.08.05 10:10  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.
> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут
> абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых атак - другое. Ести ли гарантия того, что код или его фрагменты, уязвимости, использованные для написания вирусов для Vista не будут использованы для написания эксплоитов и проведения сетевых атак? С моей точки зрения - нет. И вот тут-то "дырявость", не исправленные ошибки в логике и наследуемом коде проявятся во всей красе.
«Зловредность» существует на стороне автора программы, а не на стороне антивируса. Сколько можно говорить — понятие «вирус» суть просто заговор, … 09.08.05 11:11  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 09.08.05 11:18  Количество правок: 4
<"чистая" ссылка>
Subj, т.е. общество решило что вот эта прога вирус, и всё. Программа-антивирус не может решать за человека, тем более быть умнее целой когорты безопасников и высококлассных спецов, что однозначно определили её "вирусность". Поэтому базы, базы, и ещё раз базы с сигнатурами.

Это пока... Надеемся, что прогресс операционок дорастёт всё-таки до чего-то пуленепробиваемого... К примеру, исполнять только подписанный код... с проверкой и защитой железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян? :-)
Если общество решило, то опираясь на какие-то критерии... 09.08.05 11:57  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 11:58  Количество правок: 2
<"чистая" ссылка>
> Subj, т.е. общество решило что вот эта прога вирус, и всё.

Если общество решило, то опираясь на какие-то критерии. Самые элементарные это бесконтрольное быстрое размножение и причинение вреда. Вредность программно определить тяжело, а бесконтрольное размножение можно.

> Программа-антивирус не может решать за человека, тем более
> быть умнее целой когорты безопасников и высококлассных
> спецов, что однозначно определили её "вирусность". Поэтому
> базы, базы, и ещё раз базы с сигнатурами.

И люди тоже ошибаются, даже когорта безопасников. Пусть программа не решает, но вычислить размножающийся код она может.
Я не знаю ни одного вируса, который абсолютно не умеет размножаться, а вы?

> Это пока... Надеемся, что прогресс операционок дорастёт
> всё-таки до чего-то пуленепробиваемого... К примеру,
> исполнять только подписанный код... с проверкой и защитой
> железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян?
> :-)

А если программист отлаживает программу? Пуленепробиваемая подпись должна легко вырабатываться? Что мешает вирусу выработать подпись при заражении?

Застал я одну красивую операционку: RSX-11M. В ней обычный пользователь мог выполнять программы только специально установленные в системе администратором. Может кто знает - сколько было вирусов на DEC'овских системах?
Дану. Вот есть вирус который пишет чегото там в файлы. То... 09.08.05 12:37  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> > Subj, т.е. общество решило что вот эта прога вирус, и
> всё.
>
> Если общество решило, то опираясь на какие-то критерии.
> Самые элементарные это бесконтрольное быстрое размножение и
> причинение вреда. Вредность программно определить тяжело, а
> бесконтрольное размножение можно.
Дану. Вот есть вирус который пишет чегото там в файлы. То что она пишет сама себя ты не определишь - она пишет совершенно разные байты ибо полиморф. В исполняемые файлы писать совсем необязательно. Он может писать в темпари которые затем переименовывать шеллскриптами. А трекить все эти изменения - ты представляешь как все будет тормозить. Не ОСовское это дело.
Другой пример - система развертывания приложения на предприятии - с сервера админ ставит софтину на сотни компов. Вирус?
А вебсервер с которого пользователи скачивают ехешники? Как ты его отличишь от червя который себя другим раздает? Да никак с точки зрения "машинной логики"

> > Программа-антивирус не может решать за человека, тем
> более
> > быть умнее целой когорты безопасников и высококлассных
> > спецов, что однозначно определили её "вирусность".
> Поэтому
> > базы, базы, и ещё раз базы с сигнатурами.
>
> И люди тоже ошибаются, даже когорта безопасников. Пусть
> программа не решает, но вычислить размножающийся код она
> может.
> Я не знаю ни одного вируса, который абсолютно не умеет
> размножаться, а вы?



> А если программист отлаживает программу? Пуленепробиваемая
> подпись должна легко вырабатываться? Что мешает вирусу
> выработать подпись при заражении?
Ммм.. а ты знаешь что такое цифровая подпись?

