У нас много-много вирусов!

Sergey2408 · 16-06-11 01:37:15

Linups_Troolvalds пишет:

Помнится, все началось с того, что вирусы под виндой резко вымерли. Теперь оказывается, что «у меня не прокатит».
Конфицкер поимел массу машин из-за сетевой уязвимости, которая была закрыта, есличо.

Если чо, то я в топике указал, что около 10 вирусов для Win32 полгода. У меня Win64 если чо, и если уязвимость сработает, то не факт, что сработает сам вирус.
И опять же, выход заплатки и устранение уязвимости - разные вещи, потому как некоторые сидят на пиратках и отключают обновление.
И опять же,

Заражение происходит, когда пользователь открывает USB-накопитель с помощью функции автозапуска, либо при открытии диска непосредственно в Проводнике Windows или аналогичном менеджере файлов. Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Проводник.

Вполне привычная разновидность Autorun.inf

Добавлено спустя 07 мин 52 с:
Стоп!

Специально сформированный ярлык заставляет Windows Shell подгрузить внешнюю динамическую библиотеку, которая выполняет произвольный код с привилегиями пользователя, запустившего Проводник.

У меня ограниченная учётка, при попытке записи в Program Files или Windows вылезет UAC. Вирус не сработает.

Добавлено спустя 12 мин 19 с:
Кстати, почитал описание вируса - ну да, знакомо. Года полтора назад гонял его у знакомых.

Linups_Troolvalds · 16-06-11 01:54:20

Sergey2408 пишет:

У меня Win64 если чо, и если уязвимость сработает, то не факт, что сработает сам вирус.

А что, разве windows для x86_64 уже не запускает 32-битный код?

Sergey2408 пишет:

Вполне привычная разновидность Autorun.inf

Самый популярный вариант вирусов именно такой.

Sergey2408 пишет:

У меня ограниченная учётка, при попытке записи в Program Files или Windows вылезет UAC. Вирус не сработает.

Поздравляю. Что и требовалось доказать. Если применить в винде правила безопасности, известные в UNIX-системах со времен червя Морриса, то никаких вирусов нет, не было и не будет. Вот только один нюанс, остаются руткиты, они на ваш UAC плевать хотели. Как, впрочем, и на sudo.

Sergey2408 · 16-06-11 01:56:23

На www.microsoft.com/security/portal/Threa … fsality.au сказано, что ограниченная учётка вполне спасает от него.

Linups_Troolvalds · 16-06-11 02:10:09

Sergey2408 пишет:

сказано, что ограниченная учётка вполне спасает от него.

Ограниченная учётка очень много от чего спасает. Однако, чтобы это дошло до людей, которые достаточно далеки от ИТ, требуются время и силы, причем легче всего это пропагандировать поставщику софта, потому что он, по распространенному мнению людей, лучше всех знает, как с его программой работать. Поэтому вирусов под винду 7 пока относительно мало скорее по причине фактически не очень большого числа «диких» инсталляций. Стройными рядами на новую винду бодрее всего перепрыгивают сети крупных компаний, это там где админы/GP/обновляемые антивирусы. А хомяки пока что массово сидят на XP. Потому что под 7-ю винду таки надо апгрейдить железо. Не всем, но многим. Кругом не все такие богатенькие буратины, чтобы ради ваших восторгов отказываться от более нужных вещей.
Если взять первую нагуглившуюся статистику, то 52.41%(от всех ОС) сидит на XP и 25.89% на 7. И если вы думаете, что на 7-й винде большинство сидит под ограниченной учеткой...

Sergey2408 · 16-06-11 02:10:36

Linups_Troolvalds пишет:

А что, разве windows для x86_64 уже не запускает 32-битный код?

Сам код запускает, но только вряд ли вирус пишется именно для Win7, а программа для старой версии ОС может не сработать в новой, если использует недокументированные возможности, да ещё и WoW надо учитывать. Правильная же программа сработает.

Linups_Troolvalds пишет:

Поздравляю. Что и требовалось доказать. Если применить в винде правила безопасности, известные в UNIX-системах со времен червя Морриса, то никаких вирусов нет, не было и не будет. Вот только один нюанс, остаются руткиты, они на ваш UAC плевать хотели. Как, впрочем, и на sudo.

Не руткит, а root-эксплойт. Вот они действительно плевали на sudo и на UAC.
И что в итоге? Мы пришли к мысли, высказанной мною в топике - правильное разделение прав пользователя, закрытие дыр в системе убивают вирусы. А от троянов спасает только пересадка моска.

Добавлено спустя 05 мин 35 с:

Linups_Troolvalds пишет:

Если взять первую нагуглившуюся статистику, то 52.41%(от всех ОС) сидит на XP и 25.89% на 7. И если вы думаете, что на 7-й винде большинство сидит под ограниченной учеткой...

Ну я два года сидел под админом в ХР и ничего не случилось

Добавлено спустя 08 мин 15 с:
А если мне не изменяет память, то большинство пользователей не лазят по системным настройкам. Поэтому XP ставило админа по умолчанию - работали под админом, 7 ставит ограниченную учётку - работают так.

Linups_Troolvalds · 16-06-11 02:21:25

Sergey2408 пишет:

правильное разделение прав пользователя, закрытие дыр в системе убивают вирусы

Да, я так и понял, что передо мной Капитан Очевидность. Только статистически они пока никого не убили. А в корпоративном секторе и у грамотных людей и раньше эта проблема решалась.

Sergey2408 пишет:

Ну я два года сидел под админом в ХР и ничего не случилось

Говорят, некоторые курильщики умирают от старости. Однако вред от курения очевиден. тут примерно то же самое.

mav · 16-06-11 06:22:58

Белая рысь пишет:

И UAC там отключен - по умолчанию. Мне ничто не мешает его включить, да.

Ну, он в "скрытом админе" не включается, т.е. настройка в панели ни на что не влияет.

straus · 16-06-11 09:16:08

Гареев Станислав пишет:

Для чего x бит и существует. Это правда что бубунта после двойного клика запустит скрипт даже если на нём нет этого бита?

Нет не запустит. Если бит на исполнение не стоит то откроет для редактирования, если стоит предложит либо запустить, либо редактировать.

Гареев Станислав · 16-06-11 09:18:23

straus пишет:

если стоит предложит либо запустить, либо редактировать.

Так то лучше.
В альте конечно если быт стоит, то сразу запустит. А если не стоит то просто откроет в текстовый редактор.

Белая рысь · 16-06-11 09:25:55

Linups_Troolvalds пишет:

Всё остальное либо отключаемо, либо настраиваемо

Ув. Линупс, Вы сами себе противоречите. Все Ваши вопли на тему того, что в винде по дефолту всё неправильно, а значит, винда - УГ, отправляются в /dev/null за двойные стандарты.

ikkunan salvataja пишет:

Белая рысь пишет:
О.о Фак мой мозг. Таки моё решение гибче, в нём только один пользователь ущемляется.
А на этот случай существует другое изкоробочное решение. Вот такое:
zalil.ru/31269103
Недостаток в сравнении с предыдущим это необходимость сообщать юзеру пароль другого юзера, либо при первом запуске самому его втайне от юзера вбивать, коего недостатка не лишён кстати и способ с admilink.

С Вами приятно общаться. smile Коротко и по делу. И ролик красивый. Надо тоже так научиться. big_smile

Linups_Troolvalds пишет:

Конфицкер поимел массу машин из-за сетевой уязвимости, которая была закрыта, есличо

А можно, я не хочу искать линк на ботнет из роутеров? Там вообще, помнится, никаких багов прошивок не фигурировало. А ботнет - был. От идиотов ось не спасает, так что пример мимо тазика.

mav пишет:

Ну, он в "скрытом админе" не включается, т.е. настройка в панели ни на что не влияет.

Фуфу. smile ) Не надо спорить со старшими. big_smile

Linups_Troolvalds · 16-06-11 09:54:53

Белая рысь пишет:

Вы сами себе противоречите.

Нет, мы себе не противоречим. Статистика вещь упрямая. Вы тут хоть все настройки GP семистопным ямбом расскажите, а дефолтная винда у предоставленного себе хомяка не гарантирует защиты от вирусов. То, что можно сделать, я знаю. Но это можно несколько отличается от того, что сделано по умолчанию. Исходный тезис темы – «вирусы вымерли». В таком случае «поставщики антивирусных программ уже обанкротились». Вот, к примеру, один из банкротов:

«Лаборатория Касперского» объявила финансовые результаты деятельности за 2010 год.
Компания показала значительный рост во всех регионах: на глобальном уровне выручка компании выросла на 38% по сравнению с 2009 годом, составив 538 млн. долларов.

big_smile
И не передергивайте, я не говорил, что в винде по умолчанию всё неправильно, и что винда – УГ. Потому первое было бы неправдой, а второе – скорее дело вкуса и предмет холивара.

