Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Черви Вирусы Трояны: выбор антивирусной стратегии

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7

Открыть новую тему     Написать ответ в эту тему

Craftman



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Предлогаю подроьно (пошагово) разобрать методв борьбы (обнаружения удалетия  защиты и.т.д) от всевозможных напастей! А так же характерных признаков проявления.



название исправлено для вящей информативности.
dg
Всего записей: 49 | Зарегистр. 28-07-2004 | Отправлено: 18:43 17-02-2005 | Исправлено: dg, 22:36 27-02-2005
ZLOnix



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Самое простое и в то же время действенное решение: принудительно ставить антивирусы и регулярно обновлять базы. Для простоты можно использовать какое-либо корпоративное решение, у нас в сети используется TrendMicro. Ну а характерные признаки проявления у каждого вируса разные... наприме, помню был какой-то червь, который в последние дни месяца просто-напросто открывал какой-нибудь сайт с порнографией, вот такой праздник был у пользователей
Всего записей: 86 | Зарегистр. 12-11-2003 | Отправлено: 19:15 17-02-2005
MRMORGAN

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Самый главный метод - ставить антивирусное ПО и не лазить по порносайтам, ибо там можно такого нацеплять на машину что ни одно ПО не спает машину от переустановки системы.
 Ну а если уж поймал гадость какую - то отключаеш машину(ы) от сети и дооолго долго сканиш содержимое харда на наличие всякой гадости - главное маши от сети в это время отключить - а то пока сканиш - тебе еще миллион паразитов на машину закачают.
 
ПС. У меня случай был - нульцевую машину к сети подключаю что б апдейты стянуть антивирусные - так они пока скачивались - у меня машина мигом червя схватила Так что ГРАЖДАНЕ! СТАВТЕ ВОВРЕМЯ ЗАПЛАТКИ И ПЕРЕДЕЛКИ НА ВАШИ СИСТЕМЫ - и может будет вам счастье
Всего записей: 30 | Зарегистр. 13-02-2005 | Отправлено: 04:43 18-02-2005
Craftman



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Это конечно все хорошо! Но бывают случая когда Касперычь не спасает! А по загрузке процессора явно видно что что то не так! И я бы хотел рассмотреть данную тему более подробно! Например типовые ветки реестра! Процессы ну и т.д
Всего записей: 49 | Зарегистр. 28-07-2004 | Отправлено: 09:36 18-02-2005
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Антивирус штука хорошая, однако когда приходится работать с лицензионным софтом, ставить его на все компы оказывается достаточно дорогим удовольствием, тем более, что каждый год надо продлевать подписку.  
Тем более, он часто не спасает от всякой spyware.
 
Одна из вещей, которую я применяю и которая реально помогает вовремя обнаружить заражение компьютера, это логон скрипты с записью логов и их последующий анализ.
запись в LOG веток  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\
и их дальнейший анализ позволяет распознать большинство заражений.  
 
Что касается борьбы.
1. Самым первым логон скрипт запускает процедуру, которая пишет в лог указанные ветки, проверяя при этом отсутствие значений, внесенных в черный список. Если такое значение находится в ветке автозапуска, то скрипт удаляет эту запись и пытается удалить файл на диске. Если гадость не успела запустится, то это срабатывает.
 
2. Для Win9X в autoexec.bat скрипт добавляет строчку
IF EXIST C:\DELLEFT.BAT CALL C:\DELLEFT.BAT
тот же логон скрипт копирует с сервера обновленный DELLEFT.BAT на диск C
пример DELLEFT.BAT
@ECHO OFF
IF EXIST C:\WINDOWS\SYSTEM\ss.exeDEL C:\WINDOWS\SYSTEM\ss.*
IF EXIST C:\WINDOWS\SYSTEM\dss.dllDEL C:\WINDOWS\SYSTEM\dss.dll
IF EXIST C:\WINDOWS\SYSTEM\dssa.dllDEL C:\WINDOWS\SYSTEM\dssa.dll
IF EXIST C:\autoexec.htaDEL C:\autoexec.hta
 
если в системе появляется вирус или какая-нибудь другая гадость, то я просто обновляю DELLEFT.BAT, при логон скрипте он копируется на локальный комп и при следующей перезагрузке он просто физически удаляет гадость
 
Добавлено:
еще одна вешь, которая помогает распознавать гадость
http://www.sysinfo.org/startuplist.php
очень большой список программ, которые могут встречаться в ветках автозапуска
 
там же есть и огромный CLSID List
 
эти списки в виде текстовых фалов можно взять из программы SpyBot
Startup.tnfo
CLSIDs.tnfo
они обновляются при скачивании обновлений
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 10:12 18-02-2005 | Исправлено: AlexSSS, 10:30 18-02-2005
fdwl



