Перейти к содержанию

Recommended Posts

Рашевский Роман

Соглашусь с Кириллом и Паулом. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

Paul, Кирилл

На сколько мне известно продукты Norton вообще не мучают пользователей алертами.(Только если очень нужно оповестить пользователя)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Рашевский Роман
Paul, Кирилл

На сколько мне известно продукты Norton вообще не мучают пользователей алертами.(Только если очень нужно оповестить пользователя)

Да, и это одно из преимуществ продуктов Norton. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Нортон просто осознаёт, что вы САМИ поместили файл wcx_ftp.ini в папку Windows. Это ВАШ файл, и он не связан никак со системой, или с какими-нибудь программами. Файл изолирован, так сказать, и вероятность того, что такой файл ещё существует в мире на одном компе в том же месте - очень низкая.

Паул, в этом файле тотал_коммандер хранит пароли на фтп доступы с незапамятных времен и по наши дни ;)

Хотя, заметьте, это Вы сказали про мониторинг обращений к такому файлу - я лишь указывал на то, что нужно детектить редактирование стартовой страницы т.к рейтинг опасности довольно высокий - нет видимых окон, делает обращение к файлу в системной папке и считывает оттуда данные, затем изменяет стартовую страницу и завершает свою работу - был бы эмулятор - файл бы получил SR 100 c криками "спасите кто может это троян.генерик"

(это если анализ комплексный и в "уме" у антивируса, а если просто поведенческий блокиратор (аля кис7), то получим просто предупреждение о редактировании стартовой страницы - и запрос разрешить/запретить, естественно, с выводом подробной информации об активности процесса).

Защита домашной страницы IE надо в Нортоне традиционно вручную задать

не. это и так понятно. разговор идет про дефолтные настройки.

Спрашивается почему - потому что анализ спама очень многогранен, учитывается большое количество факторов, то же самое думаю и с SONAR

выше, отвечая Паулу, я тоже упомянул про комплексный анализ - что же еще файлу нужно делать, что бы комплексный анализ признал в нем малваре. неужели дрова ставить через scmanager?:)

Да, и это одно из преимуществ продуктов Norton.

с такими вот "преимуществами" есть угроза остаться без паролей на все фтп доступы к сайтам как минимум. сами видите: в лик-тесте считывание идет строк из файла, но в линк помещается только строка с одним паролем, но никто не мешает формировать линк из наборов логинов и пассов ВСЕХ которые есть в этом файле и гет запросом передать на хост.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

priv8v

с такими вот "преимуществами" есть угроза остаться без паролей на все фтп доступы к сайтам как минимум. сами видите: в лик-тесте считывание идет строк из файла, но в линк помещается только строка с одним паролем, но никто не мешает формировать линк из наборов логинов и пассов ВСЕХ которые есть в этом файле и гет запросом передать на хост.

Пока что мало у кого в мире были проблемы с этим.

У меня даже вируса ни одного не прошло(проверялся четырьмя сканнерами).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
У меня даже вируса ни одного не прошло(проверялся четырьмя сканнерами).

это показатель защиты нортона? а у меня антивирус калинина - и тоже вирусов нет. (иными словами у меня не стоит авер).

Пока что мало у кого в мире были проблемы с этим.

мы с Вами ведь работаем не в отделе статистики и не ведем учет сколько существует малваре, юзающих такой способ передачи конф. данных.?) :rolleyes:

лик-тест написан - лик-тест провален. пароли на фтп прекрасно уплывают к доброму дяде на хост. что еще нужно?..

Если хотите - я запрошу у Олега статистику по таким малваре. Но это не важно - вендоры кричат по детектирование еще более редких способов передачи конф. данных, а про такой "боян" начинают говорить, что это видите ли "спорно" :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Паул, в этом файле тотал_коммандер хранит пароли на фтп доступы с незапамятных времен и по наши дни ;)

Oops... А этого я не знал... Я не работал с ним. А доступ он туда сам не блокирует?! Неудивительно тогда, что столько сайтов взломается; надо быть идиотом, чтобы пароль сохранить в файле, который открывается блокнотом... Хоть в формате .jpg, но не в формате .ini же? Это отменяет, естественно, то, что сказал - дыра серьёзная, очень даже серьёзная.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
А доступ он туда сам не блокирует?!

нет конечно:)

Это отменяет, естественно, то, что сказал - дыра серьёзная, очень даже серьёзная.

Да много какие приложения хранят свои пароли просто в файлах, которые с помощью блокнота можно удобно изучать:)

Просто неохота кодить лик-тест, который будет аналогом пинчу, но только отправлять будет все в строке и методом GET - за такое и по шапке от админа получить можно, да и лениво это - все равно скажут, что это "спорно" :)

PS: не нужно думать, что я пришел сюда опускать нортон в виду того, что я засланец другой АВ компании. Я просто пытаюсь обтачивать окружающий мир под свое понимание оного:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Да много какие приложения хранят свои пароли просто в файлах, которые с помощью блокнота можно удобно изучать:)

А некоторые называют меня параноиком... Я даже не предполагал, что такое возможно в таких программах как Total Commander... Я-то думал, что уже давно перешли на MD5 хэш... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

нет. там не мд5. естественно кое-как он убого зашифрован, но скармливаем это дело т.н парсеру и все...

можно написать его: он будет заточен под формат присылаемых пассов и будет работать в связке с чем-нибудь типа мульти_пассворд_рекавери.

все это дело запросто поставить на поток...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

priv8v

p2u

На моем компьютере нет Тотал коммандера. Все пароли сам вводит Identity Safe. Тест то, действительно спорный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
На моем компьютере нет Тотал коммандера.

Зато он есть у многих, которые с его помощью сливают контент на свои сайты, которые мы потом посещаем... Таким образом и заражаются сайты - как только админ пароль достали таким глупым образом, могут с этим сайтом всё, что угодно делать.

P.S.: Надеюсь, что вы понимаете, что не атакуется ваш продукт, а развивается мышление о том, что такое - защита. Эта проблема относится ко многим продуктам безопасности... Всё, что не в базах или себя не слишком подозрительно ведёт по определению 'хорошо'... Причём, часто такие трояны самоуничтожаются - вы будете ещё и не знать, что он был...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

p2u

Есть такой антивирус, G DATA.

У него процент нахождения вирусов 99,8%.

Самый высший показатель. Врятли какой то мега-троян проскочит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
На моем компьютере нет Тотал коммандера. Все пароли сам вводит Identity Safe. Тест то, действительно спорный.

чем спорный? понимаете, таким способом можно передавать ЛЮБУЮ инфу - скажите адрес и я средствами С++ вытащу что нужно откуда нужно.

В таком случае и пинча нужно признать спорным - т.к он у Вас не сможет украсть пароли, т.к он не умеет обрабатывать Identity Safe.

Налицо следующее: с компьютера под защитой НИС 2009 в интернет свободно можно отправить определенные данные (зависит от цели - нужно что-то откуда-то считать и отправить).

Попробуйте оспорить выделенное жирным шрифтом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

priv8v

Хотелось бы увидеть этого мега-трояна.

Лично я не заметил у себя никаких утечек. Да и знакомые не паникуют.

Об этом мало кто знает, и, видимо не стремиться пользоваться.

В любом случае от кражи идентификационных данных в NIS и Norton 360 самая лучшая защита.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Есть такой антивирус, G DATA.

У него процент нахождения вирусов 99,8%.

Самый высший показатель. Врятли какой то мега-троян проскочит.

Надо именно опасаться этих 0.2%, которые он НЕ ловит. На Windows, ВСЕ имеют права чтения, а сама ОС ведёт себя как проститутка - со всеми готова... Меня поражает, какие права исполнительные файлы имеют в этой ОС. Потом, 1 бит изменить в файле известного трояна, и он по базам уже не познаётся...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Хотелось бы увидеть этого мега-трояна.

под 273 статью меня подводим?:)

никаких троянов - только лик-тесты. скажите по какому адресу лежит какая-то ценная инфа (пароль и т.д) и можно в лик-тест сунуть возможность считывать из этого места.

Что значит мега-троян? я же написал - пинч! - для вас не опасен, но тем не менее один из самых эрудированных psw-троев общего назначения. Значит на него можно забить болт только из-за того, что Вам и вашим знакомым он не опасен?

Лично я не заметил у себя никаких утечек. Да и знакомые не паникуют.

а откуда они появятся? я тоже у себя утечек не заметил информации.

Об этом мало кто знает, и, видимо не стремиться пользоваться.

согласен. про передачу инфы таким образом через гет-запрос, путем редактирования стартовой страницы в осле мало кто знает. но я знаю. и Вы знаете. и кто-то еще знает... в общем много людей знают про это.

В любом случае от кражи идентификационных данных в NIS и Norton 360 самая лучшая защита.

кража идентификационных данных? это новое направление в хакинге))

не нужно кидаться словами - все должно быть подтверждено и аргументировано. о том, чего нельзя показать/доказать не нужно говорить - называть какой-то антивирусный продукт лучшим мягко говоря не умно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Agent

priv8v

Где это вы увидели возгласы "NORTON THE BEST!!!!!!!!!!!!!!!!!!!!"(Или что-то подобное?)

За подобными лозунгами Вам на форум одной известной, российской АВ-Компании. Только первое слово будет изменено конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skeptic

Интересно, будет ли эффективны в данном случае хипсы типа Malware Defender или RTDPro?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Интересно, будет ли эффективны в данном случае хипсы типа Malware Defender или RTDPro?

Зависит, какие там настройки, конечно, но думаю, что да, но только если вы запретите запуск при первом же алерте. В крайнем случае он ещё алерт даст при изменении стартовой страницы, но потом уже всё...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер

Agent ,

В любом случае от кражи идентификационных данных в NIS и Norton 360 самая лучшая защита.

Чем это не высказывание в подобном роде?))))

Кстати,кто-то говорил что ГУИ в 360 хороший - так он совсем не удобный.Компоненты не отключить те что надо,проиграл он НИС-у по ГУИ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Кстати,кто-то говорил что ГУИ в 360 хороший - так он совсем не удобный.Компоненты не отключить те что надо,проиграл он НИС-у по ГУИ.

Он просто немного на другую аудиторию ориентирован, возможно в итоге интерфейс 360 будет похож на НИС, а может и нет, пока непонятно

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Skeptic, по-моему каждый уважающий себя антивирус (если есть хипс/пдм) или отдельно такая тулза орет благим матом на редактирование настроек браузера IE. К примеру кис8 (кинул знакомому этот файл) влет дает моему элементарному лик-тесту "кличку" HEUR:Trojan.Win32.StartPage :)

Где это вы увидели возгласы "NORTON THE BEST!!!!!!!!!!!!!!!!!!!!"(Или что-то подобное?)

подобное - про лучшую защиту от кражи "идентификационных" данных - т.е лучший по какой-то части. а это очень спорно - нужно рассматривать все в совокупности. допустим простой пример: допустим у продукта Х самозащита не очень хорошая, а вот фаервол - лучший. Тогда вывод прост - "убиваем" этот продукт и общаемся с инетом до посинения...

Также и здесь - не мытьем, так катаньем.

И еще - все эксперты молчат, т.к не знают как себя повести в виду того, что им не встречались ITW-образцы, которые вот таким образом тырят пассы, но детектировать редактирование стартовой в осле принято, но не мешать домохозяйкам читать вконтакте - тоже теперь принято - поэтому все молчат.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Guest Просто_Юзер
Он просто немного на другую аудиторию ориентирован, возможно в итоге интерфейс 360 будет похож на НИС, а может и нет, пока непонятно

Да информация о компонентах сразу "у меня под рукой" да и о загрузке обновлей хорошая статистика,видно что и где и сколько скачало,хоть немного,а кстати,отдельные утилиты есть от Симантек-а?Которые реализованы в 360?Там чистка тем.файлов или дефрагментация?А то я тогда так и не успел отдефрагментировать.А триал наверно закончился.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
Skeptic, по-моему каждый уважающий себя антивирус (если есть хипс/пдм) или отдельно такая тулза орет благим матом на редактирование настроек браузера IE. К примеру кис8 (кинул знакомому этот файл) влет дает моему элементарному лик-тесту "кличку" HEUR:Trojan.Win32.StartPage :)

Неужели? ;) Ну, раз вы здесь, может вы заодно объясните, почему Касперский не всегда орёт в таких случаях? StartPage или Как Отыскать Истину. Тема о том, почему игровые диски, которые меняют стартовую страницу (без разрешения пользователя!) на apeha.ru не определяются именно как HEUR:Trojan.Win32.StartPage (Доктор Веб определяет). И почему, если стартовую страницу менять с помощью javascript он орёт, а если с vbs-script - нет. На свой запрос о том, чтобы добавить игрушку в базы до сих пор ответа не получал...

(Это не первоапрельская шутка ;))

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×