Белая рысь пишет:

От идиотов ось не спасает, так что пример мимо тазика.

Не спасает. Но некоторые ОС предоставляют более легкие способы массово эксплуатировать идиотизм(а некоторые, как вышеупомянутые «банкроты» – ухитряются еще и делать это легально и получать правительственные награды).

Белая рысь пишет:

А можно, я не хочу искать линк на ботнет из роутеров?

А при чём тут ботнет из роутеров, когда речь шла о десктопной ОС?

Отредактировано Linups_Troolvalds (16-06-11 09:56:52)

Белая рысь · 16-06-11 10:38:23

Linups_Troolvalds пишет:

мы себе не противоречим

"Вы" с прописной - уважительное обращение к собеседнику в единственном числе. Или тут что-то из серии "Мы, царь, повелеваем..."? big_smile

Linups_Troolvalds пишет:

дефолтная винда у предоставленного себе хомяка не гарантирует защиты от вирусов

Я ведь писал где-то тут неподалёку про отсутствующий noexec в дефолтной поставке никсов?..

дефолтнаяый винда Linux у предоставленного себе хомяка не гарантирует защиты от вирусов

Linups_Troolvalds пишет:

Исходный тезис темы – «вирусы вымерли»

Я тоже где-то неподалёку писал про градацию малвари на вирусы/трояны/етц Если её использовать - то да, вирусов практически нет. Если считать вирусоб любую малварь - то да, вирусы есть, потому что хомяк с правами админа - это страшно.

Linups_Troolvalds пишет:

В таком случае «поставщики антивирусных программ уже обанкротились»

Ы... В общем-то, сильно вряд ли... Любой серьёзный антивирусный продукт сейчас имеет, например, средства контроля трафика. Плюс обратите внимание на такие комбайны, как Kaspersky Crystal. Ну и необходимость защищать хомячков от шуток злобных хакиров из чатиков с предложением сделать rm -rf --no-preserve-root / тоже всегда останется, так что эти-то товарищи - даже специализирующиеся на хомячках - никуда не денутся. smile

Linups_Troolvalds пишет:

скорее дело вкуса и предмет холивара

Ну, холиварить тоже надо последовательно. tongue

Linups_Troolvalds пишет:

некоторые ОС предоставляют более легкие способы массово эксплуатировать идиотизм

Например, те, что ставятся на роутеры? big_smile

Linups_Troolvalds пишет:

А при чём тут ботнет из роутеров, когда речь шла о десктопной ОС?

Ну, как бы вот. Или щас опять окажется, что линукс - это дистрибутив? Или ещё могу предложить путь отхода: на роутере стоит серверный вариант, он меньше защищён, чем десктопный. big_smile

Гареев Станислав · 16-06-11 10:55:16

Белая рысь пишет:

на роутере стоит серверный вариант, он меньше защищён, чем десктопный.

Если поменять пароль, то как не странно в ботнет он не вольётся.

Linups_Troolvalds · 16-06-11 11:14:10

Белая рысь пишет:

Или тут что-то из серии

Не обращайте внимания. Это просто местоимение.

Белая рысь пишет:

Я ведь писал где-то тут неподалёку про отсутствующий noexec в дефолтной поставке никсов?

А я уже ответил, что это нехорошо. А также про дефолтные фронтенды для sudo/su, которые хотят пароль.

Белая рысь пишет:

потому что хомяк с правами админа - это страшно.

Ключевой момент.

Белая рысь пишет:

Например, те, что ставятся на роутеры?

Там где-то фигурировала цифра в 12 миллионов в 2009 году...

Белая рысь пишет:

Или ещё могу предложить путь отхода: на роутере стоит серверный вариант, он меньше защищён, чем десктопный.

На роутеры не ставят серверный вариант. Там встраиваемый вариант, несколько другое.
И к тому же имела место халатность вендоров, которые делали дефолтные логин/пароль типа admin/admin, хотя по уму надо на каждую железку делать свой индивидуальный. И на коробке крупно написать, что пароль надо поставить свой. Сейчас же.

straus · 16-06-11 12:19:59

Linups_Troolvalds пишет:

На роутеры не ставят серверный вариант. Там встраиваемый вариант, несколько другое.
И к тому же имела место халатность вендоров, которые делали дефолтные логин/пароль типа admin/admin, хотя по уму надо на каждую железку делать свой индивидуальный. И на коробке крупно написать, что пароль надо поставить свой. Сейчас же.