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
IMHO лучший способ удалить ЛЮБОЙ троян это ProcessExplorer+autoruns от http://sysinternals.com
Всего записей: 67 | Зарегистр. 15-04-2003 | Отправлено: 11:02 18-02-2005
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Полностью согласен с AlexSSS. Я как то прикинул возможный ущерб, который может нанести фирме заражение вирусом клиентских машин. Он оказался существенно меньше стоимости антивирусного ПО. А сервера у нас защищены по определению, т.к. не имеют выхода в интернет, на них своевременно ставятся заплатки от MS (впрочем как и на все клиентские машины) и пользователи работают на них исключительно терминально с очень ограниченными правами. Поэтому у нас в сети вообще нет официального антивируса. Т.е. такого, который я централизованно устанавливаю на компьютеры, обновляю и мониторю. Некоторые пользователи сами ставят себе всяких докторов, касперских, нодов и т.д. Но это их собственная инициатива.
Насчет мер.
Самое первое, это выкинуть пользователей из группы Администраторов. При работе юзера с ограниченными правами 95% вирусов просто не могут проникнуть в систему, т.к. все они как бараны лезут в те ветки реестра, про которые писал AlexSSS и в WINNT куда доступа нет. Прописаться они могут только в HKCU, а навредить только флудом по сети, который достаточно быстро отлавливается.
Второе. Спрятать сеть за файрвол, исключить (по возможности) использование реальных IP.
Третье. Поставить антивирус на почтовый сервер, если он есть. Если его нет, сначала поставить почтовый сервер .
Т.е. фактически максимально сузить канал проникновения вирусов в сеть. А загородить этот узкий канал антивирусом существенно проще и дешевле.
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 11:10 18-02-2005
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Примерно на 500 машин у нас куплено и стоит 50 лицензий symantec antivirus corporate edition. Антивирус стоит на всех серваках, причем на некоторых серверах стоят антивирусы од других производителей. Антивис ставится на комп на особо важные компы, на компы "продвинутых" пользователей и компы, которые заражены. Периодически удаляем установленный антивирусник с компов, которые уже давно не заражались. Это позволяет держаться в рамках закупленных лицензий.
 
Держать определенное количество централизованно управляемых компов с антивирусом очень удобно, так как это позволяет очень быстро просекать начало вирусных эпидемий. Бывали варианты, когда зараженная почта проходила через два антивируса почтового сервера, но вирус засвечивался на клиентах.
 
Что ксается Windows 2000/XP то они ГОРАЗДО лучше защищены и с ними проблем гораздо лучше. Главное, чтобы пользователь имел права обычного юсера и в сетке стоял SUS сервер для автообновлений. Но, ветка  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\  
все же открыта для записи и для обычных пользователей
 
Кроме администраторских мер обязательно надо пользоваться и чисто административными мерами. Обязательно должны быть прописаны правила работы на компе, где прописано что можно и что нельзя делать. И все пользователи при поступлении на работу должны подписываться под этими правилами. Наружение же правил, типа самовольной установки софта или посещения портносайтов может караться в административном порядке, от предупреждения и штрафа до увольнения.
И это дисуиплинирует пользователей гораздо больше, чем обьяснения, что на порто сайты ходить не надо. И не надо стеснятся административных мер, само собой что все должно быть закрыто по максимуму, но нет никакого смысла тратить много времени на борьбу с  "продвинутыми" пользователями.
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 11:33 18-02-2005
nnstepan



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я у себя использую следующую схему.
Во-первых - это конечно своевременная установка заплаток на Windows и IE.
Во-вторых использую пакет NAV 9.0 Corp Ed
В-третьих использую программу - Adaware SE PRO
В сложных случаях смотрю прогой BHOdemon.
Ну и общие советы - просмотр реестра, ключей автозапуска, домашней страницы, поисковой панели и т.д.
Всего записей: 115 | Зарегистр. 01-02-2005 | Отправлено: 12:15 18-02-2005
Craftman



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
AlexSSS А можно попдробнее о логировании веток реестра.
 
Всего записей: 49 | Зарегистр. 28-07-2004 | Отправлено: 17:17 18-02-2005
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Craftman
можно, но у меня все скрипты на KIX, боюсь тебе это будет бесполезно
а что именно интересует?
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 17:31 18-02-2005
Craftman



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
можно, но у меня все скрипты на KIX, боюсь тебе это будет бесполезно  
а что именно интересует?

Впервые слышу про KIX!!! Енто воапче что такое??? Меня интерисует как можно реализовать процесс логирования определенной ветки реестра! Воабще что для этого нужно!
Всего записей: 49 | Зарегистр. 28-07-2004 | Отправлено: 17:46 18-02-2005
ZLOnix



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ПС. У меня случай был - нульцевую машину к сети подключаю что б апдейты стянуть антивирусные - так они пока скачивались - у меня машина мигом червя схватила  Так что ГРАЖДАНЕ! СТАВТЕ ВОВРЕМЯ ЗАПЛАТКИ И ПЕРЕДЕЛКИ НА ВАШИ СИСТЕМЫ - и может будет вам счастье

 
Хе-хе. Я когда винду ставил - шнур из сетевухи выдёргивал, потом с диска инсталлировал firewall и только после этого возвращался в сеть =) Как говорит мой любимый security(7): A little paranoia never hurts.
Всего записей: 86 | Зарегистр. 12-11-2003 | Отправлено: 18:00 18-02-2005
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KIX - это скриптовой язык, который очень хорошо заточен для написания логонных скриптов под Windows
если надо быстро научиться писать работающие логон скрипты - никакие VBS, JS, WSH и рядом не лежали по простоте и удобству.  
 
домашняя страница
http://www.kixstart.org/
 
а вообще прочитать реестр нет никаких проблем на любом из более-менее развитом скриптовом языке. Ты уже чем-то пользуешься? Если да, то скажи чем именно, я найду пример для конкретно твоего языка
--------------------------------
ниже привожу часть скрипта на KIX, которая читает определенные ветки реестра и пишет их в текстовый файл. Как видишь, тут все очень просто. В приведенной части отсутствуют команды открытия-закрытия файлов и описания некоторых переменных, но смысл от этого не становится менее понятным
 
$LogHeader2= @DATE+" "+@TIME+$Tab+@WKSTA+$TAB+@UserID+$TAB+@FullName+$TAB+@ProductType+$TAB
 
$Run= "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\"
$Result= ver_registry_tree()
$Run= "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"
$Result= ver_registry_tree()
$Run= "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"
$Result= ver_registry_tree()
 
function ver_registry_tree
    $Index = 0
    $KeyName= "1"
    WHILE $KeyName<>""
        $KeyName = ENUMvalue($Run, $Index)
        $SoftName= ReadValue($Run,$KeyName)
        $LogErr= WriteLine(8, $LogHeader2+$Run+$Tab+$KeyName+$Tab+$SoftName+$CR)
        $Index = $Index + 1
    LOOP
EndFunction
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 18:08 18-02-2005 | Исправлено: AlexSSS, 18:12 18-02-2005
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если уж на то пошло, читать-писать реестр можно прямо из командной строки. Есть утилитка reg из Support Tools и acregl, которая лежит в "Application Compatibility Scripts" на сервере. Последняя удобна тем, что создает cmd-файл, в который пишет команды типа:
SET VARNAME=REGKEY
Остается потом его вызвать и получаешь набор переменных со значениями из реестра.
 
Это все конечно, если вообще не пользуешься скриптовыми языками.
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 18:24 18-02-2005
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
насколько я помню, REG не работает под Win9X.
Или я не прав?
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 18:31 18-02-2005 | Исправлено: AlexSSS, 18:32 18-02-2005
Alan Mon

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AlexSSS
Упс! Точно. acregl, кстати, тоже
Всего записей: 1116 | Зарегистр. 22-07-2004 | Отправлено: 18:44 18-02-2005
Craftman



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
А возможно ли с помощью KIX отслеживать только изменений заданных веток реестра??
Всего записей: 49 | Зарегистр. 28-07-2004 | Отправлено: 16:47 21-02-2005
AlexSSS

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KIX - это просто скриптовой язык программирования.
Напишешь прогу отслеживания изменений заданных веток реестра - он будет это делать ;o)
 
У меня эта задача реализована следующим образом
1. Логон скрипт на KIX-е записывает в отдельный для каждого компа текстовый файл информацию по интересующим меня веткам реестра. Идет запись следующей инфы - дата-время запуска скрипта, имя пользователя, имя компьютера, операционная система, ветка реестра, key, value. Значения пишутся через TAB для упрощения дальнейшего импорта данных  
2. Дальше уже работает лог-анализатор. Его можно написать на любом языке, на котором тебе удобнее работать.  
У меня это Visual FoxPro. Что делает прога -  
1. Импортирует данные из всех логов в DBF
2. Собственно анализ, реализован через SQL запросы
выборка значений с самого первого и самого последнего входа на компьютер, далее вывод всех несовпадающих ключей.  
 
т.е. первая запись веток реестра в лог принимается за эталонную, дальнейшие входы сравниваются с эталонной записью. Если компьютер чистится, то его лог файл стирается вручную. В результате при следующем входе образуется новый лог файл с начальными значениями нужных веток реестра
Всего записей: 747 | Зарегистр. 26-06-2004 | Отправлено: 17:31 21-02-2005 | Исправлено: AlexSSS, 18:00 21-02-2005
Craftman



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вот кстати реальная проблема!
При холостой работе компьютера загрузка процессора состовляет 12-18%.
Операционная система Windows XP SP2(CPU Pentium 4 1,7 GHz RAM 512 МБ)
 
При выполнении какой либо операции (открытие окна и.т.д) загрузка процессора поднимается на 100%.
 
Проверил все выше указанные ветки реестра все поудалял! Проверка Касперским ничего не дает! Куда копать дальше?  
 
PS переставлять не хочется, интерестно разобратся
 
Добавлено:
Огромное спасибо AlexSSS за просвящение в области KIX (сейчас разбираюсь) думаю неплохо было бы вынести енту весчь в отдельную тему!
Всего записей: 49 | Зарегистр. 28-07-2004 | Отправлено: 10:40 22-02-2005
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Черви Вирусы Трояны: выбор антивирусной стратегии


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru