BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/rsn/archive/2005/08/05.html

Вирусы для Windows Vista уже готовы. Но использовать их не получится.
dl // 05.08.05 03:12
Австрийский хакер, называющий себя "Second Part To Hell", опубликовал вирус, использующий новую командную оболочку Monad, которая включена в недавно вышедшую бета-версию Windows Vista.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/08/05.html]
По словам представителя F-Secure Микко Хюппонена (Mikko Hypponen), все это было вполне ожидаемо и единственное, что удивляет, так это скорость появления нового семейства вирусов - всего восемь дней с выхода беты. Хотя лично я и в этом не вижу ничего удивительного :)

Впрочем, чуть позже появилась информация о том, что Monad не войдет в стандартную поставку окончательной версии Vista. Пока планируется включить его в предположительно выходящий в 2007 года Longhorn Server, хотя, возможно, он будет выпущен в качестве дополнения к Server 2003, XP и Vista.

Источник: InfoWorld, cnet    
теги: vista, windows, server, xp  |  предложить новость  |  обсудить  |  все отзывы (36) [9716]
назад «  » вперед

аналогичные материалы
Конец поддержки Internet Explorer // 15.06.22 00:00
Просроченный сертификат ломает Windows 11 // 04.11.21 20:39
Microsoft начинает тестирование Linux GUI-приложений под Windows // 21.04.21 21:21
Утекший код XP и Windows Server удалось собрать // 01.10.20 01:40
Microsoft закрыла серьёзную уязвимость, открытую АНБ // 15.01.20 00:52
Прощаемся с Windows 7 // 14.01.20 22:22
Типовые уязвимости в драйверах уровня ядра ряда производителей // 11.08.19 03:16
 
последние новости
Три миллиона электронных замков готовы открыть свои двери // 22.03.24 20:22
Doom на газонокосилках // 28.02.24 17:19
Умер Никлаус Вирт // 04.01.24 14:05
С наступающим // 31.12.23 23:59
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Google Drive находит файлы // 07.12.23 01:46
Google Drive теряет файлы // 27.11.23 20:02

Комментарии:

ну сколько можно одно и то же 10.08.05 20:17  
Автор: z0 <z0> Статус: Member
<"чистая" ссылка>
на всякой сложной подключенной к сети системе могут появиться т.н.вирусы

количество их зависит от многих параметров но самое главное - обратно пропорционально уникальности программной системы

воспринимайте это как generic system ability
Все вполне прогнозируемо. Сложно верить в то, что Vista... 08.08.05 10:06  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
Все вполне прогнозируемо. Сложно верить в то, что Vista писалась с нуля. Что с нуля разрабатывалась архитектура, идеология и т.д и т.п А следовательно если писалось из "родительского" кода, то и болячки родительские на себе потащит. Разработка новой командной оболочки - это не панацея и видимо избавить Windows от всевозможной дырявости малореально.
Не в дырявости дело 08.08.05 12:12  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Вирус это обычная программа, отличающаяся от других только наличием в базе антивирусов.
Количество вирусов для какой-либо платформы зависит в первую очередь от распространенности этой платформы среди обычных юзеров и во вторую в наличии необходмимой документации и средств разработки. Любая ос в которой могут исполняться программы, которые могут сохранять файлы уже потенциальный рассадник для вирусов. И "дырявость" тут абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых... 09.08.05 10:10  
Автор: TARASA <Taras L. Stadnik> Статус: Member
<"чистая" ссылка>
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.
> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут
> абсолютно не причем.
Вирус - это одно. А "зловредное" ПО для проведения сетевых атак - другое. Ести ли гарантия того, что код или его фрагменты, уязвимости, использованные для написания вирусов для Vista не будут использованы для написания эксплоитов и проведения сетевых атак? С моей точки зрения - нет. И вот тут-то "дырявость", не исправленные ошибки в логике и наследуемом коде проявятся во всей красе.
«Зловредность» существует на стороне автора программы, а не на стороне антивируса. Сколько можно говорить — понятие «вирус» суть просто заговор, … 09.08.05 11:11  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 09.08.05 11:18  Количество правок: 4
<"чистая" ссылка>
Subj, т.е. общество решило что вот эта прога вирус, и всё. Программа-антивирус не может решать за человека, тем более быть умнее целой когорты безопасников и высококлассных спецов, что однозначно определили её "вирусность". Поэтому базы, базы, и ещё раз базы с сигнатурами.