Нет, проблема там была в том, что доступ к админке был возможен (по умолчанию) извне. А дефолтный пароль нужно заставлять менять при начальной настройке.

Отредактировано straus (16-06-11 12:20:29)

Белая рысь · 16-06-11 13:58:31

straus пишет:

А дефолтный пароль нужно заставлять менять при начальной настройке

Я не менял дефолтный пароль на вход в админку, и УМВРЧЯДНТ?
Linups_Troolvalds, свинство с Вашей стороны. Придраться не к чему. Как дальше срач разводить? big_smile

straus · 16-06-11 15:53:30

Белая рысь пишет:

straus пишет:
А дефолтный пароль нужно заставлять менять при начальной настройке
Я не менял дефолтный пароль на вход в админку, и УМВРЧЯДНТ?

Вы, простите, что хотели узнать?

Белая рысь · 16-06-11 18:38:30

straus пишет:

Вы, простите, что хотели узнать?

Я хотел уточнить, откуда взялось слово нужно там, где оно совершенно не к месту. Если это хомячковый рутер и стоит он у хомячка дома с отключенными файфаем и управлением снаружи - дефолтный пароль менять действительно совершенно ни к чему. А я вот решил, что мне с моим включенным вайфаем с паролем соответствующей длины и соответствующими политиками безопасности пароль на одминку менять тоже ни к чему.

Linups_Troolvalds · 16-06-11 20:14:01

Белая рысь пишет:

Если это хомячковый рутер и стоит он у хомячка дома с отключенными файфаем и управлением снаружи - дефолтный пароль менять действительно совершенно ни к чему.

При условии, что он уникален и имеет достаточную длину и сложность.
Тем более, что роутеры SOHO-класса могут оказаться как у хомячка домашнего, так и у хомячка-эникея в этом самом офисе с тремя тазиками. И шибко умный эникей может захотеть иметь доступ через инет, чтобы лишний раз не бегать, когда кто-то опять включит электрочайник вместо роутера.

Белая рысь · 16-06-11 22:48:17

Linups_Troolvalds пишет:

При условии, что он уникален и имеет достаточную длину и сложность.

Нет. Если нет управления снаружи и доступа к LAN всяких странных лиц - можно стандартные admin/password, ломать некому. Только если представить хитрый вирусняк, который сначала заражает виндовую машину, а потом до кучи ломает роутер. О.о

Linups_Troolvalds пишет:

Тем более, что роутеры SOHO-класса могут оказаться как у хомячка домашнего, так и у хомячка-эникея в этом самом офисе с тремя тазиками.

Не-не-не, Дэвид Блейн, мы щас хомячков обсуждаем... К офисам у меня совсем другие подход и требования безопасности, в частности, как раз, из-за того, что сеть там - проходной двор.

Linups_Troolvalds · 16-06-11 22:54:26

Белая рысь пишет:

Если нет управления снаружи и доступа к LAN всяких странных лиц

Правильный подход к безопасности заключается в том, что «все лица странные», «все пользователи – идиоты», «все админы пьяны» и «самый хитрый хакер где-то рядом». Никогда не разрешать больше, чем нужно для нормальной работы системы.
С тем, что админка по умолчанию должна быть открыта только внутрь локалки, согласен.

straus · 17-06-11 06:24:05

Белая рысь пишет:

straus пишет:
Вы, простите, что хотели узнать?
Я хотел уточнить, откуда взялось слово нужно там, где оно совершенно не к месту. Если это хомячковый рутер и стоит он у хомячка дома с отключенными файфаем и управлением снаружи - дефолтный пароль менять действительно совершенно ни к чему.

Вы знаете, я считаю, что когда ведёшь речь о безопасности глупо говорить, что: " рутер и стоит у хомячка дома с отключенными файфаем и управлением снаружи", а если это не так? Особенно выключенный wi-fi меня порадовал, кстати, Вы можете наперёд сказать какую систему защиты соединения wi-fi выберет "хомячок" при включении?

Белая рысь пишет:

А я вот решил, что мне с моим включенным вайфаем с паролем соответствующей длины и соответствующими политиками безопасности пароль на одминку менять тоже ни к чему.

