Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Вт Апр 13 2004 09:41 Заголовок сообщения: Вопрос по компьютерной биологии: Как размножаются черви? |
|
|
У меня интересный вопросец: как всё-таки размножаются черви и прописываются у нас трояны. Вроде как это удалённая машина, прав на её использование ни у кого нет, только что фаерволл не стоит. Вдруг прилетает злющий червь... Как? Кто в курсе? Может, Делфовый сырец такой радости кто-то предложит?
Почему такой вопрос: мне сказали, есть утилитка, которая позволяет в ЛАНе, при нерасшаренных дисках получать к ним контроль, а также редактировать реестр, вроде как запускать проги и т.д. Т.е. получать контроль над компом. Посему интетеруюсь механизмом работы. Кстати, если кто знает чего-то о такой туле, скиньте название и ссылочку (если мне тут лапши на уши не навешали)... _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Апр 13 2004 10:24 Заголовок сообщения: Re: Вопрос по компьютерной биологии: Как размножаются черви? |
|
|
[quote="--= Eagle Вдруг прилетает злющий червь... [/quote]
Про червей - на АВП почитай...
Цитата: | Т.е. получать контроль над компом. |
Поищи проги на сайтах. По описанию... Вроде есть и такие. Но все зависит от системы, ее настройки, рук настройщика и расположения звезд на небе... _________________ Удачи! |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Вт Апр 13 2004 10:41 Заголовок сообщения: |
|
|
Там характеристику пишут. А сырец?
Цитата: | Поищи проги на сайтах. По описанию... Вроде есть и такие. Но все зависит от системы, ее настройки, рук настройщика и расположения звезд на небе... |
Я уже искал. Пока начего не нарыл. Относительно звёзд на небе - это не поможет. А что руки у юзверей очень часто кривые, это я в курсе. _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
watcher Гость
|
Добавлено: Вт Апр 13 2004 11:19 Заголовок сообщения: |
|
|
Что же вас так удивляет??
Причины появления всяких "злыдней"
1. Всем известные "дыры" в броузерах + отсутствие и пренебрежение установки Seсurity updates
2.Cookies никто еще не отменял+работа приложений с правами Local System
3.Пренебрежение тех же админов в вопросах безопасности
(работа в Инете и т.д под учеткой админа)
4.Если стоит Firewall - это уже хорошо,но его еще надо нормально настроить
5.Стоит антивирусное ПО (многие просто забывают или не хотят обновлять ант. базы) очень редко используют связку из нескольких антивирусов. Некоторые его устанавливают,но не пользуются
6.К анализу рисков безопасности и т.д относятся с пренебрежением
(думают - что это их минует....)
7.Отсутствие опыта и желания разобраться в причинах(падения системы,взлома,неработоспособности приложенией и т.д)
Зачем??? проще все свалить на дядю Билла и сказать что Microsoft отстой и т.д. Многие,в том числе и админы, не разбираясь в причинах падения ОС и т.д,форматнут тачку,зальют Ось и работают дальше.....
и многое другое.....
есть тут над чем поразмыслить!
Вот например: вы какие анализаторы безопасности используете???? |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Вт Апр 13 2004 11:36 Заголовок сообщения: |
|
|
watcher'у
Ты ответил не по теме. Я спрашивал сырец трояна/червя, а не как с этой шнягой бороться, тут я сам в курсе. А ещё я спрашивал тулу, которая может такие фишки выкидывать, и вообще я ничего на Билла не валю.
О вопросе, чего я чаще всего юзаю: nmap, iptools, portscan, tcpview. _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
watcher Гость
|
Добавлено: Вт Апр 13 2004 12:10 Заголовок сообщения: |
|
|
как раз по теме я вам ответил! я же не знаю в курсе чего вы бываете.
насчет того откуда берутся черви и трояны.....
а насчет "сырца" - вы бы так активно не кричали бы,а то найдутся "добрые люди" зашлют и исходники и исполняемые файлы..
и как вы уже давно всех отправляете на поиск
в том же Google наберите строчку, думаю пару сотен ссылок вам хватит.
