1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

Антивирусы

Тема в разделе "OFF-топик", создана пользователем infis, 03.03.2017.

Загрузка
  1. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 941
    Симпатии:
    3 521
    Версия XF:
    1.5.9
    Ну не надо так уж категорично. Если в 10-й версии винды есть штатный антивирус, то, конечно же, установка еще одного антивируса будет излишней. А вот на более старых версиях винды антивирус просто обязателен. Без антивируса долго прожить сможет только профессионал, который будет использовать подобные средства типа блокировки спама, рекламы и прочего. Да и то всегда можно нарваться на слишком агрессивную страницу, откуда вирус сможет пролезть в систему.

    Я всегда пользовался касперским на всех виндах, кроме 10-ки. В ней штатный антивирус вполне справляется. Да, тот же касперский сильно грузит компьютер, особенно типа "офисного", на котором и офис-то не быстро загружается. Но зато не надо каждый месяц винду переставлять. И, кстати, у меня на предприятии все компьютеры были либо защищены купленным касперским, либо работали под линухой. До этого была постоянная головная боль с вирусами и частая переустановка винды. После установки на чистую винду антивируса ни одна винда в течение нескольких лет затем не переустанавливалась.
     
  2. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    701
    Симпатии:
    297
    Там в основном фишинговые страницы, типо "Ваш компьютер заражён", далее предлагается скачать "Антивирус".

    А так давно не видел, что-бы вирус через страницу как-то проникал в систему, в основном если пользователь сам не запустит такой вирус, то ничего и не будет...

    А часто например просят отключить антивирус, особенно если качается варезный софт, или чит какой к игре...:)

    А вот с предприятиями сложно всё, к сожалению антивирусы неспособны обнаруживать направленные атаки, вот например хакеры часто используют вполне легальный софт для начала атаки, вот классический случай:

    Делают готовую сборку RMS (Можно любой другой софт, да тот-же TeamViwer), у большинства антивирусов этот софт доверенный, далее если атака на бухгалтерию, пишется письмо, что-то типо:

    "Вашей организации выставлен счёт от XXX, что-бы посмотреть реквизиты откройте файл .doc", ну понятно что сам doc может-быть склеен с лоадером, кторый тихонечко закачает и установит наш радмин...:)

    Где-то два года назад делали исследование, вот статья Разрешите вас отадминить?

    А вообще удивительно, что детект многих антивирусов до сех-пор слетает, если добавить в хекс-файле несколько байт, в начало или в конце. Ну или просто запаковать UPX ! :)

    Вот тоже конечно уже можно сказать не новое, но вряд-ли что-то поменялось:X-тест на октябрьском журнале "Хакер"

    Поэтому антивирусы по моему мнению сейчас устарели и давно не развиваются кстати уже ! :(
     
  3. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 941
    Симпатии:
    3 521
    Версия XF:
    1.5.9
    Опять таки, не только сигнатурами антивирус богат, но и эвристикой, которую просто не надо отключать. Это раз. А во-вторых, в современных виндах всё стало значительно лучше, когда стали требовать дополнительные подтверждения от пользователя для запуска под административным доступом. В подавляющем большинстве случаев даже это помогает избежать заражения. Главное - опять таки, не отключать такие запросы.

    Ну а различный фишинг - от этого и линуха не защищена. Тут уж только голова должна быть. Хотя бы пара извилин.

    У меня на предприятии пользователи имели исключительно пользовательский доступ. Они даже не могли настройки антивируса изменить. Был заблокирован прямой обмен между компьютерами средствами коммутатора второго уровня. То, что нужно было передать - передавалось исключительно через файловый сервер, который работал под управлением линухи. Принтеры были либо индивидуальными, либо сетевыми. Индивидуальные принтеры не расшаривались. Сканировали сетевого МФУ, который складывал сканы в папку на сервере. Таким образом, даже отдельно зараженный комп не смог бы заразить все остальные компьютеры по сети. Ну и к интернету прямого доступа ни у кого не было, все работали через маршрутизатор на микротике, которого несколько лет ломали, но так и не поломали :)

    Блин. Опять офтоп. Надо завязывать.
     
  4. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    701
    Симпатии:
    297
    В том-то и дело, что у современных АВ есть так-называемые белые списки программ, которые не детектируются, это лазейка, к тому-же много адвари каспер пропускает...:)

    Оффтоп конечно, но вот реальный пример "работы" антивируса, сейчас как-раз идёт эпидемия шифровальщика Spora, который распространяется через емаил, т.е. письмо бухгалтеру, который выше, результат:

    [​IMG]

    upload_2017-3-3_19-28-54.png

    Короче полный капец ! :)

    Хе, примечательно, что у этого вируса есть целый сайт с личным кабинетом и тех. поддержкой, где можно приобрести не только ключ от расшифровки, ну и антидот, гы-гы:

    [​IMG]
    --- добавлено : Mar 3, 2017 5:20 PM ---
    Вот почитайте и комменты на "Хакере":Вымогатель Spora очень сложен и предлагает купить иммунитет от заражения - «Хакер»

    Прикалоло, что некоторые не осознавая сами распространяют вирус в организации:

    Особо сообразительные люди отправляют письмо коллегам с просьбой проверить, открывается ли у них этот файл. :)

    Не баньте, больше не буду оффтопить, можно также отдельную тему создать в оффтопике ? :)
     
    Последнее редактирование модератором: 11.03.2017
  5. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 941
    Симпатии:
    3 521
    Версия XF:
    1.5.9
    А вот и яркий пример того, что UAC не надо было отключать. Админу руки надо отрывать за то, что он позволяет пользователям быть администраторами на своих компьютерах. Был бы включен UAC, то и вирус бы не смог ничего сделать. А потом да, поздно "пить боржоми".

    И еще один момент. У меня все сотрудники сидели на корпоративной почте на гугле. Тот любые подозрительные вложения блокировал. Так что вирус банально бы в почте не пришел.

    В общем, админ - это не тот, который умеет винду установить и бухгалтерам объяснить, на какие кнопки нажимать, а тот, который хорошо знает весь используемый на предприятии софт, матчасть, постоянно мониторит новости в интернете, от и до знает используемые сетевые протоколы, умеет грамотно настраивать маршрутизаторы и коммутаторы, ну и т.д. А эникейщик - это так, специалист 1-й или 2-й категории. До админа такому еще расти и расти. Так вот на скрине jdf, похоже, не админ, а или школьник или просто не грамотный технический специалист, который допустил кучу ошибок.

    Кстати, о шифровке базы данных. Нормальные предприятия уже давно используют нормальные серверы баз данных на PostgreSQL, под управлением Linux. Не удивлюсь, что у чуда kgen весь софт пиратский, а винда из какой-нибудь известной сборки с неизвестными троянами.

    Ну и про резервные копии, как я понимаю, никто из них вообще не слышал. У меня резервные копии файлов и базы данных сохранялись ежедневно за последние 30 дней, плюс одна ежемесячная в течение года. Да, для этого нужно иметь соответствующие ресурсы и знания. Ну так собственно, за это и должны платить. А колхозников вообще близко нельзя подпускать к информационной составляющей предприятия. Иначе предприятие может в один прекрасный момент вообще крякнуть.
     
    Oleg-2012 нравится это.
  6. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    701
    Симпатии:
    297
    Добавлю что резервные копии тоже должны-быть защищены, т.к. вирус указанный выше шифрует и сетевые диски, где как-раз могут находится эти копии...:)

    А вообще поразил маштаб, вирусу месяц, а сайт до сех-пор живёт и жертвы появляются постоянно, начиная от простых пользователей, которые зачем-то запустили вложение и заканчивая бухгалтеров и т.д.

    Кстати вирус этот ещё и червь, т.е. может распространятся и через флешки:

    Spora добавляет скрытый атрибут к файлам и папкам на рабочем столе, в корне системного диска и съемных дисков. Затем Spora помещает ярлыки Windows с тем же именем и значком в виде скрытых файлов и папок в качестве видимой замены. Эти файлы .LNK открывают исходный файл, чтобы не вызвать подозрений и одновременно выполнить вредоносный код. Червь удаляет значение реестра, отвечающее за то, что значки не показывают характерную изогнутую стрелку в левом нижнем углу.

    В результате чего простая навигация по папкам на вашей системе и на рабочем столе с помощью двойного щелчка запускает червя на выполнение. Используя эту возможность, Spora будет не только распространяться на съемных носителях и USB флэш-накопителях, но и будет шифровать вновь созданные файлы в системе. Это делает систему неработоспособной для хранения или создания любых изображений или документов, пока ПК не будет вылечен.

    Хорошо кто-то постарался, я против таких вещей, но респект создателям, давно такого не видел просто ! :)
     
  7. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 941
    Симпатии:
    3 521
    Версия XF:
    1.5.9
    Просто резервные копии должен делать другой сервер (а не сервер, на котором находятся данные, подлежащие архивации), к которому не должен иметь кто-либо из пользователей доступ. Ну и желательно, чтобы сервер был под управлением Linux. Это еще один препон вирусам, которые зачастую ориентированы на Windows. Ну и к серверу с резервными копиями доступ из Интернета должен отсутствовать. У меня вообще все сервера сидели за маршрутизатором. Если нужно извне взять какой-нибудь файл, я мог через SSH залезть на нужный сервер или сделать временный проброс портов. А если нужно было выложить файлы для кого-то третьего - есть гугль диск (кстати, очень удобно было с юридической фирмой сканами документов обмениваться), почта и внешний веб-сервер с хостингом где-то далеко.
     

Поделиться этой страницей