> Застал я одну красивую операционку: RSX-11M. В ней обычный
> пользователь мог выполнять программы только специально
> установленные в системе администратором. Может кто знает -
> сколько было вирусов на DEC'овских системах?
А сколько пользователей тех систем? А сколько пользователей теперешних виндов?

Повторяю свою другую мессагу - вирусы давно перестали быть главным злом. Это скорее так - апчхи. А targeted вирусные атаки никакая мега-ос не остановит.

Короче все это пустой треп.
Я не могу даже представить себе ситуацию, когда в процессе... 09.08.05 18:15  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 18:17  Количество правок: 2
<"чистая" ссылка>
> Дану. Вот есть вирус который пишет чегото там в файлы. То
> что она пишет сама себя ты не определишь - она пишет
> совершенно разные байты ибо полиморф. В исполняемые файлы

Я не могу даже представить себе ситуацию, когда в процессе работы пользователя за компьютером какой-нибудь программе потребуется внести изменения в существующую екзешку.

> писать совсем необязательно. Он может писать в темпари
> которые затем переименовывать шеллскриптами. А трекить все

Переименовывание - под контроль! Удаление, создание новых и прочие действия - по желанию тоже можно контролировать.

> эти изменения - ты представляешь как все будет тормозить.
> Не ОСовское это дело.

Пусть не сама ОС, а добавочная компонента. Какое торможение - десяток микроинструкций: проверить при открытии файла на запись на то, что это екзешка.
Если выполняемый файл открывается на запись через его создание (функция creat() ), то можно и ни какого сообщения не выдавать.

> Другой пример - система развертывания приложения на
> предприятии - с сервера админ ставит софтину на сотни
> компов. Вирус?

Это происходит по желанию админа. Вирус распространяется без желания людей. Как правило еще и незаметно для всех.

> А вебсервер с которого пользователи скачивают ехешники? Как

Пользователи скачивают екзешки только потому, что они хотят это сделать. Они сами нажимают кнопку [Скачать].
Когда же принимаешь почту с сервера, а аутлук незаметно рассылает письма всем, кто прописан в адресной книге, с сообщением: "I love you", это уже вирус.

> ты его отличишь от червя который себя другим раздает? Да
> никак с точки зрения "машинной логики"

С точки машинной логики возможность есть. Вирус будет либо модифицировать существующую екзешку, открывая файл на запись. Либо писаться в новую вместе с программой, но потом он будет обязан переименовать/удалить существующую программу и переименовать/переместить новый зараженный файл в старый.

> > А если программист отлаживает программу?
> Пуленепробиваемая
> > подпись должна легко вырабатываться? Что мешает вирусу
> > выработать подпись при заражении?
> Ммм.. а ты знаешь что такое цифровая подпись?

Ну где-то компилятор программиста (или скачивалка из интернета) будет брать секретный ключ. Вот и вирус его найдет. Алгоритм будем считать известен. Это похоже на существующую систему сертификатов для защищеных соединений или подпись драйверов. Геморой увеличивается, а эффективность полностью отсутствует.

> Повторяю свою другую мессагу - вирусы давно перестали быть
> главным злом. Это скорее так - апчхи. А targeted вирусные
> атаки никакая мега-ос не остановит.

Согласен, но злом, хоть и не главным, они остаются.

> Короче все это пустой треп.

Ну не пустой. Я много чего интересного почерпнул из этого обсуждения. Если кому-то не интересно - участвовать в обсуждении никто не принуждает.
Насчет подписи и вирусов 09.08.05 11:22  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Вирусы на самом деле фигня. Спайвары гораздо вреднее. Да и подписаться у verisign'а они смогут запросто за 300 баксов.
Это шутка? То есть если очистить базу антивируса, то вирус... 08.08.05 13:17  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 13:22  Количество правок: 1
<"чистая" ссылка>
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.

Это шутка? То есть если очистить базу антивируса, то вирус перестанет быть вирусом? Зачем новый вирус включать в базу, если он не вирус, поскольку в базе не числится?

> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут

Самое главное условие - это чтоб программа могла порождать программу. Вирус - это программа, которая размножается без желания пользователя и приносит ущерб (само безконтрольное размножение является уже ущербом).
Если в системе будет отключена возможность модифицировать файлы, которые можно выполнять, считывать их содержимое, изменять их атрибуты и прочее, то в такой системе вирусы жить не смогут.

> абсолютно не причем.

А касаемо "дырявости" - это лишний повод существовать определенному классу вирусов, таких как прикрепленных к электронному письму, если есть возможность написать письмо так, чтоб программа начала выполняться вне желания адресата. Или размножиться используя "дыру" в сетевой защите.
Универсальных антивирусов не существует. Доказано кем то там (но точно не занусси) 09.08.05 00:45  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Самое главное условие - это чтоб программа могла порождать
> программу. Вирус - это программа, которая размножается без
> желания пользователя и приносит ущерб (само безконтрольное
> размножение является уже ущербом).

Математически доказано, что невозможно вывести функцию V(Program), которая бы на выходе давала булевый ответ "Является ли Program вирусом". Впрочем, универсальных (необнаружимых) вирусов тоже не бывает

> Если в системе будет отключена возможность модифицировать
> файлы, которые можно выполнять, считывать их содержимое,
> изменять их атрибуты и прочее, то в такой системе вирусы
> жить не смогут.

Как уже было сказано, есть как минимум mind вирусы. Последний массовый mind-вирус, который мне запомнился - Yeti Sports (особенно первая часть). За день убытков - на десятки, а то и сотни миллионов и много сотен тысяч копий. Вирус ли?

> А касаемо "дырявости" - это лишний повод существовать
> определенному классу вирусов, таких как прикрепленных к
> электронному письму, если есть возможность написать письмо
> так, чтоб программа начала выполняться вне желания
> адресата. Или размножиться используя "дыру" в сетевой
> защите.

Дырявость - все тот же человеческий фактор. Если бы юзера пользовались хотя бы теми средствами защиты, которые УЖЕ ЕСТЬ в винде, вирусов было бы на несколько порядков меньше. Стоит ли еще более усложнять защиту, если даже текущая сложность не по зубам простому юзверю. И кроме того, дырявость никак не связано с собственно ОС. Последняя уязвимость, которая серьезно компрометировала мою систему - уязвимость в zlib-е (наверное не стоит перечислять все программы, которые в одночасье стали уязвимыми из-за этой библиотеки). А она - кроссплотформенная
А чтобы ВЫ встроили в СВОЙ антивирус, если бы решили его написать? 09.08.05 13:40  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
rsbac/grsecurity/lids и пр. 10.08.05 00:24  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
А антивирусы в топку
Ничего... В OS — защищённые средства исполнения... Бабаяна в проц ;-) Экзешники — ф топку, пусть приложения компилятся перед исполнением… Каждому — своё, объект исполнения получает только те интерфейсы, которые ему определили «свыше». 09.08.05 13:48  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
похоже Microsoft.NET очень старается вам угодить ;)))))))))))) 09.08.05 13:55  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Неа, не старается... Результаты JIT-компиляции не сохраняются для повторного использования... Компиляция не оптимизируется под мой проц/кэш и т.д, и т.п... 09.08.05 14:47  
Автор: HandleX <Александр Майборода> Статус: The Elderman
Отредактировано 09.08.05 14:48  Количество правок: 1
<"чистая" ссылка>
в будущем M$ может договориться с Intel-ом ;-))))))))) 09.08.05 16:23  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе... 09.08.05 10:06  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе останется только эвристический анализ). Беда только в том, что этот интелектуальный анализ программ на вирусность будет слабоэффективен. То есть он будет реагировать на малый процент вирусов, на многие не будет срабатывать, будет срабатывать ошибочно, медленно работает и ресурсоемок в отношении процессорного времени. В антивирусы его закладывают только для того (в том то по определению его прелесть), что он может определять огромное семейство вирусов, которых еще нет, а только могут быть написаны. Чем не универсальность?
Почему бы и не сработать основному критерию - вирус будет писаться в екзешки или переименовывать прочие файлы в екзешки! К стати CDM ловил 99% вирусов, исключение составляли разве что бутовские.

> Математически доказано, что невозможно вывести функцию
> V(Program), которая бы на выходе давала булевый ответ
> "Является ли Program вирусом". Впрочем, универсальных
> (необнаружимых) вирусов тоже не бывает

А не надо анализировать саму прогу, надо анализировать ее работу. Причем последнее слово оставим за человеком, поскольку, действительно, ОДНОЗНАЧНО и АБСОЛЮТНО ТОЧНО идентифицировать вирус програмно нельзя. Что может быть проще - играете ли вы в игрушку или читаете электронную почту. Вдруг выскакивает сообщение "Какая-то там программа желает что-то записать в файл winnt.dll! Позволим ей сделать это действие или нет?"