Это пока... Надеемся, что прогресс операционок дорастёт всё-таки до чего-то пуленепробиваемого... К примеру, исполнять только подписанный код... с проверкой и защитой железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян? :-)
Если общество решило, то опираясь на какие-то критерии... 09.08.05 11:57  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 11:58  Количество правок: 2
<"чистая" ссылка>
> Subj, т.е. общество решило что вот эта прога вирус, и всё.

Если общество решило, то опираясь на какие-то критерии. Самые элементарные это бесконтрольное быстрое размножение и причинение вреда. Вредность программно определить тяжело, а бесконтрольное размножение можно.

> Программа-антивирус не может решать за человека, тем более
> быть умнее целой когорты безопасников и высококлассных
> спецов, что однозначно определили её "вирусность". Поэтому
> базы, базы, и ещё раз базы с сигнатурами.

И люди тоже ошибаются, даже когорта безопасников. Пусть программа не решает, но вычислить размножающийся код она может.
Я не знаю ни одного вируса, который абсолютно не умеет размножаться, а вы?

> Это пока... Надеемся, что прогресс операционок дорастёт
> всё-таки до чего-то пуленепробиваемого... К примеру,
> исполнять только подписанный код... с проверкой и защитой
> железом... Добро пожаловать, Большой Брат! ;-) Или Бабаян?
> :-)

А если программист отлаживает программу? Пуленепробиваемая подпись должна легко вырабатываться? Что мешает вирусу выработать подпись при заражении?

Застал я одну красивую операционку: RSX-11M. В ней обычный пользователь мог выполнять программы только специально установленные в системе администратором. Может кто знает - сколько было вирусов на DEC'овских системах?
Дану. Вот есть вирус который пишет чегото там в файлы. То... 09.08.05 12:37  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> > Subj, т.е. общество решило что вот эта прога вирус, и
> всё.
>
> Если общество решило, то опираясь на какие-то критерии.
> Самые элементарные это бесконтрольное быстрое размножение и
> причинение вреда. Вредность программно определить тяжело, а
> бесконтрольное размножение можно.
Дану. Вот есть вирус который пишет чегото там в файлы. То что она пишет сама себя ты не определишь - она пишет совершенно разные байты ибо полиморф. В исполняемые файлы писать совсем необязательно. Он может писать в темпари которые затем переименовывать шеллскриптами. А трекить все эти изменения - ты представляешь как все будет тормозить. Не ОСовское это дело.
Другой пример - система развертывания приложения на предприятии - с сервера админ ставит софтину на сотни компов. Вирус?
А вебсервер с которого пользователи скачивают ехешники? Как ты его отличишь от червя который себя другим раздает? Да никак с точки зрения "машинной логики"

> > Программа-антивирус не может решать за человека, тем
> более
> > быть умнее целой когорты безопасников и высококлассных
> > спецов, что однозначно определили её "вирусность".
> Поэтому
> > базы, базы, и ещё раз базы с сигнатурами.
>
> И люди тоже ошибаются, даже когорта безопасников. Пусть
> программа не решает, но вычислить размножающийся код она
> может.
> Я не знаю ни одного вируса, который абсолютно не умеет
> размножаться, а вы?



> А если программист отлаживает программу? Пуленепробиваемая
> подпись должна легко вырабатываться? Что мешает вирусу
> выработать подпись при заражении?
Ммм.. а ты знаешь что такое цифровая подпись?

> Застал я одну красивую операционку: RSX-11M. В ней обычный
> пользователь мог выполнять программы только специально
> установленные в системе администратором. Может кто знает -
> сколько было вирусов на DEC'овских системах?
А сколько пользователей тех систем? А сколько пользователей теперешних виндов?

Повторяю свою другую мессагу - вирусы давно перестали быть главным злом. Это скорее так - апчхи. А targeted вирусные атаки никакая мега-ос не остановит.

Короче все это пустой треп.
Я не могу даже представить себе ситуацию, когда в процессе... 09.08.05 18:15  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.08.05 18:17  Количество правок: 2
<"чистая" ссылка>
> Дану. Вот есть вирус который пишет чегото там в файлы. То
> что она пишет сама себя ты не определишь - она пишет
> совершенно разные байты ибо полиморф. В исполняемые файлы

Я не могу даже представить себе ситуацию, когда в процессе работы пользователя за компьютером какой-нибудь программе потребуется внести изменения в существующую екзешку.

> писать совсем необязательно. Он может писать в темпари
> которые затем переименовывать шеллскриптами. А трекить все

Переименовывание - под контроль! Удаление, создание новых и прочие действия - по желанию тоже можно контролировать.

> эти изменения - ты представляешь как все будет тормозить.
> Не ОСовское это дело.

Пусть не сама ОС, а добавочная компонента. Какое торможение - десяток микроинструкций: проверить при открытии файла на запись на то, что это екзешка.
Если выполняемый файл открывается на запись через его создание (функция creat() ), то можно и ни какого сообщения не выдавать.

> Другой пример - система развертывания приложения на
> предприятии - с сервера админ ставит софтину на сотни
> компов. Вирус?

Это происходит по желанию админа. Вирус распространяется без желания людей. Как правило еще и незаметно для всех.

> А вебсервер с которого пользователи скачивают ехешники? Как

Пользователи скачивают екзешки только потому, что они хотят это сделать. Они сами нажимают кнопку [Скачать].
Когда же принимаешь почту с сервера, а аутлук незаметно рассылает письма всем, кто прописан в адресной книге, с сообщением: "I love you", это уже вирус.

> ты его отличишь от червя который себя другим раздает? Да
> никак с точки зрения "машинной логики"

С точки машинной логики возможность есть. Вирус будет либо модифицировать существующую екзешку, открывая файл на запись. Либо писаться в новую вместе с программой, но потом он будет обязан переименовать/удалить существующую программу и переименовать/переместить новый зараженный файл в старый.

> > А если программист отлаживает программу?
> Пуленепробиваемая
> > подпись должна легко вырабатываться? Что мешает вирусу
> > выработать подпись при заражении?
> Ммм.. а ты знаешь что такое цифровая подпись?

Ну где-то компилятор программиста (или скачивалка из интернета) будет брать секретный ключ. Вот и вирус его найдет. Алгоритм будем считать известен. Это похоже на существующую систему сертификатов для защищеных соединений или подпись драйверов. Геморой увеличивается, а эффективность полностью отсутствует.

> Повторяю свою другую мессагу - вирусы давно перестали быть
> главным злом. Это скорее так - апчхи. А targeted вирусные
> атаки никакая мега-ос не остановит.

Согласен, но злом, хоть и не главным, они остаются.

> Короче все это пустой треп.

Ну не пустой. Я много чего интересного почерпнул из этого обсуждения. Если кому-то не интересно - участвовать в обсуждении никто не принуждает.
Насчет подписи и вирусов 09.08.05 11:22  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
Вирусы на самом деле фигня. Спайвары гораздо вреднее. Да и подписаться у verisign'а они смогут запросто за 300 баксов.
Это шутка? То есть если очистить базу антивируса, то вирус... 08.08.05 13:17  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 13:22  Количество правок: 1
<"чистая" ссылка>
> Вирус это обычная программа, отличающаяся от других только
> наличием в базе антивирусов.

Это шутка? То есть если очистить базу антивируса, то вирус перестанет быть вирусом? Зачем новый вирус включать в базу, если он не вирус, поскольку в базе не числится?

> Количество вирусов для какой-либо платформы зависит в
> первую очередь от распространенности этой платформы среди
> обычных юзеров и во вторую в наличии необходмимой
> документации и средств разработки. Любая ос в которой могут
> исполняться программы, которые могут сохранять файлы уже
> потенциальный рассадник для вирусов. И "дырявость" тут

Самое главное условие - это чтоб программа могла порождать программу. Вирус - это программа, которая размножается без желания пользователя и приносит ущерб (само безконтрольное размножение является уже ущербом).
Если в системе будет отключена возможность модифицировать файлы, которые можно выполнять, считывать их содержимое, изменять их атрибуты и прочее, то в такой системе вирусы жить не смогут.

> абсолютно не причем.

А касаемо "дырявости" - это лишний повод существовать определенному классу вирусов, таких как прикрепленных к электронному письму, если есть возможность написать письмо так, чтоб программа начала выполняться вне желания адресата. Или размножиться используя "дыру" в сетевой защите.
Универсальных антивирусов не существует. Доказано кем то там (но точно не занусси) 09.08.05 00:45  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Самое главное условие - это чтоб программа могла порождать
> программу. Вирус - это программа, которая размножается без
> желания пользователя и приносит ущерб (само безконтрольное
> размножение является уже ущербом).

