Как действуют трояны?

0

0

Допустим, мой юзер вытащил из Инета какую-то гадость и она (гадость) теперь будет в инет лезть по каким-то своим соображениям.

Что это обычно за соображения? И как не позволить их реализовать?

Ссылка

←	Кабельный модем-это защита?!?

Забыл пароль

→

> Что это обычно за соображения?

Обычно -- сделать из машины open smtp relay, open proxy, warez ftp и т.п. Для w9x -- также отправить куда-нибудь *.pwl. И так далее в этом духе. В особо тяжелых случаях (неизлечимый комплекс неполноценности автора/модификатора трояна) -- деструктивные действия типа rm -rf / или dd if=dev/random of=/dev/hda...

> И как не позволить их реализовать?

В общем случае -- никак. В частном -- бить по голове или иным частям организма тупиц, не способных понять, что в файле вида supersex.exe ничего хорошего не бывает. И что вообще пересылка исполняемых файлов и вордовых документов по электронной почте -- дурной тон.

Полумера -- закрыть все ИСХОДЯЩИЕ (входящие мы и так считаем закрытыми) коннекты на порты, отличные от "стандартных" (21, 22, 25, 80, 110, 119, 443).

Obidos ★★★★★
(19.01.04 15:17:49 MSK)

Ответ на: комментарий от Obidos 19.01.04 15:17:49 MSK

>закрыть все ИСХОДЯЩИЕ

это в форварде? Некрасиво как-то :(

fagot ★★★★★
(19.01.04 15:45:44 MSK) автор топика

Ссылка

Ответ на: комментарий от Obidos 19.01.04 15:17:49 MSK

а что толку от *.pwl вне локальной сети?

fagot ★★★★★
(19.01.04 15:46:29 MSK) автор топика

Ответ на: комментарий от fagot 19.01.04 15:46:29 MSK

> а что толку от *.pwl вне локальной сети?

А там иногда логин, пароль и телефон на диалап бывает...

Obidos ★★★★★
(19.01.04 16:26:46 MSK)

Ответ на: комментарий от Obidos 19.01.04 16:26:46 MSK

спасибо.

fagot ★★★★★
(19.01.04 17:18:12 MSK) автор топика

Ответ на: комментарий от fagot 19.01.04 17:18:12 MSK

>Полумера -- закрыть все ИСХОДЯЩИЕ (входящие мы и так считаем
>закрытыми) коннекты на порты, отличные от "стандартных" (21, 22, 25,
>80, 110, 119, 443).

Ну почему так скромно. Яб предложил поставить систему для отлавливания, непредвиденных коннетков. Она сразу скажет что вот та машина ломится на просторы интернета. Кста так много троянов отлавливается в этом мире.

anonymous
(21.01.04 12:12:01 MSK)

Ответ на: комментарий от anonymous 21.01.04 12:12:01 MSK

> Ну почему так скромно.

Да потому что вы не можете утверждать, каким является коннект на "разрешенные" порты -- нормальным или злонамеренным.

> Яб предложил поставить систему для отлавливания, непредвиденных коннетков

Некоторый коннект машины А из локалки по HTTP на машину В в Инете является ли непредвиденным? Может, юзер куда-то полез... А может, и троян инфу сбрасывает...

Obidos ★★★★★
(21.01.04 12:17:22 MSK)

Ответ на: комментарий от Obidos 21.01.04 12:17:22 MSK

>Некоторый коннект машины А из локалки по HTTP на машину В в Инете является ли непредвиденным? Может, юзер куда-то полез... А может, и троян инфу сбрасывает...

В простых случаях можно ловить попытки левых процессов "выйти в сеть" персональные файрволы вроде бы это умеют. Правда "простых случаев" становится все меньше - сейчас трояны научились работать как из адресного пространства чужих процессов так и прямо из kernel space. Можно еще анализировать содержимое подозрительного трафика и сравнивать его с базой соответствующих сигнатур, но тут тоже не все так просто ...

Как сказал один мой знакомый NT-админ по поводу профилактики троянов в коллективе - "Наиболее эффективной мерой является паяльник, вставленный в анальное отверстие пойманного на этом деле сотрудника на общем собрании коллектива" ;)

sS ★★★★★
(24.01.04 10:50:12 MSK)