Кстати о паранойе

"Меня терзают смутные сомнения"...
Известно, что существуют всякие программки типа клавиатурного сканера, потом ещё проги, которая периодически делает скриншоты рабочего стола и отправляет на мыло...
Вопрос такой: если мне её кто-то поставил, то отловит ли её антивирус? И отловит ли мой файрволл попытку послать на почту картинки? Это же не через стандартный почтовый клиент делается?
И вообще - где искать наличие заразы? Если менеджер задач не показывает, то в реестре-то он должен в Run быть?
В общем, лечиться пора. Бромом и валерианкой.

Ну, как тебе сказать. Борьба с spyware (так называют шпионский софт), трудное дело. Дело в том, что spyware - это софт как и всякий другой. Т.е. его нельзя отловить по какими-то общими признаками с остальными программами подобного рода.

> Если менеджер задач не показывает, то в реестре-то он должен в Run быть?
В общем, лечиться пора.

Ну, run вообще давно никто не пользует. Очень много софта имеет возможность расширения функциональности путём добавления плагинов - это динамичесские библиотеки с выполнимым кодом внутри (.dll). Если плагин система основана на COM-е, то в реестре действительно есть запись, которая ассоциирует номер COM объекта (UUID) с .dll-кой в которой этот объект находится. Как я уже сказал, вредные COM объекты нельзя выделить путём анализа кода. Единственный путь - сравнение с уже известными модулями-вредителями. В связи с чем очень рекомендую скачать и еженедельно пользоватся программой ad-aware.

Только осторожненько так, не рубя сгоряча.
А то она слегка параноидальна.

Кстати, кейлоггер может отправлять лог и по стандартному почтовому протоколу.

Спасибо. Уже утянул файл. Мало того, что-то нашлось. Но это похоже, не тот случай.

Ты, конкретно, кийлогеров боишся?

Отмечу, что ни одна нормальная программа пароль на экране не показывает А вот клаву отлавливать - это да... Но тут больше не вирусов, а Микро$офта опасаться надо

И ещё вопрос. Как спастись от установленных на шлюзе в Интернет программ типа TCP dump - читающих заголовки пакетов? Использование прокси может помочь? Хотя бы сохранить в секрете пароль и то, куда я иду.

Alesandro, 28.01.2004 22:31:25:

И ещё вопрос. Как спастись от установленных на шлюзе в Интернет программ типа TCP dump - читающих заголовки пакетов? Использование прокси может помочь? Хотя бы сохранить в секрете пароль и то, куда я иду.

 

Прокси в общем случае не поможет. В частном, при установлении шифрованного туннеля до прокси - может. А, вообще, если так всё страшно, ходить надо туда, куда по https, например, пускают

HTTPS - это SSL или шифрования уровня applicatiщт (7 уровень в 7-и уровневой модели) - информацию не прочитаешь, но защититься от анализа заголовков IP пакета не сможешь. Так что куда ходишь будет понятно. Весь раутинг в IP сетях основан на destiantion address. Можно пытаться достучаться до анонимайзера (тип прокси) по шифрованому каналу, а, оттуда уже везде бродить. Но, если хочеться быть полностью анонимным, то такой прокси очень не прост - т.к. он должен анализировать многие протоколы и заменять адреса внутри. Тот же эксплорер передает до хрена информации внутри HTTP протокола - прокси ее должен вымыть и заменить своей. Для FTP могут возникнуть проблемы, т.к. по командному каналу передается адрес, куда сервер или клиент должен присоедениться (в зависимости от режема PASV). Для H.301 кажеться, если память не изменяет, вообще нельзя просто так подставить - они внутри на адреса существенно завязываются. Я, например, чтобы не знали на работе куда хожу, пробил тунель по ssh каналу на сетевом уровне домой. Теперь все мой запросы идут в инет от моего домашнего компа (когда надо). На работе только видят SSH трафик на SSL сокет (я использовал 443 сокет дома для SSH).

Alesandro, 26.11.2003 17:45:26:

"Меня терзают смутные сомнения"...
И вообще - где искать наличие заразы? Если менеджер задач не показывает, то в реестре-то он должен в Run быть?
В общем, лечиться пора. Бромом и валерианкой.

 

В NT можно было дропнуть ехе-шник драйвера в c:\winnt\system32\drivers и она подхватывала его в момент загрузки сама. Не все правда, но некоторые. Вроде в 2000 и ХР надо еще и регистрировать. Но, опять-таки, вроде, она пытается их как-то запустить. Не помню уже, драйверами долго не занимался, надо книжки читать.

Спасибо. Н-да, непросто всё. То, что TCP dump у нас стоит - это точно... На такое есть хороший сервис http://www.proxyone.com, но он платный.
А вот в случае, если на сервере лишь банально пишутся логи, то прокси (анонимный) уже явно поможет?

А чего хочеться достичь? Чтобы не фиксировали твои прогулки по инет? Тогда поможет. Не знаю, насколько прокси этот хорош, может еще что-нибудь закрывает.

>Отмечу, что ни одна нормальная программа пароль на экране не показывает

Не согласен!

TEvg, 29.01.2004 11:29:01:

>Отмечу, что ни одна нормальная программа пароль на экране не показывает

Не согласен!

 

Женя, это определение.

Mishka, а вот тот же PGPdisk - куда уж нормальней. Но можно поставить галку, чтобы отображался пароль при наборе.

Alesandro, 02.02.2004 18:26:39 :

Mishka, а вот тот же PGPdisk - куда уж нормальней. Но можно поставить галку, чтобы отображался пароль при наборе.

 

Раз показывает - значит ненормальная! По определению!

Это не мое определение!

Чтоб новую тему не создавать...
Что делать с асей?
Дело в том, что настройка файрволла в общем-то простая вещь, максимум два дня, и он основные программы запомнил. Но. Кроме аси. Она, зараза, лезет всюду и по куче портов (ну понятно, 80-й и адреса вроде ads. и cb. закрываются сразу).
Можно ли как-то ей сказать, чтобы она всегда использовала один, скажем, 5190, и не дёргалась?

У меня как-то пару месяцев назад хайджакнули комп. Идёшь на Гугл или яху искать, а открывается ещё один веб бравзер с другим сёрч сайтом.

Скачал я очень классную программулю Spybot - Search&Destroy бесплатно.
Запустил, она мне нашла кучу, просто массу бэкдоров на компьютере. Это при условии, что у меня стоит Нортон антивирус, который нихрена такие вещи не ловит.

Кроме того. Вручную нужно зайти в раздел Tools этой программы и проверить зарегистрированные ActiveXы и BHOs(это, типа, плагины в эксплорере). Там тоже парочка оказалась, "позволяющих управлять компьютером дистанционно".

Хитрый у них трюк с ActiveXами, в лицензии прямым текстом говориться, что активЭкс позволяет использовать компьютер через интернет или скачивать с него информацию. Т.е. легально ты на них наехать не можешь. А как же, сам ведь согласился.

Spybot - замечательная вещь!
Пользую его уже несколько месяцев, регулярно вычищаю им всякую дрянь с общедоступного компа-гадюшника. Кстати, к нему еще и регулярно обновления выходят.