Математически доказано, что невозможно вывести функцию V(Program), которая бы на выходе давала булевый ответ "Является ли Program вирусом". Впрочем, универсальных (необнаружимых) вирусов тоже не бывает

> Если в системе будет отключена возможность модифицировать
> файлы, которые можно выполнять, считывать их содержимое,
> изменять их атрибуты и прочее, то в такой системе вирусы
> жить не смогут.

Как уже было сказано, есть как минимум mind вирусы. Последний массовый mind-вирус, который мне запомнился - Yeti Sports (особенно первая часть). За день убытков - на десятки, а то и сотни миллионов и много сотен тысяч копий. Вирус ли?

> А касаемо "дырявости" - это лишний повод существовать
> определенному классу вирусов, таких как прикрепленных к
> электронному письму, если есть возможность написать письмо
> так, чтоб программа начала выполняться вне желания
> адресата. Или размножиться используя "дыру" в сетевой
> защите.

Дырявость - все тот же человеческий фактор. Если бы юзера пользовались хотя бы теми средствами защиты, которые УЖЕ ЕСТЬ в винде, вирусов было бы на несколько порядков меньше. Стоит ли еще более усложнять защиту, если даже текущая сложность не по зубам простому юзверю. И кроме того, дырявость никак не связано с собственно ОС. Последняя уязвимость, которая серьезно компрометировала мою систему - уязвимость в zlib-е (наверное не стоит перечислять все программы, которые в одночасье стали уязвимыми из-за этой библиотеки). А она - кроссплотформенная
А чтобы ВЫ встроили в СВОЙ антивирус, если бы решили его написать? 09.08.05 13:40  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
rsbac/grsecurity/lids и пр. 10.08.05 00:24  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
А антивирусы в топку
Ничего... В OS — защищённые средства исполнения... Бабаяна в проц ;-) Экзешники — ф топку, пусть приложения компилятся перед исполнением… Каждому — своё, объект исполнения получает только те интерфейсы, которые ему определили «свыше». 09.08.05 13:48  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
похоже Microsoft.NET очень старается вам угодить ;)))))))))))) 09.08.05 13:55  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Неа, не старается... Результаты JIT-компиляции не сохраняются для повторного использования... Компиляция не оптимизируется под мой проц/кэш и т.д, и т.п... 09.08.05 14:47  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 09.08.05 14:48  Количество правок: 1
<"чистая" ссылка>
в будущем M$ может договориться с Intel-ом ;-))))))))) 09.08.05 16:23  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе... 09.08.05 10:06  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Не надо так катигорично. Существует (если в антивирусе останется только эвристический анализ). Беда только в том, что этот интелектуальный анализ программ на вирусность будет слабоэффективен. То есть он будет реагировать на малый процент вирусов, на многие не будет срабатывать, будет срабатывать ошибочно, медленно работает и ресурсоемок в отношении процессорного времени. В антивирусы его закладывают только для того (в том то по определению его прелесть), что он может определять огромное семейство вирусов, которых еще нет, а только могут быть написаны. Чем не универсальность?
Почему бы и не сработать основному критерию - вирус будет писаться в екзешки или переименовывать прочие файлы в екзешки! К стати CDM ловил 99% вирусов, исключение составляли разве что бутовские.

> Математически доказано, что невозможно вывести функцию
> V(Program), которая бы на выходе давала булевый ответ
> "Является ли Program вирусом". Впрочем, универсальных
> (необнаружимых) вирусов тоже не бывает

А не надо анализировать саму прогу, надо анализировать ее работу. Причем последнее слово оставим за человеком, поскольку, действительно, ОДНОЗНАЧНО и АБСОЛЮТНО ТОЧНО идентифицировать вирус програмно нельзя. Что может быть проще - играете ли вы в игрушку или читаете электронную почту. Вдруг выскакивает сообщение "Какая-то там программа желает что-то записать в файл winnt.dll! Позволим ей сделать это действие или нет?"

> Дырявость - все тот же человеческий фактор. Если бы юзера
> пользовались хотя бы теми средствами защиты, которые УЖЕ
> ЕСТЬ в винде, вирусов было бы на несколько порядков меньше.
> Стоит ли еще более усложнять защиту, если даже текущая
> сложность не по зубам простому юзверю. И кроме того,
> дырявость никак не связано с собственно ОС. Последняя
> уязвимость, которая серьезно компрометировала мою систему -
> уязвимость в zlib-е (наверное не стоит перечислять все
> программы, которые в одночасье стали уязвимыми из-за этой
> библиотеки). А она - кроссплотформенная

Я имел в виду дырявость в отнощении программистов, а не прользователей. Уязвимость в zlib-е - это дырявость софта. Кликнул на неопознанный аттачмент или установил пустой пароль для админа - не дырявость софта/ОС.
«Какая-то там программа желает что-то записать в файл winnt.dll» — «да конечно, пусть пишет», сказала секретарша, а то я не могу поиграть в эротический пасьянс, который мне прислал бойфренд... 09.08.05 10:42  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
А зачем у такой секретарше вообще антивирус стоит? 09.08.05 10:51  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Корпоративные правила.... У меня при очередной почтовой вирусной эпидемии из 70 рм только 3 заразились (и то женские!). А проблема - обновления стали доступны через всего 1.5 часа от начала бизнес дня. 09.08.05 11:09  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Offtopic. 09.08.05 11:06  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
[UPD] не надо все так буквально понимать 08.08.05 14:05  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 08.08.05 14:16  Количество правок: 1
<"чистая" ссылка>
> > Вирус это обычная программа, отличающаяся от других
> только
> > наличием в базе антивирусов.
>
> Это шутка? То есть если очистить базу антивируса, то вирус
> перестанет быть вирусом? Зачем новый вирус включать в базу,
> если он не вирус, поскольку в базе не числится?
Это значит что между вирусами и обычными программами нет четкой дифференциации. А потому разговоры что "под линухом/новым процессором вирусы не живут" - фигня.

> > Количество вирусов для какой-либо платформы зависит в
> > первую очередь от распространенности этой платформы
> среди
> > обычных юзеров и во вторую в наличии необходмимой
> > документации и средств разработки. Любая ос в которой
> могут
> > исполняться программы, которые могут сохранять файлы
> уже
> > потенциальный рассадник для вирусов. И "дырявость" тут
>
> Самое главное условие - это чтоб программа могла порождать
> программу. Вирус - это программа, которая размножается без
> желания пользователя и приносит ущерб (само безконтрольное
> размножение является уже ущербом).
А какже спайвары, черви которые используют уязвимость в мозгах юзеров (типа "я эстонский вирус, разошли это сообщение всем своим друзьям")?

> Если в системе будет отключена возможность модифицировать
> файлы, которые можно выполнять, считывать их содержимое,
> изменять их атрибуты и прочее, то в такой системе вирусы
> жить не смогут.
Инсталляторы тоже, и sfx архивы, и ехе-паковщики, и компиляторы, и из интернета ты ехешник не вытянешь и на дискетку не скопируешь.

> > абсолютно не причем.
>
> А касаемо "дырявости" - это лишний повод существовать
> определенному классу вирусов, таких как прикрепленных к
> электронному письму, если есть возможность написать письмо
> так, чтоб программа начала выполняться вне желания
> адресата. Или размножиться используя "дыру" в сетевой
> защите.

[UPD]
Хочеться защиты от вирусов - не вопрос - создаешь себе юзера из группы гости, запрещаешь ему запуск во все каталоги кроме профиля, запрещаешь Execute на все файлы логинишься под нима и радуешься. Только почемуто никто так не делает...
Обычная прога не трогает екзешки в процессе работы, а только... 08.08.05 16:40  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 16:44  Количество правок: 1
<"чистая" ссылка>
> Это значит что между вирусами и обычными программами нет
> четкой дифференциации. А потому разговоры что "под
> линухом/новым процессором вирусы не живут" - фигня.

Обычная прога не трогает екзешки в процессе работы, а только файлы данных, регультатов, баз данных. Вирус же обязательно затронет то, что может выполняться.

> А какже спайвары, черви которые используют уязвимость в
> мозгах юзеров (типа "я эстонский вирус, разошли это
> сообщение всем своим друзьям")?

О таких я пока не слышал. Если только в разделе "юмор".

> Инсталляторы тоже, и sfx архивы, и ехе-паковщики, и
> компиляторы, и из интернета ты ехешник не вытянешь и на
> дискетку не скопируешь.

Инсталятор не модифицирует екзешку. С sfx вообще никаких противоречий, даже если он из себя будет извлекать екзешки. exe-паковщиками уже давно никто не пользуется. Копирование екзешки - не есть заражение.

Когда еще о Виндовсе не слышали, все сидели под ДОСом, вирусов уже было предостаточно, народ начал пользоваться aidstest'ом, а у меня была програмка, написаная (если не ошибаюсь) в МГУ на МехМате, CDM называлась - антивирус без антивирусной базы и эвристики. В зависимости от параметров запуска работала в более "жестком" или "мягком" режиме. Что самое главное - она не мешала работать. Достаточно было запретить запись в екзешки и их переименовывание. Причем ни с копированием, ни с компилированием проблем не было, поскольку при записи в екзешку файл создавался заново. К сожалению в ДОСе копирование не является системной функцией, а производится посредством чтения и записи, возможно дозаписывание тела вируса в процессе копирования. В любом случае существующий файл не заразить, поскольку нужно его временно переименовать в файл с другим расширением, либо заразить при копировании в другой файл, этот удалить, а новый, уже с вирусом, переименовать в старый. Програмка "весила" всего несколько килобайтов. Иногда действительно кого-то ловила, иногда тревога была ложной. В случае тревоги на экране появлялось соответствующее сообщение и можно было продолжить выполнение этого действия или прекратить его выполнение.

> [UPD]
> Хочеться защиты от вирусов - не вопрос - создаешь себе
> юзера из группы гости, запрещаешь ему запуск во все
> каталоги кроме профиля, запрещаешь Execute на все файлы
> логинишься под нима и радуешься. Только почемуто никто так
> не делает...
-Вирусов не боятся.
См в конце. 08.08.05 17:11  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> Обычная прога не трогает екзешки в процессе работы, а
> только файлы данных, регультатов, баз данных. Вирус же
> обязательно затронет то, что может выполняться.
См в конце.
А вообще - welcome - ZoneAlarm 6 - OSFirewall :) (не сочтите за рекламу, но там такое реализовано)

> > А какже спайвары, черви которые используют уязвимость
> в
> > мозгах юзеров (типа "я эстонский вирус, разошли это
> > сообщение всем своим друзьям")?
>
> О таких я пока не слышал. Если только в разделе "юмор".
Так большинство работает. Приходит тебе ехе в аттаче и просит запустить его. И ведь запускают. он запускается и начинает по инету ползать. Причем тут спрашивается ос?

> > Инсталляторы тоже, и sfx архивы, и ехе-паковщики, и
> > компиляторы, и из интернета ты ехешник не вытянешь и
> на
> > дискетку не скопируешь.
>
> Инсталятор не модифицирует екзешку. С sfx вообще никаких
> противоречий, даже если он из себя будет извлекать екзешки.
> exe-паковщиками уже давно никто не пользуется. Копирование
> екзешки - не есть заражение.
Копирование ехешки хорошей программы ничем не отличаеся от копирования ехешки плохой программы.

> Когда еще о Виндовсе не слышали, все сидели под ДОСом,
> вирусов уже было предостаточно, народ начал пользоваться
> aidstest'ом, а у меня была програмка, написаная (если не
> ошибаюсь) в МГУ на МехМате, CDM называлась - антивирус без
> антивирусной базы и эвристики. В зависимости от параметров
> запуска работала в более "жестком" или "мягком" режиме. Что
> самое главное - она не мешала работать. Достаточно было
> запретить запись в екзешки и их переименовывание. Причем ни
> с копированием, ни с компилированием проблем не было,
> поскольку при записи в екзешку файл создавался заново. К
> сожалению в ДОСе копирование не является системной
> функцией, а производится посредством чтения и записи,
> возможно дозаписывание тела вируса в процессе копирования.
> В любом случае существующий файл не заразить, поскольку
> нужно его временно переименовать в файл с другим
> расширением, либо заразить при копировании в другой файл,
> этот удалить, а новый, уже с вирусом, переименовать в
> старый. Програмка "весила" всего несколько килобайтов.
> Иногда действительно кого-то ловила, иногда тревога была
> ложной. В случае тревоги на экране появлялось
> соответствующее сообщение и можно было продолжить
> выполнение этого действия или прекратить его выполнение.
Идея не нова. Но популярностью не пользуется.

> > [UPD]
> > Хочеться защиты от вирусов - не вопрос - создаешь себе
> > юзера из группы гости, запрещаешь ему запуск во все
> > каталоги кроме профиля, запрещаешь Execute на все
> файлы
> > логинишься под нима и радуешься. Только почемуто никто
> так
> > не делает...
> -Вирусов не боятся.
Вот про это я и говорю - основная дыра - юзер.
Это к вопросу о дырах. Была такая, пока не пропатчевали... 08.08.05 17:28  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Так большинство работает. Приходит тебе ехе в аттаче и
> просит запустить его. И ведь запускают. он запускается и
> начинает по инету ползать. Причем тут спрашивается ос?

Это к вопросу о дырах. Была такая, пока не пропатчевали. Пришло письмишко, кликнул на него, чтоб прочесть, открывается, запускается приаттаченый екзешник, хотя на него и не кликал :( и пошел процесс размножения. Это разве не дыра/ошибка в ПО.

> Вот про это я и говорю - основная дыра - юзер.

Ни какая не дыра. Если у юзера ценная инфа в компе, то и антивирусы стоят, и дискеты сканируются, и к интернету он не подключен, и ни на что он на нем не кликает.
Если у юзера в компе ничего кроме надоевших игрушек и он не считает деньги за трафик, то пусть кликает. Ну как можно запретить человеку совать свой нос куда не следует. Пусть такие и получают проблемы.
(офф) "создаешь себе юзера из группы гости....Только почемуто никто так не делает... " хотя МС рекомендует, особенно на стерверах. А "нужный" софт запускать через RunAs. 08.08.05 14:48  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
А Вы уверены, что установленная вами программа не живет своей жизнью? Сама не автообновляется и тд? Не станешь ведь делать реинженеринг всего устанавливаемого софта на проверку его адекватности:-)) 08.08.05 13:31  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Хотите жить без вирусов - придется обновлять программы вручную. Программы, которые живут своей жизнью, просто не будут обновляться. Хотя и это возможно использую другую программу-обновлялку. 08.08.05 13:37  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 08.08.05 13:38  Количество правок: 1
<"чистая" ссылка>
Вручную - это как? 08.08.05 14:06  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
битики на винчестере выцарапывать иголкой? Нет конечно, это будет делать программа обновлятор. Вот она и будет вирусом Ж)
Как-как. Я еще помню те дальние, давние годы (лет 5 - 6 и более :-), когда небыло ни инсталяторов, ни деинсталяторов, ни автоматических обновляторов из интернета. Просто копировали програмки "поверх" старых и все. 08.08.05 15:52  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Ну только не 5-6. 5-6 лет назад - это Win2k и WinMe. А инсталляторы появились ещё в ДОСе. Так что всё же думаю что было это лет 12-14 назад :) 08.08.05 17:58  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
[off] обновлятор - это 5. спасибо, меня улыбнуло с утра 08.08.05 15:33  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
Как по мне вирус - это то что мешает нормальной функциональности оборудования, нагружает сеть, заглючит ОС, уничтожит/утащит данные, переадресация на левые сайты. 08.08.05 13:44  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Старые (legacy) драйвера или драйвера в режими совместимости... 09.08.05 01:03  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Старые (legacy) драйвера или драйвера в режими совместимости (например "Стандартный SVGA" серьезно урезает функциональность новых видеокарт) - вирусы?

FlashGet/Teleport/eMule серьезно нагружают сеть - это вирусы?

Касперски Антивирус, глючащий винду - вирус?

RegCleaner/TrashReg/WinDoctor, уничтожающие данные - вирусы?
Все бровсеры, отсылающие данные - вирусы?

Proxy-серверы, переадресующие на другие сайты - вирусы?

Что-то мне подсказывает, что если вводить определения вируса, то нужна гораздо более глубокая формализация (кстати, полностью формализовать понятие вируса НЕВОЗМОЖНО).
кто бы сомневался :)))))))))))))))))))))))))) 05.08.05 12:06  
Автор: noonv <Vladimir> Статус: Member
<"чистая" ссылка>
<добавить комментарий>





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach