Форум города Валуйки

[bazilio28]

Прошу делиться своими соображениями,дополнениями и критикой.
И так:
1.Не работайте под административными правами в интернете н и к о г да!
2.Выбор антивирусника это Ваш собственный выбор,но помните,что они отстают от вирусмейкеров в среднем на пару недель.И есть у меня подозрения ,что они часто сами их и пишут,чтобы не остаться без работы.
3.По сию пору нет противоядия от последних вирусов и когда появятся неизвестно .
4.Навсегда забудьте о рассадниках вирей и троянов на сайтах Вконтакте и одноклассники,как бы сильно вы на них не подсели.
5.Кто попродвинутей ставте файерволы типа Agnitum . Посмотрел по области масса открытых портов на компах,которые нужно срочно закрыть или спрятать.
6.Пропатчивайте системы почаще , не ленитесь скачивать последние обновления в инете их достаточно

Личное мнение: Ставте несколько браузеров Основным сделайте наименее уязвимую Оперу,далее можно Maxton'K-Meleon,Mozilla и постарайтесь позабыть про IE навсегда.
О безопасности много можно писать,но для начала и это неплохо было бы сделать.
Пишу исключительно для начинающих пользователей,так что сильно не нападайте
Если интересует могу поподробнее и новых вирусах о способах ухода от них. Например как отформатировать в NTFS флешку и написать батник для отключения автозагрузки ,чтобы убрать inf.

[bazilio28]

Забыл Закройте все папки на которых открыт доступ.Пишу не просто так - видел сам в одном учереждении Винда по умолчанию после установки оставляет часто открытый доступ на папке Мои документы.Устанавливая новую Винду не забывайте про MBR там обычно и сидит вся зараза.Посему лучше делать форматС: с загрузочной дискеты,долго ,но надёжно.По каждому пункту могу дать развёрнутое пояснение и объяснение.

[Ioann]

bazilio28
Соледарен, атлично...

[Ioann]

bazilio28
Ты лучше паведай как уберечся ат замбиравания кампов в сети...

[Ioann]

bazilio28
,,, да и развивай ету тему, чтоб ана пастоянно держалась на пике, ето нужная вешч для всех...

[bazilio28]

Спасибо за поддержку Ioann
И так. Зомбирование ПК в сети. Сеть ты имеешь ввиду сетку или интернет? Если сетку,то тут вроде понятно. А вот инет ,это ТЕМА.
Вирьмейкеры оченно сильна продвинулись.Настолько,что не по себе становиться.
Для зомби засылается руткит(он же троян).Сам по себе не опасен,но сливает всю инфу о компе- об Аське,действиях клавиатуры(которые кейлоггеры).Ну и учавствует в различных атаках на сервера и проч.То есть самому компу вреда не наносит,а наносит ущерб владельцу.Конечно же снимает все данные о паролях кредиток и всего что ни найдёт:телефонные номера и проч.Как только ему скажут "Фас" он послушно идёт в бой невзирая на непосредственного пользователя.
Какая неутешительная информация? После входа в инет оперативная память получает десятки таких руткитов и там остаётся до перезагрузки добавляясь с каждой минутой.Бороться с этим практически невозможно.
Какая утешительная? Мы сами очень сильно помогаем проникновению руткитов уже непосредственно в саму систему ,а не в оперативную память. И поэтому то тут мы можем противостоять хоть как то.
Пример нашей помощи злоумышленнику: Подогнали нам классную прогу ,а кряка нет или есть.Вот тут и подготовлена ловушка самая простая,но весьма эффективная.Вместо серийника нам дают кейген и мы рады до безумия ,не обращая внимания на вопли файерволла тычем ентер-ентер-ентер и успешно с активацией получаем троянца посерьёзней прямо в реестр - да вообще куда угодно хоть к винсоку может присосаться и ничем его не вытравить. Выход простой. Запустите кейген под виртуальной машиной!! Скопируйте на бумажку серийник - выходите и у же вводите просто S/N ,ну то есть сам серийный номер.
Но вирьмейкеры не стоят на месте.Уже существуют троянцы способные проникать даже если ты под виртуальной машиной. Ну такой руткит не скоро может здесь появиться,поскольку цена его астрономическая. За свежие эксплойты почти по штуке бакинских просят,а тут такое новшество.
Насчёт виртуальных машин- сейчас есть утилиты не требующие перезагрузки компа - просто выбираешь где будешь работать в данный момент и вперёд.
Пока что основной и распространённый источник зомбирования - это флешка - создатели обещали весёлую жизнь пользователям с 1 го апреля - похоже не обманули.
Много заражённых прог в программах спутникового TV там специально заражают,что бы не особо воровали.Я когда приехал сюда принесли прожку от ТВ на флешке - вставляю,а там Jeefo!! Мой старый друг,убивший (вдумайтесь только) полторы тысячи екзэшников прог,нажитых годами. И это не parite,который можно отделить от экзэшника,а зверь пострашнее жрёт и не подавиться.Откуда эта экзотика здесь?.Вот говорит дали счас буду спутниковое чуть ли не тысячи каналов смотреть :)Благо я спутниками и вообще ТВ не интересуюсь.Лана что то длинно получается и не очень понятно.я Хотел для простых юзверей написать ,а тут умничать стал.Постараюсь исправиццо.
P/S/ Я не гуру по безопасности, но что пишу это не от потолка.И ваще кто чё знает тоже пишите.(продолжение следует )

[bazilio28]

Один из самых больших рассадников вирей сделали пиринговые сети Р2Р,а жаль. Хорошая идея и не поймешь то ли у пользователя стока заразы,то ли спецом засылают.Жаба то душит что контент бесплатно людям приходит. Хотя эти писатели тоже в свою очередь украли где-то.Так почему людям нельзя просто так дать? Скрывающий знания подобен вору - так говорили древние учителя. Согласен с ними.

[Ioann]

[bazilio28]

[bazilio28]

В общем я рискну разгневать админов,но дело того стоит поверьте.
И так- великий и могучий Downadup как с ним бороться
Для начала небольшое :)) предисловие :
Спам, кликботы, ддосы, продажа трафика, промышленный шпионаж, прокси, подмена поисковой выдачи и еще дюжина
это не полный список,что может эта
мылварь. Червь каждый день использует 250 разных доменов.
И что мы имеем в итоге? Качественно сделанный вирус, использующий вполне стандартные приемы. Сильно удручает
тот факт, что практически все антивирусные компании, которые так привыкли громко заявлять о себе, не смогли ему
вовремя противодействовать. Это касается даже серьезных корпоративных решений, за которые приходилось краснеть
и, разводя руками, отправлять специалистов для ручного удаления заразы. Особенно забавляют инструкции по
удалению Downadup'а, которые публикуются на тех же самых сайтах антивирусников.
Напомню, все они заблокированы на инфицированных компьютерах. В этих же инструкциях - ссылки на закачку
специальных утилит, опять же с заблокированных серверов.
Классно работаете, ребята.

Как избавиться от червя вручную

Рекомендую удалять такую заразу
исключительно вручную. Как водится, если хочешь что-то сделать хорошо, то сделай это сам. Алгоритм такой:

1. Во-первых, нужно удалить ключ системного реестра:

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

2. Далее удаляем строку «%System%\<rnd>.dll» из значения следующего параметра ключа реестра:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"

3. Ребутимся.

4. После перезапуска нужно удалить оригинальный файл червя (его расположение на зараженном компьютере зависит
от способа, которым программа попала на компьютер).

5. Для этого пытаемся найти и удалить файл:

%System%\<rnd>.dll, где <rnd> - случайная последовательность символов.

6. А также килляем следующие файлы со всех съемных носителей:

<X>:\autorun.inf

<X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\.vmx, где rnd – случайная последовательность
строчных букв, X – буква съемного диска.

Червь использует сразу три метода:
через «сетевое окружение», перебирая пароль администратора к системной шаре ADMIN$;
используя эксплоит для уязвимости 0867, найденной во всех версиях Windows;
через внешние носители, используя автозапуск.

незаметно разместиться во многих частях системы

Заразив машины, червь копирует свое тело во вполне привычные места:

* %System%\[Random].dll

* %Program Files%\Internet Explorer\[Random].dll

* %Program Files%\Movie Maker\[Random].dll

* %All Users Application Data%\[Random].dll

* %Temp%\[Random].dll

* %System%\[Random].tmp

* %Temp%\[Random].tmp
Не ищите его в Диспетчере задач и не пытайтесь вычислить по дате.
Downadup аттачит себя в svchost.exe, explorer.exe и services.exe.
У пользователя по-прежнему остается возможность скачать патч вручную - тем более, о том, что необходимо
поставить заплатку под номером MS08-67, трубят на каждом углу. Но и здесь - облом. Червь использует еще один
тривиальный прием. Перехватывая вызовы API-функций, отвечающих за работу с DNS, он препятствует обращению
к нежелательным для него доменам
И вот на что обратите внимание Как правило, тело червя имеет одно из следующих расширений: bmp, gif, jpeg, png

[bazilio28]

Все знают,кто такие спамеры,а многие ли знают,кто такие скамеры?
Этот пост посвящается глупым и жадным уж на то я и bazilio,правда без Алисы пока :).
Суть такова: В один прекрасный момент вы можете получить письмо к себе в почту.На английском языке и может даже с корявым переводом на русский. В котором будет написано обращение несчастной нигерийской девушки с миловидной фотографией,где будет написан крик о помощи. Она дочь министра любой отрасли промышленности у которой погибла трагически вся семья.Полазив в интернете,Вы даже может найдёте подтверждение этому факту.И ,что у неё осталось наследство от 3 до 8 млн. долларов и она хочет ,чтобы именно вы распорядились и ей и наследством.Вы же конечно усмехнётесь скажете развод и далее поступите одним из способов.
1. Будете ждать как вас будут разводить с помощью тлф.разводов или ожидать просьбы выслать денег ей несчастной. Но такого не будет!
Просто скажут с какими бумагами нужно и куда обратиться,а лучше всего приехать самому. Въезд в Нигерию свободен от всяких виз. Вот она удача! Никому не сказав о своём счастье ,сразу многие захотят стать обладателем и денег и девушки.
Вот это и будет окончанием вашего существования ,если Вы решитесь такое проделать.Въезд в Нигерию строго запрещён и вас примут прямо на трапе самолёта и моментально приговорят к астрономическому сроку или к смерти. Добавлю чеченская мафия просто дети по сравнению с нигерийской. Так,что откажитесь от любой переписки и не щёлкайте курсором по тексту письма - оно напичкано зловредным кодом.Рассылкой подобных писем занимались раньше венгры - сейчас не знаю.Жертв обычно ищут на сайте знакомств написав ,что как увидели сразу решили,что только такому и можно доверить наследство.затеятись с бумагами - результат будет приблизительно таким же.

[bazilio28]

Теперь любителям по-гусарски потыкать мышкой с первой космической скоростью.Прежде,чем тыкнуть всё же прочтите куда и зачем тычите!.В поисковиках(не во всех) стали хоть предупреждать,что сайт может нанести вред компьютеру.Но нам же лень читать до конца (а предупреждение как раз в конце ссылки) мы же всё знаем )),а если ещё и на английском ваще чего там читать - и так отлично!.
Так вот не рекомендую заходить на сайт не прочитав о нём,так же не тычьте по тексту без толку ,многого кода нам не видно,а в нём как раз и ссылочка может быть спрятана прямо в Ад.То же рекомендую при установке программ -как некоторые устанавливают ,не прочитав и не сняв галок,а там предложения и обновлений ненужных и установки дополнительных тулбаров и всякой ерунды.Каждый тычок может стать приговором вашему несчастному компьютеру.И не нужно без надобности выделять участки текста. Этим кстати грешат не только новички )).Кстати при согласии установить программу часто мы подписываем право разработчика устанавливать себе на комп шпиона,так,что если у Вас и лицезия,но подписав такое, в суд обращаться бесполезно потом.

[bazilio28]

И снова атаки нулевого дня.То есть совершенно свежие.Атака на Adobe Flash идет полным ходом - обезопасьте PDF Reader немедленно
Проделайте следующее:
В Adobe Reader: кликните Edit > Preferences Settings >Multimedia Trust -> Permission for Adobe Flash Player, и установите "Never" или "Prompt" .
Последствия этого кода не буду описывать.просто даже ,если скачиваете эту прогу с сайта разработчика - автоматом получаете инсталлятор с установкой более 2-х десятков вредоносного кода.Так же пока не проделаете того,что написал выше -не открывайте PDF-ов
непосредственно в браузере.

[arch_31]

Возможно боян, но повторить стоит, особенно для тех, кто любит при посещении Интернета, чтобы сайт был максимально украшен, чтобы все блестело и мигало. Однако в этом и таится опасность. Стоит хотя бы один раз зайти, к примеру, на какой-нибудь сайт с crack-ами - вы моментально получите скрипт, который установит на ваш компьютер кучу всякой заразы. О всплывающей рекламе и информерах вообще помолчу.
Следовательно, желательно отключить в браузере показ рисунков, flash, скрипты и ActiveX. И включать их только на тех сайтах, которым доверяете. Вот как, например, это делается в Maxthon:

[arch_31]

Включать же стоит не все сразу, а только то, что необходимо и только для текущей веб-страницы. Например, для сайтов с фотографиями логично будет включить изображения, для сайтов с голосованием и форумов - скрипты, если же необходимо что-то установить прямо из браузера (только то, чему доверяете!!!) - напимер, Flash Player, или запустить какую-нибудь программу (SVGViewer, например) - тогда пойдет ActiveX.

Но сначала рекомендую протестировать страницу, ничего не включая - веб-страница может нормально работать даже когда все отключено.

[mortymer]

волков боятся - в лес не ходить...
ну переставлю я систему лишний раз...проблем то?
я еще понимаю на работе, но дома то? чего боятся? у меня там интимных фот жены нет :)))) и меня тоже :))))))))

[bazilio28]

[bazilio28]

[arch_31]

Итак, продолжим.
Многие сейсас пользуются креками и патчами для взлома программ. Делать это надо с превеликой осторожностью, а лучше вообще не делать, ибо таким образом вы рискуете либо искалечить программу (некоторые программы имеют автоматическую защиту от взлома, блокирующую некоторые ее функции в случае такового), либо получить из нее вредоноса. Если денег на лицензию нет, а прогу ой как хочется, то лучше всего будет поискать в интернете серийник к программе (правила поиска по таким сайтам изложил выше). Благо такого добра там хватает.
С русификаторами дело обстоит полегче (программный код редко затрагивается, в основном перевод строк делается на уровне ресурсов), хотя в последнее время все чаще мне попадаются русифики, которые устанавливают троянец или информер на комп. Русифицируют они что-нибудь или нет - большой вопрос, т.к. я их обычно сразу двумя волшебными кнопками отправляю в небытие. Слава Богу, у большинства из них (пока) это прописано в Лицензионном соглашени, которое, к слову, мало кто читает. Не стоит лениться. Потратив лишние 5 минут на чтение лицензии к патчу, вы хотя бы на 20% обезопасите себя.
А вот кряков, которые патчат главный файл программы, следует избегать, иначе вы рискуете дописать в программу какую-нибудь заразу и в лучшем случае получить баннер, а в худшем - отправить компьютер на помойку.

Помню, был у меня один случай в 2005 году. После покупки компа (2004 г.) взял я у брата диск с программами. Обычный такой легально-пиратский диск, коих тогда в магазинах продавалось тысячами.
Поставил себе с него антивирус-ревизор ADinf. Пропатчил прилагавшейся крякой и пользовался больше года. Прога работала как часы, исправно отлавливала вирусы, никаких нареканий не было.
Все случилось, когда я поставил себе Acronis OsSelector и Windows 2000 в качестве второй системы. Adinf переставил на нее. И вот, аккурат 25 декабря 2005 года (католическое Рождество, то бишь) проверяю винт этой программой. Проверка прошла, прога на что-то ругнулась, после чего я перезагрузил компьютер. Бац! Ан ничего не загружается - даже Акронис не выскакивает! - видимо, слетел MBR. Acronis переустановил, операционные системы он нашел, но главная из них - WinXP не грузилась - вопила об отсутствии системных файлов (хотя все они были на месте). Поднял из бэкапа загрузочные файлы, перезагрузил. Все заработало.
Проверил сам adinf антивирусом со свежими базами - ничего не нашел. Проверил диск Це на наличие ошибок.
Перезагружаюсь, снова запускаю adinf на сканирование. Ситуация повторяется. Опять делаю восстановление.
Заменил крякнутый файл бэкапом. Все работает, только регистрации просит. Ничего не слетает. Вот так пришлось мне распрощаться с ADinf-ом.

А ведь мог бы какую-нибудь модификацию Porex-а словить и тогда бы точно труба компу была! Достаточно вспомнить хотя бы, что он в свое время натворил на компах у друга в организации, когда выведенные из сторя машины приходилось штабелями на свалку тащить!

[bazilio28]

arch_31
От себя добавлю -Действительно пользоваться кейгеном это почти на 99% заполучить неприятность на комп. А выход простой - я где-то писал.Запустите кейген на виртуальной машине (сейчас есть такие,что не требуют даже перезагрузки).Запустили на ВМ -далее-перепешите на бумажку сгенерированный номер и выходите-далее заносите серийник при регистрации проги.Патчи,конечно так не дадуться.

[Ioann]

Только шо паймал за глотку и мачил в углу как фашЫста ету тварь...

, а собственно на работе тетки бухгалтеры словили очередное, но на сегодня уже не новое тварение интернед-Дрочероф, собственно ето trojan.winlock.227 - таг его обозвали на сайте дохтара въеба...

вопщемм ета тварь при загрузке ОС выводит синий экран, на каторам написсано шо типа лицензия виндрятины истегло и нуна оправить эсссэмэзна кароткий номер и типа снимут долллар и пришлюд код разблякирофки...

но не туто було: http://news.drweb.com/show/?i=304&c=5

Причеммм ни адин антизвирусняг его не виделл, даже новый лайв сиди от дохтара въеба...

ета тварь спряталась в каталоге C:\Windowd\Media\ с именем Sound.exe

но и код разблокирофки на сайте по вышеуказанной ссылке оказалсо не совсем правильныммм, собсно: install,

после ввода етого кода траян начал тормозить и удалось увидеть акно диспетчера задач и кое как удалось завершить его процессс...

[bazilio28]

Номано! А я то думаю,что у меня все спрашивают про активацию.Даже те кто имеет лицензионную версию и не имеет инета :)).В апреле эта задурка вышла и уже стока клонов и наконец-то докатилась волна до города-героя Валуйки.
Странно что в диспетчере отразился он - значит не опасный зверь и написан дилетантом,но психологически продумали сильно.
Ioann
Может в среду будем в городе и смогу передать тебе,то что обещал.а то я тут с отладчиком подзапарился.Вернее - уже вдвоём против Б Г воюем,вроде успешно,тока свет отрубают или ещё отвлечения разные - вот почти неделю бьёмся с этими шароварными нагами. Но процесс идёт успешно и крайне увлекательно :))

[Ioann]

Да тут собсно я код падсматрел на сайте дохтара веба и ввел его туда но траян не завершил сваю работу, толь лиш паявилась возможность увидеть акно вызванного диспетчера задач, тут ващще похрен есть он в диспетчере иль нет, траян сам по себе не дает добраться но диспетчера задач...

А также комп намана загружалсо в безапасном режиме... - ну скорее всего его делал каакойно начинающий дрочер...

bazilio28
С нетерпением жду Тебя в гости....

[bazilio28]

Ioann
Я вот что подумал.Интересно Др Въёб подозрительно быстро отыскал противоядие на все скины.Точно он сам и написал эту задурку. Я валяюсь - сотовая телефония под колпаком у ББ - и они,что шулера не могут посмотреть куда денюжка перетекает? Номер-то регистрируется такого рода и налоговвая о таких номерах в курсе. Сговор налицо. И никто ловить их не собирается.Им лучше пацана по мелочи засудить. Написано,что через 2 часа сам пропадает этот вирус. Это же явно дефейс - только текст подредактирован.И написан как я вижу в разных местах и вроде,как разными способами. Представляю,скока им юзвери бабок слили.

[Ioann]

bazilio28
Ну через два часа ета дрянь так и не убилась сама ап себя, точна тагже как и операционка автоматически ниразу не удалились вчера спустя сутки, ну а по поваду др-ра Въёба - ниодин антизверь ету хрень не нашеллл, ето в пользу твоего мнения с которым я всетаки соледарен...

Пробил я етот номер 6008 на каторый нуна сэсэмэзгу атасладь - енто номер запроса на рассылку игр и развлекательных приложений...

Но и другая версия тоже имеет право на существование, тут всежевероятно нашлись ламеры каторые вдуплили бабла на разблакировку, но патом адумались и им ничего не асталося как поделиться кодами разблокировки с падобными дахтарами...

либо же нашлись какието черти каторые паймали енту гадасть и раскавыряли и павыкладывали все ето в нете, я коды разблокировок падобных дрочевоф нашел еще на куче сайтов и форумов...

но ето какаято слишком невинная версия, я всеже с Тобой саледарен...

Такжея нашел шо первоисточником скринлокеров сталакакаято из страничег инструкций на webmoney, хотя если честно - то кто шчто гаварид па етаму поваду...