> Дырявость - все тот же человеческий фактор. Если бы юзера
> пользовались хотя бы теми средствами защиты, которые УЖЕ
> ЕСТЬ в винде, вирусов было бы на несколько порядков меньше.
> Стоит ли еще более усложнять защиту, если даже текущая
> сложность не по зубам простому юзверю. И кроме того,
> дырявость никак не связано с собственно ОС. Последняя
> уязвимость, которая серьезно компрометировала мою систему -
> уязвимость в zlib-е (наверное не стоит перечислять все
> программы, которые в одночасье стали уязвимыми из-за этой
> библиотеки). А она - кроссплотформенная

Я имел в виду дырявость в отнощении программистов, а не прользователей. Уязвимость в zlib-е - это дырявость софта. Кликнул на неопознанный аттачмент или установил пустой пароль для админа - не дырявость софта/ОС.
«Какая-то там программа желает что-то записать в файл winnt.dll» — «да конечно, пусть пишет», сказала секретарша, а то я не могу поиграть в эротический пасьянс, который мне прислал бойфренд... 09.08.05 10:42  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
А зачем у такой секретарше вообще антивирус стоит? 09.08.05 10:51  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Корпоративные правила.... У меня при очередной почтовой вирусной эпидемии из 70 рм только 3 заразились (и то женские!). А проблема - обновления стали доступны через всего 1.5 часа от начала бизнес дня. 09.08.05 11:09  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Offtopic. 09.08.05 11:06  
Автор: HandleX <Александр Майборода> Статус: The Elderman
<"чистая" ссылка>
[UPD] не надо все так буквально понимать 08.08.05 14:05  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 08.08.05 14:16  Количество правок: 1
<"чистая" ссылка>
> > Вирус это обычная программа, отличающаяся от других
> только
> > наличием в базе антивирусов.
>
> Это шутка? То есть если очистить базу антивируса, то вирус
> перестанет быть вирусом? Зачем новый вирус включать в базу,
> если он не вирус, поскольку в базе не числится?
Это значит что между вирусами и обычными программами нет четкой дифференциации. А потому разговоры что "под линухом/новым процессором вирусы не живут" - фигня.

> > Количество вирусов для какой-либо платформы зависит в
> > первую очередь от распространенности этой платформы
> среди
> > обычных юзеров и во вторую в наличии необходмимой
> > документации и средств разработки. Любая ос в которой
> могут
> > исполняться программы, которые могут сохранять файлы
> уже
> > потенциальный рассадник для вирусов. И "дырявость" тут
>
> Самое главное условие - это чтоб программа могла порождать
> программу. Вирус - это программа, которая размножается без
> желания пользователя и приносит ущерб (само безконтрольное
> размножение является уже ущербом).
А какже спайвары, черви которые используют уязвимость в мозгах юзеров (типа "я эстонский вирус, разошли это сообщение всем своим друзьям")?

> Если в системе будет отключена возможность модифицировать
> файлы, которые можно выполнять, считывать их содержимое,
> изменять их атрибуты и прочее, то в такой системе вирусы
> жить не смогут.
Инсталляторы тоже, и sfx архивы, и ехе-паковщики, и компиляторы, и из интернета ты ехешник не вытянешь и на дискетку не скопируешь.

> > абсолютно не причем.
>
> А касаемо "дырявости" - это лишний повод существовать
> определенному классу вирусов, таких как прикрепленных к
> электронному письму, если есть возможность написать письмо
> так, чтоб программа начала выполняться вне желания
> адресата. Или размножиться используя "дыру" в сетевой
> защите.

[UPD]
Хочеться защиты от вирусов - не вопрос - создаешь себе юзера из группы гости, запрещаешь ему запуск во все каталоги кроме профиля, запрещаешь Execute на все файлы логинишься под нима и радуешься. Только почемуто никто так не делает...
Обычная прога не трогает екзешки в процессе работы, а только... 08.08.05 16:40  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 16:44  Количество правок: 1
<"чистая" ссылка>
> Это значит что между вирусами и обычными программами нет
> четкой дифференциации. А потому разговоры что "под
> линухом/новым процессором вирусы не живут" - фигня.

Обычная прога не трогает екзешки в процессе работы, а только файлы данных, регультатов, баз данных. Вирус же обязательно затронет то, что может выполняться.

