Пока ковырял в ghex, заботливо подложенный jgame троян, неумело замодденный им под маздайную заставку (http://www.nclug.ru/forum_viewtopic.php?12.19892), кто-то уже успел удалить топик. B-) Жаль, а так отх$$$осить автора хотелось.. :-(
Кто троян удалил?
ср, 19/12/2007 - 12:53
#1
Кто троян удалил?
чт, 20/12/2007 - 09:15
#2
>>А он под Wine запускался или пришлось бы патчи дописывать? )
Я под вайном его не запускал. В мазадае, при запуске этого экзешника, проставляется якобы заставка. На самом деле, если антивирус не установлен в памяти активируется первая копия трояна, который в TrendMicro OfficeScan определяется как PE_PARITE.A. Далее он случайным образом прописывает свои копии в папки под именем этой папки с расширением .exe (значек кстати, тоже соотвествующий) До кучи прописывает загрузчик folder.htt (кстати на съемных носителях типа флоппи-диска или флешки еще и autorun.inf), который загружает копию вируса в память при каждом переходе в эту папку.
На самом деле с таким вирусом я немного знаком, так как уже сталкивался на родном заводе с его парой реализаций (одна из них полиморфик, довольно долго е.ла мозги нашему сисадмину). По сети распростаняется через расшаренные SMB ресурсы, копируя себя указанным выше образом. Что он делает помимо загаживания памяти, ХЗ, не разбиралс,я но и от известного хорошего мало.
Теперь по поводу запуска из под вайна. На самом деле на примере этого вируса самым лучшим образом прослеживается убогость маздая и о вреде срисовывания чего либо с него.
1. не из под root запущенный каким-либо образом вирус в Linux далеко бы не ушел, по крайней мере в пределах рабочего каталога юзера.
2. В маздае, если в папке есть экзешник с именем папки, то вирус его перезатирает. В Linux у него бы не хватило прав на перезапись файла со сменой прав на выполнение.
3. Щас могу ошибиться, но имхо ни в одном рабочем столе Linux нет такой феньки типа folder.htt в которую можно было прописать выполнение левой программы при переходе в эту папку. По крайней мере я такого ни разу не видел.
Хотя можно рассуждать долго возможна ли реализация Linux-версии с подобным механизмом распространения или нет, все в конечном итоге упирается в компетентность пользователя. Нормальный Linux пользователь работает с необходимым минимумом прав и когда ему нужны привилегии root, то он думает о возможных последствиях использования этих привилегий. к тому же Linux пользователь качает софт только с сайта производителя и проверенных зеркал, где появление какого-либо вируса практически исключено.
Кстати как заставка, в моей виртуалке, эта поделка так и не заработала =).
чт, 20/12/2007 - 09:32
#3
[quote=Ne01eX]Я под вайном его не запускал. В мазадае...
Виндузятная латентность? )[/quote]
[quote=Ne01eX]2. В маздае, если в папке есть экзешник с именем папки, то вирус его перезатирает. В Linux у него бы не хватило прав на перезапись файла со сменой прав на выполнение.[/quote]
В венде тоже часто есть права на запись, если админ нормальный.
ср, 02/01/2008 - 12:27
#4
баян. Эпидемия kj два года назад это все показала. Теперь любой антивирусник на это реагирует.
ср, 02/01/2008 - 14:07
#5
угу, только вот до сих пор у многих нет антивирусников 8)
сб, 29/12/2007 - 21:56
#6
посмотри кстати на содержимое folder.htt, можно узнать нечно неприятное про ie, и его интегрированость в win. (Кратко говоря из html странички запускается любая команда шелла )
Пнд, 24/12/2007 - 13:06
#7
Ладно. Этот вирус был не троянский конь. Это была троянская свинья. 8-) Равно как и автор напару с распространителем jgame.
<span class='smallblacktext'>[ Редактирование 24.12.2007 - 12:07:47 ]</span>
Пнд, 24/12/2007 - 10:50
#8
Или проще поднять тему в раздел выше ибо тематический околокомпьютерный флейм.
Пнд, 24/12/2007 - 11:16
#9
[color=darkred]Порезано - провокация флейма.
Dumus[/color]
[ Редактирование 24.12.2007 - 10:54:55 ]
Пнд, 24/12/2007 - 09:36
#10
Мдя... Предлагаю срач перенести на ЛОР, а здесь оставить конструктив; будьте взаимовежливы, соблюдайте Правила форума!
вс, 23/12/2007 - 21:43
#11
на луге осталась тока грызня... тихая, вежливая... убейтесо!
<span class='smallblacktext'>[ Редактирование 23.12.2007 - 20:46:03 ]</span>
вс, 23/12/2007 - 15:30
#12
Мои знания истории достаточные, чтобы за учебником не ходить. А "авторитетные" авторы всех этих книжек еще под стол ходили, когда определялись виды компьютерных вирусов, так что их мнение не менее субъективно чем моё.
2sl1m, Алексей сам дал ссылку на вики, а там находится текст, который опровергает его же слова. )
Аналогично: вбиваю в гугл "Троянские программы" и получаю первую ссылку - http://www.viruslist.com/ru/viruses/encyclopedia?chapter=156769330
IMHO любой вирус который маскируют под программку, картинку или офисный документ, называть трояном только потому что что-то написано в учебнике истории, глупо!
пт, 21/12/2007 - 18:09
#13
Мой юный друг, я стобой не спорю, я всего лишь констатирую факты.
И беда твоя не в том, что твое мнение в чем-то может быть правильным или неправильным, а в твоем слепом упорствовании и нежелании открыть глаза и посмотреть вокруг, как оно обстоит на самом деле.
пт, 21/12/2007 - 18:13
#14
Я тебе уже сказал куда сходить: в библиотеку за учебником истории, чтобы узнать что такое "троянский конь".
А потом почитать толковые книжки по информационной безопасности, чтобы от авторитетных авторов узреть, какие вирусы и почему стали называть "троянскими конями".
Заметь, это все речь только о фактах, которые существуют независимо от твоего или моего мнения, будь оно правильным или неправильным.
пт, 21/12/2007 - 19:04
#15
2MEZON, нестоит уповать на данные вики..
информация часто не является достоверной, материал набирается "добровольцами", порой слабо разбирающимися в предмете описания, а использовать "знания" можно разве что для общего представления.. ок?
<span class='smallblacktext'>[ Редактирование 21.12.2007 - 18:09:23 ]</span>
пт, 21/12/2007 - 11:27
#16
>>В данном случае есть средства распространения,
Копирование программы самой себя по папкам (включая расшареные сетевые SMB) называется размножением, а не распространением.
Черви имеют несколько более совершенный механизм распространения, исключающий ручное подбрасывание на форум NC LUG. =)
Хотя не исключу, что возможно имела место связка с каким-нибудь ботом, раскидывающим уже непосредственно троян по всем околокомпьютерным форумам e107.
В любом случае, классификация всей этой заразы довольно условна и не стоит все это принимать так близко к сердцу. Даже производители антивирусов особо не заморачиваются по этому поводу.
пт, 21/12/2007 - 11:59
#17
MEZON:
смешной ты..
как дитё.
пт, 21/12/2007 - 13:41
#18
Касательно компьютерных вирусов размножение - подтип распространения. Дополнительно к классификации из той же вики:
"Троянская программа предназначена для нанесения вреда пользователю или делающая возможным несанкционированное использование компьютера другим лицом (то есть превращающая компьютер в «зомби») для выполнения всевозможных задач, включая нанесение вреда третьим лицам."
Goodvin, говорят "если нечего сказать - лучше промолчать".
Даже если я, вдруг, в чем-то и не прав, пусть даже если то что я говорю, кому-то покажется детским лепетом - если я не буду высказывать свое мнение, я не смогу знать ошибочное оно или нет. Есть такая поговорка: "Победивший в споре остается при своем мнении, проигравший - при двух".
пт, 21/12/2007 - 10:45
#19
В данном случае нет средств самораспространения, они распространяются благодаря неопытности пользователя, запускающего вирь, при этом думающего, что это папка/нужный документ/порно/еще чего-нибудь.
пт, 21/12/2007 - 10:15
#20
Когда я пишу "я думаю" - это означает всего лишь моё мнение. А ахинея или нет - это зависит от того с какой стороны смотреть.
«Истина ускользает от тех кто отказывается её видеть обоими глазами» (С) Книга Происхождения Орай
У меня складывается впечатление, что ты сам не читал, что написано в Wikipedia:
"Троя́нская програ́мма (также — троя́н, троя́нец, троя́нский конь) — разновидность вредоносных программ, подбрасываемая для выполнения на компьютере-жертве, не имеющая средств для самораспространения."
В данном случае есть средства распространения, и нет явного факта подбрасывания.
Goodvin, IMHO было глупо приводить информацию, которая оспаривает твое собственное мнение. )
пт, 21/12/2007 - 09:56
#21
[quote=Dumus]Не Женя?[/quote]
Крис круче жж0т, тут недавно на линуксфоруме его "тексты" с компетентными людьми разбирали по косточками.
"Защитники" Криса жгли напалмом, надорвано много животов.
:-)
http://linuxforum.ru/index.php?showtopic=44246&hl=%CA%E0%F1%EF%E5%F0%F1%...
пт, 21/12/2007 - 09:49
#22
[quote=MEZON]Троян подразумевает, я думаю, не метод когда, одно выдается за другое(это скорее кот в мешке или подкладка свиньи), а когда вредоносный код, позволяет захватить контроль(пусть даже частичный) над удаленным компьютером. А самостоятельный вирус - явно не троян.[/quote]
Андрей, не будь таким настырным, сходи по ссылочкам и вспомни что такое вообще "троянский конь" и почему этими словами стали называть вирусы.
Когда ты пишешь "я думаю" и следом пишешь несусветную ахинею - это выглядит очень стрёмно, поверь мне.
Зачем так делаешь ?
Или ты нарочно это пишешь, чтобы спровоцировать волну флейма ?
Тем более некрасиво, за это могут и забанить.
пт, 21/12/2007 - 07:40
#23
>>нее.. ксакепса, 100 пудоф %)
Ну Крис туда тоже пописывал.
>>Не Женя?
Не, - Крис. :-)
чт, 20/12/2007 - 15:49
#24
Это вы часом не гражданина Криса Касперски начитались?
чт, 20/12/2007 - 17:21
#25
Не Женя?
чт, 20/12/2007 - 18:23
#26
>это вы часом не гражданина Криса Касперски начитались?
нее.. ксакепса, 100 пудоф %)
<span class='smallblacktext'>[ Редактирование 20.12.2007 - 17:24:11 ]</span>
чт, 20/12/2007 - 23:25
#27
Кто все эти люди? О_о
чт, 20/12/2007 - 11:53
#28
По способы распространения я думаю, что это все же не троян.
чт, 20/12/2007 - 13:27
#29
[quote=MEZON]По способы распространения я думаю, что это все же не троян.[/quote]
А ты не думай, ты ЗНАЙ как оно есть на самом деле.
А для того, чтобы знать - надо использовать грамотные источники информации.
Учи матчасть.
http://ru.wikipedia.org/wiki/Троянские_программы
А заодно вспомни, почему трояны называются троянами и какое отношение к этому названию имеют древнеи греки, женское бл..дство и поговорка "Бойтесь данайцев, дары приносящих".
В качествсе подсказки можешь почитать школьный учебник истории или [link=http://ru.wikipedia.org/wiki/Троянский_конь ]вот это[/link].
[ Редактирование 20.12.2007 - 12:28:30 ]
чт, 20/12/2007 - 14:35
#30
>>По способы распространения я думаю, что это все же не троян.
8-) А что?
чт, 20/12/2007 - 15:10
#31
Троян подразумевает, я думаю, не метод когда, одно выдается за другое(это скорее кот в мешке или подкладка свиньи), а когда вредоносный код, позволяет захватить контроль(пусть даже частичный) над удаленным компьютером. А самостоятельный вирус - явно не троян.
чт, 20/12/2007 - 10:28
#32
>>Виндузятная латентность? )
Винда, запущенная под виртуалкой и то только на работе, где под управлением маздая пока работает около 1500 АРМ, которые надо переодически ремонтировать.
>>В венде тоже часто есть права на запись, если админ нормальный.
Если админ нормальный, то пользователь вообще может выполнять только то, что ему разрешено.
То что у NTFS есть набор rwx-rwx-rwx, это ежу понятно.
Другое дело, что пользователь маздая работает с такими правами, которые ему дают, а при голой установки это права Администратора. И хотя их меньше чем прав у пользователя Система, этого хватает, чтобы закосячить маздай. При этом не следует забывать, что в маздае приложение запускаемое пользователем, работает с правами этого пользователя. Предугадывая следующий выпад, замечу что мне известно о наличии в маздае утилилты runas, позволяющей запускать приложение от имени другого пользователя, однако по удобству работы она не набирает ни одного очка по сравнению с su и sudo, что собственно является причиной того, что среднестатистический маздайный юзер runas не пользуется, а тот кто начинает задумываться над ее использованием, рано или поздно отказывается от маздая вообще, в пользу того же *nix. С нормальным распределением прав по умолчанию на все что можно и что нельзя, с удобными утилитами для повышения прав когда это действительно необходимо, и с идеалогией, пресекающей распространение какой-либо заразы на начальном этапе.
Потому что разработчики GNU/Linux, как правило, пишут системное и прикладное ПО, в первую очередь для собственного удобства, тогда как маздаевцы исключительно ради заколачивания бабок.
А вообще у нас тред кажется был не про маздай, а про то что jgame петушина ламернутая. =)
ср, 19/12/2007 - 22:52
#33
[b]Ne01eX[/b]
Тему я удалил, и петуха этого забанил.
Вроде ссылка в закромах на машине должна была остаться, если нужна.
ср, 19/12/2007 - 16:38
#34
А он под Wine запускался или пришлось бы патчи дописывать? )
Вход в систему
Последние комментарии
9 лет 21 неделя назад
9 лет 40 недель назад
9 лет 50 недель назад
9 лет 50 недель назад
10 лет 39 недель назад
10 лет 39 недель назад
10 лет 40 недель назад
10 лет 40 недель назад
10 лет 40 недель назад
10 лет 42 недели назад