ідейка по боротьбі з вірусами

[MACCEN]

Як правило віруси приходять в архівах, може в політиках AD виставити пправило, коли запускається архів батнік перевірить його на вміст та видалить файли по масці.

Для rar знайшов таке рішення:

@cmdow @ /HID
::@echo off
set SrcPath=D:\Arch\1
set DestPath=D:\Arch
set d=%DATE%
"C:\PROGRA~1\WinRAR\rar.exe" a -m5 -s -y -ep1 -r -ag -x*1.txt "%DestPath%\%d%.rar" "%SrcPath%\*.*"

[vampirich]

З того що дивився по свому поштовику вірусня приходить в двох вкладених один в один зіп файлах.

[SysR]

Це вже давно реалізовано в антивірусах для поштових серверів (в тгму числі рекурсивна перевірка і її глибина), для чого винаходити велосипед.

[Harddriver]

Бекап, і тільки бекап дасть 100% гарантію. Акроніксом архівація диска С: займає 10-15 хв. Для спокою параноїка можна .tib перейменувати (можливо найдеться і на нього шифратор)

[MACCEN]

Антивіруси як правило не ловлять макроси й прочу хрєнь, та й деяке відчуття що віруси пишуть власрики антивірусів.

Порадьте антивірус для почтовика для вінди та лінукса.

[Factory]

Антивіруси як правило не ловлять макроси й прочу хрєнь, та й деяке відчуття що віруси пишуть власрики антивірусів.

Порадьте антивірус для почтовика для вінди та лінукса.

Лінукса?

пінгвіна шо теж вже почали віруси мучити?

[BACbOK]

Воронін, а то нічого, що поштовий сервер може бути на Лінуксі, і краще, коли він перевіряє і фільтрує пошту на наявність вірусів і тільки тоді передає її клієнту на Вінді?

[Zheny@]

Антивіруси як правило не ловлять макроси

помилка. Ловлять, ще й як. Деякі уричать на все горло "уязвимость"!!

та й деяке відчуття що віруси пишуть власрики антивірусів.

Давно ні для кого не новина

Порадьте антивірус для почтовика для вінди та лінукса.

Було рішення від Dr.Web.

Від nod32 є. Точно.

[BACbOK]

Також можу порекомендувати рідний безкоштовний Лінуксовий ClamAV, досить непогано справляється з потрібними задачами.

Також ще є AntiVir Professional Linux, але для нього є одне серйозне але (с 30 июня 2016 прекращается разработка и поддержка продуктов для Linux).

[vampirich]

Сьогодні бачив свіжачок: вірус у каб файлі

на різних антивірусах потестив - каже "нема тут віруса"

заради цікавості відправив собі на гмейловську пошту - гмейл пропустив

[Zheny@]

Сьогодні бачив свіжачок: вірус у каб файлі

Ну, бе там немає кода, як такого. Є просто грубо кажучи програмка. Шифратор.

Он щойно принесли флешку - вафлі..

[vampirich]

наскільки мені здалося - поштою приходить лише завантажувач віруса

бо файл в пошті 19 кб, а exe файл вірусу в темпі більше 600, + він на робочий стіл закидає bmp файл зі своїми вимогами

треба буде його на віртуалці запустити і подивитися куди він конектиться і по яких портах.

якщо поштою приходить таки не сам шифратор а лише його завантажувач - то покрутивши правила фаєрволу можливо вдасться захиститись від ризиків

[Zheny@]

то покрутивши правила фаєрволу можливо вдасться захиститись від ризиків

Не знаю. Навря чи. Пошта регається пачками. Лінки динамічні.

[vampirich]

перевірити можна...це недовго. але вже завтра спробую

[MACCEN]

Теж cab приходив, одна роззява зацепила віруса.

Одразу якщо побачили вікно треба вирубити взагалі мережу, тоді шифратор нічого не зможе зробити, так було на одному компі встиг вирубити, бо прибіг юзер з криком вірус.

[Zheny@]

дразу якщо побачили вікно треба вирубити взагалі мережу,

Вікно кого / чого?

До мене подзвонила юзер і сказала, що в неї на флншці всі файли не читаються. Я лише побачив крякозябли після розширення, одразу все зрозумів.

Походу процедура така: Знайти сам даунлоадер віруса. Потім вірус уже скачаний. З ним там ще мають бути програми шифратори і ключі.

Це все треба відіслати і там уже будуть дивитися і шукати антивірус.

[MACCEN]

вікно віруса, буде видно відлік часу, та жовті кнопкі

[vampirich]

Одразу якщо побачили вікно треба вирубити взагалі мережу, тоді шифратор нічого не зможе зробити, так було на одному компі встиг вирубити, бо прибіг юзер з криком вірус.

сиджу, бавлюсь з вірусом на віртуалці

з того що побачив - якщо вікно віруса вискочило, то вже купа файлів пошифровані, якщо не всі...

[MACCEN]

прикол в тому, що коли мене покликав юзер, і там вікно було це з вірусом, я просто виключив від лана, і почистив від вірусу, і ніякі файли не пропали взагалі.

на інших компах покликали пізніше, то там всі шифранулись, хоча пробував, программа давала 5 файлів розшифрувати, пробував вертати цю функцію, але після 5 розшифрованих перстала працювати така можливість

[vampirich]

з того що побачив - якщо заблокувати пару діапазонів ір-шок, то вірус не може викачати шифратора і ніфіка не робить

65.55.50.1-65.55.50.254

213.186.33.1-213.186.33.254

і одна айпішка 184.168.190.88

мав для експериментів 2 різних віруси - обоє в ці діапазони ломилися

В когось іще лишилося бяка що приходить поштою? поділіться... позаглядаю куди іще ломиться

[Revolver]

vampirich,

тобто якщо буде стояти фаэрвол, з правилом забороняти усе крім дозволених, то не пустить?

яким процесом(файлом) ломиться в інет?

[vampirich]

Revolver, теоретично так, якщо мається на увазі перелік адрес дозволених

якщо служби і протоколи, то вірус використовує 80 і 443 порти, і тут ніфіка не зробиш

Коли нема прямого виходу в нет, а лише проксі - теж вірус нічого не робить

яким файлом? тим що поштою прийшов, кожен раз інше ім"я

з.і. не факт що новіші версії не будуть ломитися по іншим адресам

на юзерських машинах слід позаблоковувати запуск scr файлів

[Revolver]

просто тут писали, що грузить свхост

то я вже подумав, що воно таке хитре лізе в інет на рівні системи, руткітом, але то видно воно просто кодує ресурсами системи

[vampirich]

Хз. можливо є модифікації різні. я кажу про ті 2 екземпляри що приходили до мене. з ними і бавився

[Zheny@]

ось тут я описав траблу. Слідкуйте за ходом подій.