> А какже спайвары, черви которые используют уязвимость в
> мозгах юзеров (типа "я эстонский вирус, разошли это
> сообщение всем своим друзьям")?

О таких я пока не слышал. Если только в разделе "юмор".

> Инсталляторы тоже, и sfx архивы, и ехе-паковщики, и
> компиляторы, и из интернета ты ехешник не вытянешь и на
> дискетку не скопируешь.

Инсталятор не модифицирует екзешку. С sfx вообще никаких противоречий, даже если он из себя будет извлекать екзешки. exe-паковщиками уже давно никто не пользуется. Копирование екзешки - не есть заражение.

Когда еще о Виндовсе не слышали, все сидели под ДОСом, вирусов уже было предостаточно, народ начал пользоваться aidstest'ом, а у меня была програмка, написаная (если не ошибаюсь) в МГУ на МехМате, CDM называлась - антивирус без антивирусной базы и эвристики. В зависимости от параметров запуска работала в более "жестком" или "мягком" режиме. Что самое главное - она не мешала работать. Достаточно было запретить запись в екзешки и их переименовывание. Причем ни с копированием, ни с компилированием проблем не было, поскольку при записи в екзешку файл создавался заново. К сожалению в ДОСе копирование не является системной функцией, а производится посредством чтения и записи, возможно дозаписывание тела вируса в процессе копирования. В любом случае существующий файл не заразить, поскольку нужно его временно переименовать в файл с другим расширением, либо заразить при копировании в другой файл, этот удалить, а новый, уже с вирусом, переименовать в старый. Програмка "весила" всего несколько килобайтов. Иногда действительно кого-то ловила, иногда тревога была ложной. В случае тревоги на экране появлялось соответствующее сообщение и можно было продолжить выполнение этого действия или прекратить его выполнение.

> [UPD]
> Хочеться защиты от вирусов - не вопрос - создаешь себе
> юзера из группы гости, запрещаешь ему запуск во все
> каталоги кроме профиля, запрещаешь Execute на все файлы
> логинишься под нима и радуешься. Только почемуто никто так
> не делает...
-Вирусов не боятся.
См в конце. 08.08.05 17:11  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> Обычная прога не трогает екзешки в процессе работы, а
> только файлы данных, регультатов, баз данных. Вирус же
> обязательно затронет то, что может выполняться.
См в конце.
А вообще - welcome - ZoneAlarm 6 - OSFirewall :) (не сочтите за рекламу, но там такое реализовано)

> > А какже спайвары, черви которые используют уязвимость
> в
> > мозгах юзеров (типа "я эстонский вирус, разошли это
> > сообщение всем своим друзьям")?
>
> О таких я пока не слышал. Если только в разделе "юмор".
Так большинство работает. Приходит тебе ехе в аттаче и просит запустить его. И ведь запускают. он запускается и начинает по инету ползать. Причем тут спрашивается ос?

> > Инсталляторы тоже, и sfx архивы, и ехе-паковщики, и
> > компиляторы, и из интернета ты ехешник не вытянешь и
> на
> > дискетку не скопируешь.
>
> Инсталятор не модифицирует екзешку. С sfx вообще никаких
> противоречий, даже если он из себя будет извлекать екзешки.
> exe-паковщиками уже давно никто не пользуется. Копирование
> екзешки - не есть заражение.
Копирование ехешки хорошей программы ничем не отличаеся от копирования ехешки плохой программы.

> Когда еще о Виндовсе не слышали, все сидели под ДОСом,
> вирусов уже было предостаточно, народ начал пользоваться
> aidstest'ом, а у меня была програмка, написаная (если не
> ошибаюсь) в МГУ на МехМате, CDM называлась - антивирус без
> антивирусной базы и эвристики. В зависимости от параметров
> запуска работала в более "жестком" или "мягком" режиме. Что
> самое главное - она не мешала работать. Достаточно было
> запретить запись в екзешки и их переименовывание. Причем ни
> с копированием, ни с компилированием проблем не было,
> поскольку при записи в екзешку файл создавался заново. К
> сожалению в ДОСе копирование не является системной
> функцией, а производится посредством чтения и записи,
> возможно дозаписывание тела вируса в процессе копирования.
> В любом случае существующий файл не заразить, поскольку
> нужно его временно переименовать в файл с другим
> расширением, либо заразить при копировании в другой файл,
> этот удалить, а новый, уже с вирусом, переименовать в
> старый. Програмка "весила" всего несколько килобайтов.
> Иногда действительно кого-то ловила, иногда тревога была
> ложной. В случае тревоги на экране появлялось
> соответствующее сообщение и можно было продолжить
> выполнение этого действия или прекратить его выполнение.
Идея не нова. Но популярностью не пользуется.

