| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
cтроитель
свой
Зарегистрирован: 07.10.2007
Сообщения: 39
Откуда: 150
|
 Добавлено: 08.01.2009 13:27 Заголовок сообщения: SkyNet и вирусы в потоке данных.Интересно мнение специалиста |
 |
|
Пользуюсь программой SkyNet для приема AVI от 630. Проблема безопасности с таким выбором файлов особо не волновала.
Тем не менее, вчера включил DrWEB, он сообщил, что процесс skynet.exe выгружен из-за вируса win32.sql.slammer.376.
Вирус специфичен, как написано в Интернете "не имеет тела":
| Цитата: | Win32.SQL.Slammer.376 - интернет-червь. Является вторым "бестелесным вирусом" после печально прославившегося Win32.CodeRed.3569. Он не существует в виде файла на зараженном компьютере, не распространяется в виде файла по сети. На пораженном компьютере червь проникает в контекст процесса Microsoft SQL Server и запускает в нем свой код, представляющий собой бесконечный цикл, генерирующий с высокой скоростью большой сетевой трафик в силу того, что червь пытается атаковать случайным образом сгенерированные IP-адреса, рассылая сетевые пакеты со своим телом.
Из-за специфических особенностей червя, обнаружение и лечение вируса обычными методами невозможно.
Антивирусные программы, проверяющие на наличие вирусов только файлы и контролирующик операции с файлами, не способны его обнаружить, поскольку этот червь существует только в виде сетевых пакетов и программного кода в памяти сервера.
Объектом нападения червя являются сервера Microsoft SQL Server 2000. Для попадания в систему червь использует уязвимость в системе безопасности этих серверов (подробнее…), а именно переполнение буфера, воспользовавшись которым нападающая сторона может получить контроль над пораженной системой в контексте прав, с которыми запущен Microsoft SQL Server.
Червь отсылает 376 байт своего кода в виде пакетов длиной 384 байта на порт 1434/udp, что приводит к существенному замедлению в его работе, а затем и к полному отказу. Такой способ распространения червя неминуемо приводит к DOS-атаке на другие сервера в сети Интернет.
Во избежание заражения данным вирусом ЗАО "ДиалогНаука" настоятельно рекомендует блокировать порт UDP/1434 для доступа извне и установить на сервер Microsoft SQL 2000 service pack 3, последний патч к которому был выпущен компанией 17 января 2003 года.
В силу наличия уникальной технологии полного сканирования памяти виртуальных машин под Windows NT/2000/XP антивирусный сканер Dr.Web® - единственный антивирус, способный стандартными средствами обнаружить данный вирус в памяти компьютера. Если сканер настроен на автоматическую проверку памяти при своем старте (а именно таковы настройки "по умолчанию", то он обнаружит и обезвредит Win32.SQL.Slammer.376, остановив зараженный процесс Microsoft SQL Server. |
источник
Таким образом получается, что он принимается и без запуска каких-либо исполняемых файлов.
На разных форумах прочитал совершенно различные мнения по этому вопросы: от "SkyNet - одна сплошная дыра, включать нельзя", до "все это бред, вирус принимается на каком-то этапе, но в итоге отфильтровывается - переживать не о чем"
-------------------------
В итоге ничего не понятно, действительно прием потока в режиме AVI only может быть опасен или все это надуманная проблема?
Логически не понимаю как вирус из потока может поразить систему, ведь скайнет приняв пакет видит, что он не нужен, отбрасывает его и все! DrWEB же заметив его в обработке сбрасывает процесс из-за известной антивирусам перестраховки.
Но так ли это, возможно чего-то не в вопросе не понимаю?
Интересно в первую очередь услышать мнение людей понимающих как все это обрабатывается и к ему может привести.
Спасибо заранее! |
|
| Вернуться к началу |
|
 |
U2
свой
Зарегистрирован: 14.10.2006
Сообщения: 67
Откуда: Ивановская обл. 56.35с.ш - 42.01в.д
|
| Добавлено: 08.01.2009 14:40 Заголовок сообщения: |
|
|
Я не спец. У меня Нод32 ловит заразу как я понял в момент когда она из папки temp после сборки переносится в папку Ок. Или когда файл почти полностью скачен и его проверив начинаеют Нод подозревать в зараженности.
А так и систему проверяю и в обязательном порядке всю папку СкуНет со всеми Темп и Ок, прежде чем открыть и туда глянуть на улов.
_________________
Сп.тарелка 110 см + SS-3 (1401)
Мотор EuroDream GTX-2100AM от 4E - до 75E
Провайдер SatGate (Astra 5A) |
|
| Вернуться к началу |
|
|
cтроитель
свой
Зарегистрирован: 07.10.2007
Сообщения: 39
Откуда: 150
|
| Добавлено: 08.01.2009 20:22 Заголовок сообщения: |
|
|
U2
DrWEB находит вирус в тот момент, когда данные из потока, его содержащие находятся в обработке. И т.к. обрабатывает их именно SkyNet то он его выключает.
Мне интересен вопрос в том плане, действительно ли возможно причинение вреда таким образом или же это издержки бдительности антивируса? Могут ли эти вредоносные покаты совершить свое злодеяние только от того, что попали в скайнет?
Повторюсь, имеются ввиду не вирусы из исполняемых файлов, а с принципом работы описанным в цитате из предыдущего сообщения. |
|
| Вернуться к началу |
|
|
banderlog
бывалый
Зарегистрирован: 24.02.2006
Сообщения: 331
|
| Добавлено: 08.01.2009 22:04 Заголовок сообщения: |
|
|
| может фаервол поможет, просто перекроет доступ червя |
|
| Вернуться к началу |
|
|
Uazik
Гость
|
| Добавлено: 08.01.2009 22:20 Заголовок сообщения: |
|
|
По рыбалке иногда прилетают вирусы, но когда раскидываю улов в папке ОК и если где либо попадается странный файл(вирус) Нод тут же ругается и удаляет его.
PS: Рыбачу уже полтора года и всего раза три сталкивался с вирусами пришедшими по рыбалке, а так проблем никаких т.е антивер и СкайНет20а дружат!  |
|
| Вернуться к началу |
|
|
Valchuk
Гость
|
| Добавлено: 09.01.2009 01:00 Заголовок сообщения: Re: SkyNet и вирусы в потоке данных.Интересно мнение специал |
|
|
| источник писал(а): | | В силу наличия уникальной технологии полного сканирования памяти виртуальных машин под Windows NT/2000/XP антивирусный сканер Dr.Web® - единственный антивирус, способный стандартными средствами обнаружить данный вирус в памяти компьютера. |
Реклама это, пятилетней давности, одного из самых отстойных антивирусов. Кстати, именно в начале 21 века DrWeb и потерял свои позиции на рынке. |
|
| Вернуться к началу |
|
|
cтроитель
свой
Зарегистрирован: 07.10.2007
Сообщения: 39
Откуда: 150
|
| Добавлено: 09.01.2009 11:39 Заголовок сообщения: |
|
|
Valchuk
Нет, ну фактически вредоносные пакеты в момент проверки присутствуют в обрабатываемом потоке.
Вопрос в том, способны ли они реально оттуда сработать как задумано автором вируса или нет? |
|
| Вернуться к началу |
|
|
Valchuk
Гость
|
| Добавлено: 09.01.2009 12:08 Заголовок сообщения: |
|
|
| Это нужно програмеров по SQL Server спрашивать, и лучше на их форуме. |
|
| Вернуться к началу |
|
|
МакSим
Гость
|
| Добавлено: 09.01.2009 13:26 Заголовок сообщения: |
|
|
| cтроитель писал(а): | Valchuk
способны ли они реально оттуда сработать |
нет, сработать то они не сработает, т.к. внутренее приложение не было запущено - программный код не сработал. запустишь - исходник среагирует. Например за 15 часов рыбалки - вирусов: 21 штука. НОД32
Почистил их, проверил Винду- чисто, записей от вира не обнаружено.
Так что мой те совет: выкени доктора, ставь либо нода либо аваста, в настройках поставь папку ок, temp и incomplet как "не проверять". Как только закончишь рыбалить - обязательно проверь  |
|
| Вернуться к началу |
|
|
Flint3
модератор
Зарегистрирован: 11.05.2005
Сообщения: 1644
Откуда: Московская область (55.43с.ш 38.30 в.д).
|
| Добавлено: 09.01.2009 14:12 Заголовок сообщения: |
|
|
| cтроитель писал(а): | | Нет, ну фактически вредоносные пакеты в момент проверки присутствуют в обрабатываемом потоке. |
Вирус отдельным файлом не передастся. Если откинуть пространные рассуждения, его не просчитает регекс, и не запишет на диск. А коль он передается вкупе с файлом, то его засечёт антивирус либо фаерволл при обнаружении сетевой активности. Даже если это "полиморф".
_________________
Кто ни разу не тонул, тот мелко плавал.
-------------------------------------------------------
Core 2 Duo E4400 2гб ОЗУ Sata400+250Gb GF8600GTS Кучка DVB-S/S2 карт Stab HH120 LNB Titanium TTG Альяно-Премиум Супрал 1.1+0.6 КонтинентТВ |
|
| Вернуться к началу |
|
|
МакSим
Гость
|
| Добавлено: 09.01.2009 16:15 Заголовок сообщения: |
|
|
каким бы вирус суперпупермегаупер не был - он не запустится при обработке потока, пока сам его не запустишь  . Ну подумаешь вирус , у тебя чё там - база ФСБ хранится?  |
|
| Вернуться к началу |
|
|
com1975
свой
Зарегистрирован: 29.03.2006
Сообщения: 62
Откуда: Минск
|
| Добавлено: 10.01.2009 19:38 Заголовок сообщения: |
|
|
эт не ответ а флуд, база не база а всякой заразе нефик на компе делать  |
|
| Вернуться к началу |
|
|
МакSим
Гость
|
| Добавлено: 11.01.2009 07:08 Заголовок сообщения: |
|
|
| com1975 - гумбль ты! не нравится - - пшол вон отсюда |
|
| Вернуться к началу |
|
|
Aquila
____________
Зарегистрирован: 17.11.2004
Сообщения: 2183
Откуда: Балашиха
|
| Добавлено: 11.01.2009 15:43 Заголовок сообщения: |
|
|
Пользователь МакSим из форума удалён.
_________________
--= Aquila non captat muscas =-- |
|
| Вернуться к началу |
|
|
|
Правила
FAQ
Архив
Поиск
Пользователи
Регистрация
Войти и проверить личные сообщения
Вход
