Архив форумов ЦИТФорума

[--= Eagle =--]

У меня интересный вопросец: как всё-таки размножаются черви и прописываются у нас трояны. Вроде как это удалённая машина, прав на её использование ни у кого нет, только что фаерволл не стоит. Вдруг прилетает злющий червь... Как? Кто в курсе? Может, Делфовый сырец такой радости кто-то предложит?
Почему такой вопрос: мне сказали, есть утилитка, которая позволяет в ЛАНе, при нерасшаренных дисках получать к ним контроль, а также редактировать реестр, вроде как запускать проги и т.д. Т.е. получать контроль над компом. Посему интетеруюсь механизмом работы. Кстати, если кто знает чего-то о такой туле, скиньте название и ссылочку (если мне тут лапши на уши не навешали)...
_________________
Информация должна быть общедоступной!

[Алекс]

[quote="--= Eagle Вдруг прилетает злющий червь... [/quote]
Про червей - на АВП почитай...

[--= Eagle =--]

Там характеристику пишут. А сырец?

[watcher]

Что же вас так удивляет??
Причины появления всяких "злыдней"
1. Всем известные "дыры" в броузерах + отсутствие и пренебрежение установки Seсurity updates
2.Cookies никто еще не отменял+работа приложений с правами Local System
3.Пренебрежение тех же админов в вопросах безопасности
(работа в Инете и т.д под учеткой админа)
4.Если стоит Firewall - это уже хорошо,но его еще надо нормально настроить
5.Стоит антивирусное ПО (многие просто забывают или не хотят обновлять ант. базы) очень редко используют связку из нескольких антивирусов. Некоторые его устанавливают,но не пользуются
6.К анализу рисков безопасности и т.д относятся с пренебрежением
(думают - что это их минует....)
7.Отсутствие опыта и желания разобраться в причинах(падения системы,взлома,неработоспособности приложенией и т.д)
Зачем??? проще все свалить на дядю Билла и сказать что Microsoft отстой и т.д. Многие,в том числе и админы, не разбираясь в причинах падения ОС и т.д,форматнут тачку,зальют Ось и работают дальше.....

и многое другое.....
есть тут над чем поразмыслить!
Вот например: вы какие анализаторы безопасности используете????

[--= Eagle =--]

watcher'у
Ты ответил не по теме. Я спрашивал сырец трояна/червя, а не как с этой шнягой бороться, тут я сам в курсе. А ещё я спрашивал тулу, которая может такие фишки выкидывать, и вообще я ничего на Билла не валю.
О вопросе, чего я чаще всего юзаю: nmap, iptools, portscan, tcpview.
_________________
Информация должна быть общедоступной!

[watcher]

как раз по теме я вам ответил! я же не знаю в курсе чего вы бываете.
насчет того откуда берутся черви и трояны.....
а насчет "сырца" - вы бы так активно не кричали бы,а то найдутся "добрые люди" зашлют и исходники и исполняемые файлы..
и как вы уже давно всех отправляете на поиск
в том же Google наберите строчку, думаю пару сотен ссылок вам хватит.
насчет программ: увидел только один анализатор безопасности!

[совсем незнакомый]

[--= Eagle =--]

Как рождаются черви я и так знаю. Меня интересует, как они распространяются. Я сидел и читал доку, а ко мне постучалась какая-то гадость, которую Касперских на месте и прихлопнул, даже ничего и не спросив (я так настроил). Но ведь пришло! Правда, тогда файрвола небыло (на ту машину мне было плевать - на ней ничего небыло, а антивирь туда поставил чтоб заразу по сети не разносила). Вот и вопрос: как же они распространяются. А почему меня это интересует - см. тему
_________________
Информация должна быть общедоступной!

[Алекс]

[Гость]

Fignya tam kstati skazat' na etom vashem kasperskom!
Ispol'zovat'-to tam ni4ego nizzya , potomu 4to ni4ego ne konkretiziruyut

[Алекс]

[--= Eagle =--]

Гугол штука хорошая, да только я тут как нагуглил... то сотни тысяч ссылок, то пару штук и ничего толкового... Посему и в Форум я обращаюсь. А на Касперском действительно только скромное описание. Постоянно посылают на Мелкософт, там, дескать, в бюллетнях, почитай. И тоже нифига толкового настолько, чтобы можно было расценить, как полезная информация в данном разрезе. Посему задал вопрос на этот форум - может, кто сталкивался/интересовался/пользовался и т.п. Вроде, нет. А советую я Гугл только после того, как убедился, что в нём можно всё найти без головной боли и перелопачивания гигабайт информации. Да, если кто сумеет сформировать Гугловый запрос, по которому можно быстро найти искомое, напишите сюда, ибо я уже, кажись, всё перепробовал
_________________
Информация должна быть общедоступной!