Даже wpa успешно ломается, дело только во времени?

Белая рысь · 17-06-11 09:43:55

Linups_Troolvalds пишет:

Правильный подход к безопасности заключается в том, что

Дома - не критично. Там каждый аудитор безопасности сам себе пьяный админ. А будет он ломать свой роутер со сложным паролем или с простым - не важно, в общем-то.

straus пишет:

Вы можете наперёд сказать какую систему защиты соединения wi-fi выберет "хомячок" при включении?

Ага. Полбаша в сообщениях, что у соседа халявный открытый файфай.

straus пишет:

Даже wpa успешно ломается, дело только во времени?

Для дома - неактуально. Если они сломают мой WPA через 10 лет усердной ловли пакетов - думаю, я тока поржу. В организациях с большим объёмом WiFi-трафика - там да, имеют смысл всякие радиусы.

straus пишет:

когда ведёшь речь о безопасности глупо говорить, что

О безопасности хомячков вообще глупо говорить. Если поставлять роутеры с паролями типа Hg7rEws или требованием их сменить при первой конфигурации - как думаете, у какого их количества будут пароли типа 123? Тот, кто умеет хотя бы приблизительно оценивать угрозу - и пароли поставит не дефолтные, и вообще. Тот, кто раздолбай типа меня - будет пользоваться полумерами. Ну а хомячки - они хомячки и есть.

Linups_Troolvalds · 17-06-11 11:32:32

Белая рысь пишет:

Если поставлять роутеры с паролями типа Hg7rEws или требованием их сменить при первой конфигурации - как думаете, у какого их количества будут пароли типа 123?

У такого количества, оборудование которых этот пароль примет. Никогда не сталкивались на сайтах в интернете при регистрации, что пароль типа 123 сделать нельзя?

Белая рысь · 17-06-11 18:16:57

Linups_Troolvalds пишет:

У такого количества, оборудование которых этот пароль примет. Никогда не сталкивались на сайтах в интернете при регистрации, что пароль типа 123 сделать нельзя?

А вот это уже толсто. Сайту с бесплатной регистрацией по барабану, зарегистрируетесь вы на нём или нет. Даже, наверное, лучше, если нет. БД будет себя свободнее чувствовать. А продавцам полосатых палочекроутеров терять 20% покупателей только из-за того, что роутер не принимает "мой любимый портвейновый пароль - 777" неинтересно. Это у нас - безопасность, а хомячку - лишь бы кнопочек поменьше нажимать.

▼Скрытый текст

Форум StopLinux

Объявление

#101 16-06-11 01:37:15

Re: У нас много-много вирусов!

#102 16-06-11 01:54:20

Re: У нас много-много вирусов!

#103 16-06-11 01:56:23

Re: У нас много-много вирусов!

#104 16-06-11 02:10:09

Re: У нас много-много вирусов!

#105 16-06-11 02:10:36

Re: У нас много-много вирусов!

#106 16-06-11 02:21:25

Re: У нас много-много вирусов!

#107 16-06-11 06:22:58

Re: У нас много-много вирусов!

#108 16-06-11 09:16:08

Re: У нас много-много вирусов!

#109 16-06-11 09:18:23

Re: У нас много-много вирусов!

#110 16-06-11 09:25:55

Re: У нас много-много вирусов!

#111 16-06-11 09:54:53

Re: У нас много-много вирусов!

#112 16-06-11 10:38:23

Re: У нас много-много вирусов!

#113 16-06-11 10:55:16

Re: У нас много-много вирусов!

#114 16-06-11 11:14:10

Re: У нас много-много вирусов!

#115 16-06-11 12:19:59

Re: У нас много-много вирусов!

#116 16-06-11 13:58:31

Re: У нас много-много вирусов!

#117 16-06-11 15:53:30

Re: У нас много-много вирусов!

#118 16-06-11 18:38:30

Re: У нас много-много вирусов!

#119 16-06-11 20:14:01

Re: У нас много-много вирусов!

#120 16-06-11 22:48:17

Re: У нас много-много вирусов!

#121 16-06-11 22:54:26

Re: У нас много-много вирусов!

#122 17-06-11 06:24:05

Re: У нас много-много вирусов!

#123 17-06-11 09:43:55

Re: У нас много-много вирусов!

#124 17-06-11 11:32:32

Re: У нас много-много вирусов!

#125 17-06-11 18:16:57

Re: У нас много-много вирусов!

Подвал форума