насчет программ: увидел только один анализатор безопасности! |
|
Вернуться к началу |
|
|
совсем незнакомый
Зарегистрирован: 24.12.2003 Сообщения: 183 Откуда: Israel
|
Добавлено: Вт Апр 13 2004 14:33 Заголовок сообщения: |
|
|
--= Eagle =-- писал(а): | watcher'у
Ты ответил не по теме. Я спрашивал сырец трояна/червя, а не как с этой шнягой бороться, тут я сам в курсе. А ещё я спрашивал тулу, которая может такие фишки выкидывать, и вообще я ничего на Билла не валю.
О вопросе, чего я чаще всего юзаю: nmap, iptools, portscan, tcpview. |
среди твоего арсенала не видно гугля. а жаль.
все черви работют по принципу: что можно сделать ручками, можно сделать автоматически.
рождение:
1. есть дырка.
2. кто-то учится как её использовать.
3. кто-то - автоматизирует этот процесс.
вот вам и червь.
есть сайты с сорсами вирей. надо - гугли.
обычно черви пишутся не на одном языке а на перемешке -
какой нить скриптовой язык + бинарный код какой-нить оболочки [cmd.exe, /bin/sh ], иногда на ассембли.
удачи... |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Вт Апр 13 2004 14:51 Заголовок сообщения: Совсем незнакомому |
|
|
Как рождаются черви я и так знаю. Меня интересует, как они распространяются. Я сидел и читал доку, а ко мне постучалась какая-то гадость, которую Касперских на месте и прихлопнул, даже ничего и не спросив (я так настроил). Но ведь пришло! Правда, тогда файрвола небыло (на ту машину мне было плевать - на ней ничего небыло, а антивирь туда поставил чтоб заразу по сети не разносила). Вот и вопрос: как же они распространяются. А почему меня это интересует - см. тему _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Ср Апр 14 2004 12:09 Заголовок сообщения: Re: Совсем незнакомому |
|
|
--= Eagle =-- писал(а): | Вот и вопрос: как же они распространяются. |
Ну и что, на АВП никак не намекали как они плодятся и размножаются? _________________ Удачи! |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Ср Апр 14 2004 13:45 Заголовок сообщения: |
|
|
Fignya tam kstati skazat' na etom vashem kasperskom!
Ispol'zovat'-to tam ni4ego nizzya , potomu 4to ni4ego ne konkretiziruyut |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Ср Апр 14 2004 14:24 Заголовок сообщения: |
|
|
Anonymous писал(а): | Fignya tam kstati skazat' na etom vashem kasperskom!
Ispol'zovat'-to tam ni4ego nizzya , potomu 4to ni4ego ne konkretiziruyut |
Что-то я там читал, но, разумеется, там будут относительно "общие фразы" без подробностей.
Попробуй через поиск. "Погугли", как ты сам выражаешься! _________________ Удачи! |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Ср Апр 14 2004 15:10 Заголовок сообщения: :-(( |
|
|
Гугол штука хорошая, да только я тут как нагуглил... то сотни тысяч ссылок, то пару штук и ничего толкового... Посему и в Форум я обращаюсь. А на Касперском действительно только скромное описание. Постоянно посылают на Мелкософт, там, дескать, в бюллетнях, почитай. И тоже нифига толкового настолько, чтобы можно было расценить, как полезная информация в данном разрезе. Посему задал вопрос на этот форум - может, кто сталкивался/интересовался/пользовался и т.п. Вроде, нет. А советую я Гугл только после того, как убедился, что в нём можно всё найти без головной боли и перелопачивания гигабайт информации. Да, если кто сумеет сформировать Гугловый запрос, по которому можно быстро найти искомое, напишите сюда, ибо я уже, кажись, всё перепробовал _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Чт Апр 15 2004 10:01 Заголовок сообщения: Re: :-(( |
|
|
--= Eagle =-- писал(а): | Гугол штука хорошая, да только я тут как нагуглил... |
Попробуй по всяким хакерским сайтам пошарить, там может и поподробнее будет.
А вообще, никто тебе это "разжевывать", я думаю, не будет. Тема не самая легкая, как я понимаю. Поэтому, я бы действовал так, если бы действительно хотел разбраться:
- взял бы описание конкретного вируса;
- по нему орпеделил бы как он действует в общих чертах (какие дыры, уязвимости и в чем использует или что-то вроде того);
- поискал бы описание дыры (например, переполнение буфера), т.е. на чем основана недоработка;
- по этому описанию определил бы механизм действия данного элемента дырявого приложения/системы (например, как работает буфер);
- на базе этого, попытался бы разобраться в недоработках, т.е. как получается сама уязвимость (например, отчего в этом механизме происходит переполнение буфера);
- после этого, думаю, все бы стало понятно.
Но это процесс трудоемкий. Зато, потом сам сможешь сделать, что пожелаешь! Правда, перед этим придется пройти тем же путем в области программирования...
А потом... Будешь гонять окошки и пингвинов с демонами как детей малых! ) И сами БГ со Страуструпом приедут к тебе на поклон: "не ломай", мол! Прикинь! Или посодють! Дальше расписывать?
Таково МОЕ видение сей проблемы. Кто может, пусть увидит лучше! _________________ Удачи! |
|
Вернуться к началу |
|
|
marmax
Зарегистрирован: 15.04.2004 Сообщения: 14
|
Добавлено: Чт Апр 15 2004 10:50 Заголовок сообщения: |
|
|
Посмотри в логах касперского,что за вирь он поймал,запиши имечко и пробей.По более менее известным даны точные характеристики или почитай К.все того же касперского. |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Чт Апр 15 2004 11:03 Заголовок сообщения: :)) |
|
|
Спасиб, ребят На хацкерских сайтах я и так постоянно лажу, только пока я там ответ на этот свой вопрос не нашёл . Программлю я довольно грамотно, так что тут можно не беспокоиться . Посмотреть, какой вирь ко мне тогда пришёл уже не могу - той машины, за которой я сидел, здесь уж нет давно , я заместо неё новенькую получил. А тут файрвол грамотно настроен, ко мне ещё ни один вирь из сети не пытался постучаться, а Инетовская шняга, которая ко мне пыталась пробраться, имела немного другие методы распространения, посему это меня не заинтересовало. К Касперу заходил, там чител про всякие трояны и как они туда-сюда просачиваются. Нифига толкового настолько, чтобы это можно было использовать в практике. Вобщем, я это дело так всё равно не оставлю. Наш девиз - "Бороться, искать, найти и перепрятать!". _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003 Сообщения: 415 Откуда: Moscow
|
Добавлено: Сб Апр 17 2004 21:15 Заголовок сообщения: |
|
|
Простейший пример.
Вирус посылается в такой форме, что почтовая программа (обычно OutLook) воспринимает его как часть письма, которую надо сразу отобразить; иногда червяк содержит такой текст, чтобы заставить юзера открыть вложение. В результате при просмотре письма (сразу или по команде юзера) запускается EXE-код программы червяка.
Программа читает адресную книгу (код аналогичен коду OutLook) и рассылает себя по всем адресам из неё (код аналогичен коду OutLook для рассылки через Relay или несколько иной для прямой рассылки). _________________ Благословен Бог, сотворивший меня сисадмином! |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Пн Апр 19 2004 15:46 Заголовок сообщения: Cool :( |
|
|
А теперь объясни конкретно на своём простейшем примере - где та строчка кода, где вирус производит это действие, или какой бэкдор используется с его полной характеристикой, описанием, на каких Виндах он работает (меня интересует, чтоб он работал и под ХР, кстати), какой патч его "лечит" и пр. Ты же всего этого не написал в своём посте . Это не наезд, а просто просьба внимательнее вчитываться в предыдущие посты. А принцип, как это делается я и так знаю.
З.Ы. Всё, что активируется ч-з почту меня, если чесно, не очень интересует. Почему? Это не связано с задачей, которая мною перед собой поставлена (она описана ранее).
З.З.Ы. А вообще, спасибо за то, что заинтересовался _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003 Сообщения: 2206 Откуда: Москва
|
Добавлено: Вт Апр 20 2004 10:30 Заголовок сообщения: Re: Cool :( |
|
|
--= Eagle =-- писал(а): | Это не наезд, а просто просьба внимательнее вчитываться в предыдущие посты. |
Ты мой пост последний для начала прочти! Я же писал, что разжевывать это достаточно сложно и мало кто это будет делать вообще, а , тем более, на этом сайте (самим сеь\бе яму копать - увольте!).
Цель, которую ты перед собой поставил (знать как..) ОЧЕНЬ хорошая, но пойми, за 20 минут ее не достигнешь. К моему же великому сожалению. Так что.... _________________ Удачи! |
|
Вернуться к началу |
|
|
xt
Зарегистрирован: 17.12.2002 Сообщения: 557 Откуда: Донецк, UA
|
Добавлено: Ср Апр 21 2004 15:18 Заголовок сообщения: |
|
|
Непонятно что конкретно тебя интересует. Как распрстраняются черви?
Уже ответили - это дыры в ПО2, и дыры в головах пользователей (активно трояны используют, поэтому и называются так).
А конкретный пример вот тебе - MSBlast. Уязвим 445 порт
MS RPC - переполнение буфера и системные привелегии как результат.
как защитится? Вперёд на майкрософт.ком.
Что он может выполнять(и вообще черви/вирусы)? Ты же программист емоё, тебе ли не знать чо может делать программа!!! Если сильно интересно почитай МСДН или МАН на предмет доступных возможностей, нужен реестр - На здоровье, запуск програм - да пожалуйста!
А может тебе просто Клез в расшаренную папку постучался? |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Ср Апр 21 2004 17:00 Заголовок сообщения: |
|
|
xt писал(а): | Непонятно что конкретно тебя интересует. Как распрстраняются черви?
Уже ответили - это дыры в ПО2, и дыры в головах пользователей (активно трояны используют, поэтому и называются так).
А конкретный пример вот тебе - MSBlast. Уязвим 445 порт
MS RPC - переполнение буфера и системные привелегии как результат.
как защитится? Вперёд на майкрософт.ком.
Что он может выполнять(и вообще черви/вирусы)? Ты же программист емоё, тебе ли не знать чо может делать программа!!! Если сильно интересно почитай МСДН или МАН на предмет доступных возможностей, нужен реестр - На здоровье, запуск програм - да пожалуйста!
А может тебе просто Клез в расшаренную папку постучался? |
Жаль, что ты так старнно посты читаешь... Меня интересует только то, как они распространяются, но чтобы объяснения были конкретные...
Кстати, пока тут у некоторых на раблте вирусные эпидемии, у меня комп чист, как стёклышко . Выводы можешь не делать... _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
xt
Зарегистрирован: 17.12.2002 Сообщения: 557 Откуда: Донецк, UA
|
Добавлено: Чт Апр 22 2004 08:25 Заголовок сообщения: |
|
|
Меня интересует только то, как они распространяются, но чтобы объяснения были конкретные...
Тебя устроит ответ что все распространяются по разному?
Если хочешь конкретных объяснений конкретизируй и вопрос, типа "Мне интересно как распространяются почтовые черви (трояны итд.)".
А то так вопрос чем-то напоминает всем известный "Как взломать интернет". |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Чт Апр 22 2004 09:57 Заголовок сообщения: Ладно :) |
|
|
Меня конкретно интересует, как на комп может пролезть червяк, если на компе стоит голая WinXP SP1, толком не отконфигурированая, без файрволов и прочей радости. На машине нет расшаренных папок, но она видна в сети. Нужно хорошое описание, как это делают два-три червя (разными методами, естессно). Теперь, надеюсь, я ясно изъяснился? _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
xt
Зарегистрирован: 17.12.2002 Сообщения: 557 Откуда: Донецк, UA
|
Добавлено: Чт Апр 22 2004 11:26 Заголовок сообщения: |
|
|
я 90% уверен что это был Бласт (почитай выше за него или в инете описание). Для заражения достаточно открытого порта непропатченной машины.
Как распространяется? Через дырявый РПЦ, переполняет буфер и <_см. на www.google.com_>
Потом сканирует текущую подсеть (возможно также доступные через роутер подсети, в этом не уверен) на предмет уязвимых машин, заражает и цикл повторяется.
оставшееся 10% это возможно вирусы использующие др. критические дыры в винде (их было море за последние месяцев 6-7).
Антивирь тут бессилен, в большинстве случаев они проверяют файлы и процессы, но не сетевой траффик. Если хочешь траффик анализировать ставь ИДС. |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Ср Май 05 2004 16:45 Заголовок сообщения: Спасибо, xt! |
|
|
Вот теперь действительно полезная информация! Кстати, тут уже упомянули ещё одну интересную ссылочку, которая мне тоже сможет пригодиться _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
|