Как максимально защититься от malware в windows, которых нет в антивирусных базах?

[Anmawe 5]

Но тут приходит на помощь расширение для браузера NoScript.

Отключение скриптов? Я пробовал, начинаются проблемы при просмотре многих сайтов!

Приходят в полицию всякие ИП и ООО, жалуются что с ихних счетов списали большую сумму через банк клиенты. При проверке компов следов взлома и вирусов нету. Однако ЭЦП умудрились украсть.

Акронис поможет вернуть деньги?

Не поможет. Я вообще писал про свой случай, про личный комп.

В Касперском есть компонент Контроль программ. Там можно запретить изменять/удалять персональные данные. При таких настройках никакая malware ни при каких обстоятельствах (даже запущенная с админскими правами) не сможет прочесть, изменить, удалить персональные данные? То есть тут 100 % защита от угроз, которых ещё нет в базах?

Комп заразился трояном, который ворует пароль от ICQ. Если на компе нет ICQ, то троян ничего не украдет. В данном случае троян останется вредоносной программой, несмотря на то, что он не нанес вреда? Или неважно, может ли он нанести вред или уже нанес?

Какие есть программы для распределения прав (типа Контроля программ) ? Из бесплатных желательно.

Спасибо за ответы!

[Desperado_Troll 11]

Какие есть программы для распределения прав (типа Контроля программ) ? Из бесплатных желательно.

Если брать комплексные бесплатные продукты - то например Comodo Internet Security Premium.

[Anmawe 5]

Когда проактивная зашита сообщает о том, что программа пытается перехватить данные, вводимые с клавиатуры, установить драйвер и т.д. - то как правильно поступить в данном случае? У меня такие алерты возникали на программы, скаченные с официального сайта и имеющие ЭЦП. То есть алерт такой может на любую программу появится. Только вот она может быть не зараженной, и возможно что это ложная тревога. Как узнать - ложная тревога или нет?

Вообще, антивирусы предоставляют мало информации, и сложно судить, заражена ли программа или нет. Многие видеоигры вызывают подозрение на присутствие клавиатурного перехватчика. А что там перехватывают - не сообщается.

По-вашему, проактивная защита дает достаточно информации для того, чтобы специалист определил угрозу?

[Desperado_Troll 11]

Когда проактивная зашита сообщает о том, что программа пытается перехватить данные, вводимые с клавиатуры, установить драйвер и т.д. - то как правильно поступить в данном случае? У меня такие алерты возникали на программы, скаченные с официального сайта и имеющие ЭЦП. То есть алерт такой может на любую программу появится. Только вот она может быть не зараженной, и возможно что это ложная тревога. Как узнать - ложная тревога или нет?

Вообще, антивирусы предоставляют мало информации, и сложно судить, заражена ли программа или нет. Многие видеоигры вызывают подозрение на присутствие клавиатурного перехватчика. А что там перехватывают - не сообщается.

По-вашему, проактивная защита дает достаточно информации для того, чтобы специалист определил угрозу?

Вероятно вы имели опыт работы только со старыми версиями CIS в которых не было Sandbox, которая по умолчанию включена в новых версиях.

Теперь объясню принцип работы новых версий CIS:

1) Если программа доверенная то к ней не применяется никаких ограничений, хотя в правилах можно задать ограничения и для доверенных программ.

База доверенных программ находится в облаке (также на самой машине есть база доверенных поставщиков") и достаточно обширна чтобы определить большинство легитимного софта.

2) Если программы нет в базе доверенных - она считается недоверенной, запускается в песочнице с заданными ограничениями (никаких алертов на её действия при этом нет, так как применяется виртуализация файловой системы и реестра), поведение программы в песочнице анализируется в облаке, так же происходит отправка исполняемого файла в облако на анализ. Если после анализа файла и его поведения в облаке он признан лигитимным - он автоматически переносится в доверенные и с него снимаются все ограничения.

Как видите всё происходит автоматически и без алертов (в зависимости от настроек конечно)

Абсолютную защиту не даст никакая программа, изначально Ваш вопрос был о программе для распределения прав приложений и я дал ответ в контексте этого вопроса.

[Anmawe 5]

Desperado_Troll, спасибо за ответ! Меня еще интересует случай, когда программа заражена свежим malware, и облако не поможет. То есть самостоятельный анализ программы. В данном случае одной проактивной защиты недостаточно ?

Еще вопрос - а как облако может признать программу нелигитимной? По каким признакам? Если она признает это , это ведь не факт, что данная программа 100 % заражена?

Вообще я имею ввиду програииы, требующие админские права, запрещать им нельзя, они просто не установятся.

[Desperado_Troll 11]

Desperado_Troll, спасибо за ответ! Меня еще интересует случай, когда программа заражена свежим malware, и облако не поможет. То есть самостоятельный анализ программы. В данном случае одной проактивной защиты недостаточно ?

Еще вопрос - а как облако может признать программу нелигитимной? По каким признакам? Если она признает это , это ведь не факт, что данная программа 100 % заражена?

Вообще я имею ввиду програииы, требующие админские права, запрещать им нельзя, они просто не установятся.

Если программа заражена свежим мальваре - она на пройдет по базе доверенных, так как там идет привязка по хешам, следовательно отправится в песочницу и будет запускаться с заданными ограничениями.

Большинство пользователей и я в том числе не смогут произвести самостоятельный анализ зловредности программы, поэтому лучше оставить этот вопрос вирусным аналитикам (и не переносить вручную неизвестные программы в список доверенных). А пока неопознанная программа не изучена аналитиками Comodo и не занесена в базу доверенных - она будет запускаться в песочнице, т.е. у неё практически не будет возможности навредить системе.

По каким признакам облако может заподозрить программу я точно не знаю, скорее всего по шаблонам подозрительных действий, если такие действия обнаруживаются, то программа подвергается наверно более тщательному изучению, а нелегитимной или легитимной признаёт её уже аналитик на основе анализа.

Неизвестные программы требующие права администратора устанавливаются без проблем, так как по умолчанию в настройках стоит галочка не изолировать в сандбокс инсталяторы. При этом в процессе установки они не смогут внести критические изменения в системе (которые заданы в правилах).

P.S.: я не сотрудник Comodo, поэтому пишу всё только на оснавании своего опыта использования продукта...

[Anmawe 5]

В Kaspersky Internet Security есть "Контроль программ" , который может защищать конкретные файлы. Если там стоит красный перечёркнутый кружочек, то никакая malware никогда не сможет навредить? Тут 100% защита, даже если зараженной программе дали админские права (то, что программа заражена, разумеется, неизвестно! Это будет известно, когда malware будет в базе) ?

Например, я запускаю кряк, кейген, NO CD/DVD , который хочет прочитать инфу из данного файла. Если доступ туда закрыт, то он это не сможет сделать ?

В банках используют такой метод защиты - есть комп, который никогда не подключается к интернету, в него не втыкают "левые" флэшки и dvd-диски. Malware там появится не может!

С другой стороны, для поль зователя такой уровень защиты преувеличен! Это примерно как поставить в продуктовый магазин охранников с автоматами в бронежилетах, вот только зачем ?

[Сергей Ильин 1538]

В Kaspersky Internet Security есть "Контроль программ" , который может защищать конкретные файлы. Если там стоит красный перечёркнутый кружочек, то никакая malware никогда не сможет навредить? Тут 100% защита, даже если зараженной программе дали админские права (то, что программа заражена, разумеется, неизвестно! Это будет известно, когда malware будет в базе) ?

Например, я запускаю кряк, кейген, NO CD/DVD , который хочет прочитать инфу из данного файла. Если доступ туда закрыт, то он это не сможет сделать ?

Справедливо при одном НО: если антивирус выживет после запуска вредоносной программы.

В банках используют такой метод защиты - есть комп, который никогда не подключается к интернету, в него не втыкают "левые" флэшки и dvd-диски. Malware там появится не может!

Увы, это не гарантирует чистоту системы. Во-первых вы не знаете точно кто и что туда втыкает, если это никак не контролируется (нет контроля портов, защиты от несанкционированного доступа в целом и т.д.). Во-вторых вредонос может туда попасть при обслуживании системы. Подумайте, как тогда заражаются, например, банкоматы. Они вообще от всего отрезаны и подключить туда так просто ничего нельзя.

[SDA 750]

В банках используют такой метод защиты - есть комп, который никогда не подключается к интернету, в него не втыкают "левые" флэшки и dvd-диски. Malware там появится не может!

http://capri.ustu.ru/banking_systems/%C3%EB%E0%E2%E0%201.htm

[Umnik 997]

sda

Что ты хотел этим сказать? Процитируй. Мало кому интересно перечитывать всю простыню, на самом деле.

[SDA 750]

sda

Что ты хотел этим сказать? Процитируй. Мало кому интересно перечитывать всю простыню, на самом деле.

Принципы безопасности в банковских операциях, если кратко:

авторизация (присвоение полномочий), идентификация (именование) и аутентификация (опознавание, подтверждение подлинности) субъектов и объектов ИБС;

криптографическое закрытие информации (шифрование и кодирование защищаемых данных);

управление доступом к ресурсам системы (механизм разграничения доступа, администрирование работы пользователей, протоколирование всех действий в системе и т.п.);

контроль целостности ресурсов системы (обеспечивается внутренними средствами контроля и управления применяемой СУБД).

Ну и конечно же электронно-цифровая подпись (ЭЦП).

Т.е. целый комплекс по защите ИБ, который еще должен соответствовать стандартам Банка России (СТО БР ИББС) «Обеспечение информационной безопасности организаций банковской системы Российской Федерации".

А тут какой то бред про методы защиты в виде неподключенного компа LOLище Лишь бы какую нибудь х...ю запостить с умным видом

[Anmawe 5]

sda, по-вашему есть защита понадежнее для домашнего юзера, чем комп, неподключаемый к инету?

Когда я про акронис писал, я не говорил, что он защитит от кражи. Я хотел сказать, если нужно запустить кряк или установить репак, то есть игру (виртуалка не подходит, там тормоза, и 3d игры не работают), то перед запуском кряка или установки репака делается бэкап системного диска. В случае поломки виндос делается откат на нужный бэкап. По мне так проще, чем сканировать, лечить. Откат 100% удалит вирусы, и известные, и новые. И сохраняется условие топика - запускать то, что нужно/хочется.

sda, по-вашему есть защита понадежнее для домашнего юзера, чем комп, неподключаемый к инету?

Когда я про акронис писал, я не говорил, что он защитит от кражи. Я хотел сказать, если нужно запустить кряк или установить репак, то есть игру (виртуалка не подходит, там тормоза, и 3d игры не работают), то перед запуском кряка или установки репака делается бэкап системного диска. В случае поломки виндос делается откат на нужный бэкап. По мне так проще, чем сканировать, лечить. Откат 100% удалит вирусы, и известные, и новые. И сохраняется условие топика - запускать то, что нужно/хочется.

sda, по-вашему есть защита понадежнее для домашнего юзера, чем комп, неподключаемый к инету?

Когда я про акронис писал, я не говорил, что он защитит от кражи. Я хотел сказать, если нужно запустить кряк или установить репак, то есть игру (виртуалка не подходит, там тормоза, и 3d игры не работают), то перед запуском кряка или установки репака делается бэкап системного диска. В случае поломки виндос делается откат на нужный бэкап. По мне так проще, чем сканировать, лечить. Откат 100% удалит вирусы, и известные, и новые. И сохраняется условие топика - запускать то, что нужно/хочется.

[Celsus 60]

Выше упоминали песочницу, а влияет ли то, запущена программа с правами администратора или без в песочнице (Comodo, KIS и sandboxie)? Перефразирую: если программа, запущенная в песочнице, запущена с высшими правами, она все равно останется в песочнице?

[Anmawe 5]

Если антивирусы будут работать по принципу белого списка - разрешаю то, что безопасно, остальное запрещаю - будет лучше или хуже ? Или выдавать пользователю табличку

- "Нет подтверждений, что программа или сайт безопасны. Вы можете запустить её/зайти на сайт на свой страх и риск" . Или

- " Нет подтверждений, что программа или сайт безопасны. Вы несете ответственность за все последствия, которые могут произойти, запуская эту программу или заходя на сайт" . Или

- " Нет подтверждений, что программа или сайт безопасны. Эта программа может/будет делать что угодно. Вы можете запустить её на свой риск" .

У Аваста есть такое, по умолчанию выключено (усиленный режим - умеренный и агрессивный режим) .

http://forum.avast.com/index.php?topic=142183.0

Будет много чего блокироваться, но тогда, наверно, эпидемий с винлоками, шифровальщиками станет очень мало.