> > [UPD]
> > Хочеться защиты от вирусов - не вопрос - создаешь себе
> > юзера из группы гости, запрещаешь ему запуск во все
> > каталоги кроме профиля, запрещаешь Execute на все
> файлы
> > логинишься под нима и радуешься. Только почемуто никто
> так
> > не делает...
> -Вирусов не боятся.
Вот про это я и говорю - основная дыра - юзер.
Это к вопросу о дырах. Была такая, пока не пропатчевали... 08.08.05 17:28  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Так большинство работает. Приходит тебе ехе в аттаче и
> просит запустить его. И ведь запускают. он запускается и
> начинает по инету ползать. Причем тут спрашивается ос?

Это к вопросу о дырах. Была такая, пока не пропатчевали. Пришло письмишко, кликнул на него, чтоб прочесть, открывается, запускается приаттаченый екзешник, хотя на него и не кликал :( и пошел процесс размножения. Это разве не дыра/ошибка в ПО.

> Вот про это я и говорю - основная дыра - юзер.

Ни какая не дыра. Если у юзера ценная инфа в компе, то и антивирусы стоят, и дискеты сканируются, и к интернету он не подключен, и ни на что он на нем не кликает.
Если у юзера в компе ничего кроме надоевших игрушек и он не считает деньги за трафик, то пусть кликает. Ну как можно запретить человеку совать свой нос куда не следует. Пусть такие и получают проблемы.
(офф) "создаешь себе юзера из группы гости....Только почемуто никто так не делает... " хотя МС рекомендует, особенно на стерверах. А "нужный" софт запускать через RunAs. 08.08.05 14:48  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
А Вы уверены, что установленная вами программа не живет своей жизнью? Сама не автообновляется и тд? Не станешь ведь делать реинженеринг всего устанавливаемого софта на проверку его адекватности:-)) 08.08.05 13:31  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Хотите жить без вирусов - придется обновлять программы вручную. Программы, которые живут своей жизнью, просто не будут обновляться. Хотя и это возможно использую другую программу-обновлялку. 08.08.05 13:37  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 13:38  Количество правок: 1
<"чистая" ссылка>
Вручную - это как? 08.08.05 14:06  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
битики на винчестере выцарапывать иголкой? Нет конечно, это будет делать программа обновлятор. Вот она и будет вирусом Ж)
Как-как. Я еще помню те дальние, давние годы (лет 5 - 6 и более :-), когда небыло ни инсталяторов, ни деинсталяторов, ни автоматических обновляторов из интернета. Просто копировали програмки "поверх" старых и все. 08.08.05 15:52  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Ну только не 5-6. 5-6 лет назад - это Win2k и WinMe. А инсталляторы появились ещё в ДОСе. Так что всё же думаю что было это лет 12-14 назад :) 08.08.05 17:58  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
[off] обновлятор - это 5. спасибо, меня улыбнуло с утра 08.08.05 15:33  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Как по мне вирус - это то что мешает нормальной функциональности оборудования, нагружает сеть, заглючит ОС, уничтожит/утащит данные, переадресация на левые сайты. 08.08.05 13:44  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Старые (legacy) драйвера или драйвера в режими совместимости... 09.08.05 01:03  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Старые (legacy) драйвера или драйвера в режими совместимости (например "Стандартный SVGA" серьезно урезает функциональность новых видеокарт) - вирусы?

FlashGet/Teleport/eMule серьезно нагружают сеть - это вирусы?

Касперски Антивирус, глючащий винду - вирус?

RegCleaner/TrashReg/WinDoctor, уничтожающие данные - вирусы?
Все бровсеры, отсылающие данные - вирусы?

Proxy-серверы, переадресующие на другие сайты - вирусы?

Что-то мне подсказывает, что если вводить определения вируса, то нужна гораздо более глубокая формализация (кстати, полностью формализовать понятие вируса НЕВОЗМОЖНО).
кто бы сомневался :)))))))))))))))))))))))))) 05.08.05 12:06  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach