Обсуждаем способы защиты от Webmoney троянаДа на здоровье, пускай запускается. Работать то он все равно будет до первого обновления антивируса и только под своим аккаунтом, не имея доступа к данным системного и других аккаунтов (вебменевого в частности). ты невнимательно прочитал мой пост. В юзерскую локаль загрузиться лоадер, (правильный лоадер не детектируется антивирусами т.к. кодирован и морфирован в момент загрузки с сервера через эксплойт, т.е. по факту индивидуален для каждого атакуемого ПК) У меня есть зараженный комп с таким лоадером и руткитом, до сих пор они не детектируется ни одним антивирусом (хотя обновляю базы несколько раз в день), детектируются троянчики, что он время от времени подгружает. Но их удалять бесполезно, они снова подгружаются, файрвол не поможет, инет садируется от имени эксплорера (или мэйл.ру агента или аськи или скайпа и тд хрен заблокируешь). При своем запуске лоадер запишет руткит в /систем32 (или windows) который открыт для юзеров. (только для спец ограниченного юзера закрыт, дык кто ж под ним работает?!) или пропишется папку ол-юзерс (откыта для всех) Детально с ограничением прав пользователя группы Юзер не разбирался но похоже их достаточно для инсталяции руткита. Кроме того [B]обычен случай работы под админом[/B]. Ну а после запуска руткит сделает себя невидимым для всех в том числе и антивирусов. Это реальность, они это к сожалению умеют. Папка с Webmoney с кипером по умолчанию доступна всем не только админу, т.е. в этом случае и руткита не надо, просто взял все, что надо (или подменил dll), отправил хакеру и самозатерся. И потом сиди ломай голову какже так все случилось и почему антивирусы ничего не находят? :-) Повторюсь - оптимально на мой взгляд сейчас переход с 32 бит на 64, это лучшее, что можно сделать на сегодня. Руткиты автоматом исключаются (нет цифровой подписи). UAC - покажет попытки затроянить систему без руткита. Для 32 битной ХР (есть и 64 битная ХР) - оптимально Avast с ВКЛ запретом создания-модификации всех разновидностей исполняемых файлов, удаления IE и Оперы (дырявые), отключить автоапдейт виндов (ну его и так аваст заблокирует). Если параноить по максимуму то никаких асек-мэйл-агетов-яндексов-квипов и тд. Но если ставить аваст на уже зараженную систему то кто его знает... тогда гарантий нет... |