[Алекс]

[marmax]

Посмотри в логах касперского,что за вирь он поймал,запиши имечко и пробей.По более менее известным даны точные характеристики или почитай К.все того же касперского.

[--= Eagle =--]

Спасиб, ребят На хацкерских сайтах я и так постоянно лажу, только пока я там ответ на этот свой вопрос не нашёл . Программлю я довольно грамотно, так что тут можно не беспокоиться . Посмотреть, какой вирь ко мне тогда пришёл уже не могу - той машины, за которой я сидел, здесь уж нет давно , я заместо неё новенькую получил. А тут файрвол грамотно настроен, ко мне ещё ни один вирь из сети не пытался постучаться, а Инетовская шняга, которая ко мне пыталась пробраться, имела немного другие методы распространения, посему это меня не заинтересовало. К Касперу заходил, там чител про всякие трояны и как они туда-сюда просачиваются. Нифига толкового настолько, чтобы это можно было использовать в практике. Вобщем, я это дело так всё равно не оставлю. Наш девиз - "Бороться, искать, найти и перепрятать!".
_________________
Информация должна быть общедоступной!

[Dmitry.Karpov]

Простейший пример.

Вирус посылается в такой форме, что почтовая программа (обычно OutLook) воспринимает его как часть письма, которую надо сразу отобразить; иногда червяк содержит такой текст, чтобы заставить юзера открыть вложение. В результате при просмотре письма (сразу или по команде юзера) запускается EXE-код программы червяка.

Программа читает адресную книгу (код аналогичен коду OutLook) и рассылает себя по всем адресам из неё (код аналогичен коду OutLook для рассылки через Relay или несколько иной для прямой рассылки).
_________________
Благословен Бог, сотворивший меня сисадмином!

[--= Eagle =--]

А теперь объясни конкретно на своём простейшем примере - где та строчка кода, где вирус производит это действие, или какой бэкдор используется с его полной характеристикой, описанием, на каких Виндах он работает (меня интересует, чтоб он работал и под ХР, кстати), какой патч его "лечит" и пр. Ты же всего этого не написал в своём посте . Это не наезд, а просто просьба внимательнее вчитываться в предыдущие посты. А принцип, как это делается я и так знаю.
З.Ы. Всё, что активируется ч-з почту меня, если чесно, не очень интересует. Почему? Это не связано с задачей, которая мною перед собой поставлена (она описана ранее).
З.З.Ы. А вообще, спасибо за то, что заинтересовался
_________________
Информация должна быть общедоступной!

[Алекс]

[xt]

Непонятно что конкретно тебя интересует. Как распрстраняются черви?
Уже ответили - это дыры в ПО2, и дыры в головах пользователей (активно трояны используют, поэтому и называются так).

А конкретный пример вот тебе - MSBlast. Уязвим 445 порт
MS RPC - переполнение буфера и системные привелегии как результат.
как защитится? Вперёд на майкрософт.ком.
Что он может выполнять(и вообще черви/вирусы)? Ты же программист емоё, тебе ли не знать чо может делать программа!!! Если сильно интересно почитай МСДН или МАН на предмет доступных возможностей, нужен реестр - На здоровье, запуск програм - да пожалуйста!

А может тебе просто Клез в расшаренную папку постучался?

[--= Eagle =--]

[xt]

Меня интересует только то, как они распространяются, но чтобы объяснения были конкретные...
Тебя устроит ответ что все распространяются по разному?
Если хочешь конкретных объяснений конкретизируй и вопрос, типа "Мне интересно как распространяются почтовые черви (трояны итд.)".
А то так вопрос чем-то напоминает всем известный "Как взломать интернет".

[--= Eagle =--]

Меня конкретно интересует, как на комп может пролезть червяк, если на компе стоит голая WinXP SP1, толком не отконфигурированая, без файрволов и прочей радости. На машине нет расшаренных папок, но она видна в сети. Нужно хорошое описание, как это делают два-три червя (разными методами, естессно). Теперь, надеюсь, я ясно изъяснился?
_________________
Информация должна быть общедоступной!

[xt]

я 90% уверен что это был Бласт (почитай выше за него или в инете описание). Для заражения достаточно открытого порта непропатченной машины.
Как распространяется? Через дырявый РПЦ, переполняет буфер и <_см. на www.google.com_>
Потом сканирует текущую подсеть (возможно также доступные через роутер подсети, в этом не уверен) на предмет уязвимых машин, заражает и цикл повторяется.

оставшееся 10% это возможно вирусы использующие др. критические дыры в винде (их было море за последние месяцев 6-7).

Антивирь тут бессилен, в большинстве случаев они проверяют файлы и процессы, но не сетевой траффик. Если хочешь траффик анализировать ставь ИДС.

[--= Eagle =--]

Вот теперь действительно полезная информация! Кстати, тут уже упомянули ещё одну интересную ссылочку, которая мне тоже сможет пригодиться
_________________
Информация должна быть общедоступной!