Проверка ПО на вирусы

[how-u-duin.livejournal.com]

Вопрос про ПО, скачиваемое с торрентов или с других сайтов, не сильно вызывающих доверие. Какие есть способы проверки такого ПО на содержание всякой гадости? Насколько я понимаю антивирусника может быть недостаточно.
Хотел скачать одно расширение к Джумле на торрентах, но там статус у раздачи "сомнительно", а одна из причин присвоения такого статуса раздаче это "есть подозрения на вирус;". И вот теперь не знаю. У меня на компе лицензионный Dr.Web Security Space + можно проверить файлы программкой cureit от того же Доктора Веба, но вот вопрос, все ли они распознаЮт. Может есть какое-то еще специализированное ПО для поиска гадостей ручками или полуручками.

Comments

[eugine74.livejournal.com]

Вряд ли. Давным-давно для вордпресса один из "плагинов" был вроде и общеизвестный, но "монтировал" лишние рекламные ссылки. Причём не везде, а лишь на определённых страницах, где соответствующие "словообразования" были. Причём обнаружили не сразу, а через несколько месяцев, совершенно случайно. И это был не "вирус". Такое вот "пасхальное яйцо" от программиста. Хочешь - ставь, не хочешь - сам себе код пиши))

[sakurovskiy.livejournal.com]

этим много кто грешил.

[eugine74.livejournal.com]

Ну оно и понятно, шаблон/плагин бесплатный, нужно же разработчику какой-то профит иметь.

[vvvyg.livejournal.com]

Можно проверять на virustotal.com Но гарантии - никакой, даже если все 50+ антивирусов признают файл чистым. Лучше просто ничего не качать с "сайтов, не сильно вызывающих доверие".

[karpion.livejournal.com]

Вы так говорите, как будто существуют сайты, вызывающие сильное доверие...

[sakurovskiy.livejournal.com]

и таки существуют! Если софт купить у продавца а не стырить с торрента нопремер.

[karpion.livejournal.com]

У продавцов тоже бывают вирусы. Не говоря уж о том, что современный продаваемый софт типа W'10 ведёт себя не лучше вирусов.

[sakurovskiy.livejournal.com]

о-о-о-кей.

[vvvyg.livejournal.com]

Ну, официальные сайты производителей ПО у меня вызывают определённое доверие. Но и их сайты, бывают, взламывают и подменяют софт вирусами. И сами софтописатели не гнушаются добавить адварные компоненты в свои продукты. Всяко бывает.

[sakurovskiy.livejournal.com]

Ну тут только шапочка из фольги.

адварные на грани фола, для монетизации, они отключаются галочками, но некоторые галочек не делают, хотя я таких почти не встречал.

[albinos76.livejournal.com]

Логичнее будет предположить,что это приложение не бесплатное,а большая часть "ломаных" платных программ будут означены антивирусниками как вредоносные из-за переписки ключей реестра и прочее.
Многое на торрентах ругают (именно в ПО),но лишь потому что пропускают FAQ и не читают то,что нужно прочесть перед установкой.
Тот же Касперский на все программы которые не прошли проверку через его лабораторию будет лаять что есть подозрения на вирус,вот люди и отмечают неуд раздачам.

[sakurovskiy.livejournal.com]

какие ключи реестра у модуля джумлы?

[hirurg-thegreat.livejournal.com]

Всякое разное malware антивирусы спокойно зачастую пропускают. Для их поиска - специализированный софт есть. Типа этой:
https://ru.wikipedia.org/wiki/Malwarebytes%27_Anti-Malware

[how-u-duin.livejournal.com]

Спасибо

[sakurovskiy.livejournal.com]

оно тебе не поможет. бггг.

[pomdepmon.livejournal.com]

Плюсую.

[rommelq.livejournal.com]

1. Есть онлайн-проверялка с разными антивирусами: https://www.virustotal.com
2. Установите такую замечательную программу - sandboxie. Позволяет запускать программы в "песочнице", т.е. в изоляции. Вы можете установить туда подозрительную программу, и, если она будет делать то, что вам не нужно, вы просто удаляете песочницу - и система чиста.
3. Заведите себе виртуалку. Самый простой и бесплатный вариант - Microsoft Virtual PC. Запустите в ней подозрительное ПО, и, если все в порядке, тогда можно уже и на основном, а если нет - можно закрыть виртуалку, не сохраняя изменения.

[karpion.livejournal.com]

2,3. А как убедиться, что всё в порядке? Вирус может активизироваться не сразу.

[rommelq.livejournal.com]

В случае с песочницей - захожу тотал коммандером в папку с песочницей, нажимаю ctrl+b и сразу вижу, какие файлы появились, какие изменились и как изменились. Плюс фаервол на компьютере сразу сообщит, куда стучится программа. На виртуалке же запускаю следящие программы: сниффер (один раз им перехватил пароль ftp от стилера паролей, лол), ProcessHacker - он позволяет видеть, каким процессом какой процесс запущен в виде древа, также виден сразу полный путь к исполняемому файлу, и сразу видно, если установщиком запущен процесс, например, в папке "temp", где ему явно не место. Все то же самое можно и на основном компьютере в песочнице, но виртуалка таки безопаснее.

[karpion.livejournal.com]

Ок. В вирусе стоит проверка: "первые два месяца после инсталляции ничего подозрительного не делать вообще". Ваши действия?

А если не "два месяца", а "полгода"?

А если проверка "если я в песочнице"?

[how-u-duin.livejournal.com]

Точно. Видел в одном видео, как в шаблоне для Джумлы была спрятанная ссылка, которая появлялась на странице только после того, как страницу посетили энное кол-во раз.

[rommelq.livejournal.com]

В первую очередь "подозрительным" будет сам факт наличия дополнительных автоматически запускаемых программ, это отсеивается песочницей и виртуалкой. Если же вирус будет вшит в саму программу... Ну, тогда да, произойдет неприятность. Но я что-то вообще не припомню таких программ, основная масса, которую я скачивал - криво слепленные школоподелия, которые сразу норовят установить TeamViewer, майнер, какие-нибудь позорные стилеры на конструкторе или сразу запускают винлокер, но так или иначе видны невооруженным взглядом.
Явную проверку на песочницу видел всего один раз, программа выдала прямым текстом обидчивую ошибку, мол, не запускай меня в песочнице. Ну, если не считать программы, которые в песочнице просто вылетали, может, это было запрограммированное действие.
От всего не убережешься, но песочница и виртуалка таки здорово помогают.

[sakurovskiy.livejournal.com]

1. надеть шапку из фольги
2. молиться
3. включить радио радонеж

[alex-197.livejournal.com]

выкрутить пробки:)

[sakurovskiy.livejournal.com]

у него модуль джумлы.

[sportactive.livejournal.com]

Плюсую к сандбоксу.
работаю с ним ВООБЩЕ БЕЗ антивируса.
Все антивирусы - торомзят комп проверяя весь трафыик и нафиг это нужно?
если вынести наружу ничего не даст обычный хорошо настроенный фаерволл, а тупо заразить файлы не даст сандбокс?

Значит если ситация с вероятным вирусом стоит так серьезно (через много много недель может произойти чОрный день 6) итд..) то сделайте просче?
Установите на комп "фризер"? :)
Эта та же "морозилка" но для вообще всего компа (всей оС)
Что бы не нагадила вам вирусня, что бы она там вам не делал после перзагрузки - машина все стирает и восстанавливается из "фрииз" замороженной версии.
Тоесть ваш вирус хоть усерится - но все его труды лишь на один сеанс. После перезагрузки он будет начисто стерт и ОС взойдет в чистом виде.
При работе дебилов на компе и вероятностях заражений фризеры - спасение.
минус - трудно сохранять данные с работы :) Надо юзать внешние накопители :)

[sakurovskiy.livejournal.com]

У него модуль джумлы. Это не виндовое приложение.

У касперского есть галка - не тормозить комп (бгггг)
Без антивируса можно, я сидел. Но щас такая тема - заходишь ты свой любимый сайт, читаешь новости, и пока передергиваешь тебе на комп незаметно устанавливается всякая фигня, например шифратор-вымогатель.

[sportactive.livejournal.com]

Еще раз?
Давай снова7
Я запустил барузер в песочнице "санбокса" и зашел на сайт даже не любимый а прям таки с голыми бабами. Тоесть любимый ясен пень, раз с бабабми. но страшно зловредный :)
И более того, (хотя у меня ессено джава и прочее флеши по умолчснию в бразуере отключены ради скорости и прочего, нов лючаются они кнопкой на панели) ну пусть ВСЕ включено!
Итак я зашел на страшный сайт!
Давай разберем куда страшный шифратор установит мне сайт?
Как устанвоит из песочницы?
И что именно этот шифратор зашифрует сидя в песочнице?
так же хотелось бы понять, как вообще что то устанвоится не под правами админа. ну да ладно.
Оставноимся только на прсотейшем случае.
браузер строго работает только в сандбоксе.
Вклюено все. И джава итд..
Я зашел на сайт весь в зловрежах.
ЧТО ДАЛЬШЕ?
Мне реально инетерсно, ибо мне это релаьно важно
Я вот недавно столкнулся с ситаией подкида вирусника в торент файле.
Очень ыбло мило упаковано вместо киношки зловред :)
выматерился и стал внимательнее смотреть что именно я запускаю :) под видом милого фильма итд итп :)
Это вот ясно
Но там торент я сам качал сам себе буратино сам запускал - тоесть для страта нужно очевидно не только пускануть зловреда но еще и разрешить его запуск.
А вот все же при походах на сайт
КАК словить зловреда если вся работа в сети в песочнице ТОЛЬКО? (оэтому нет антивруса вообще акромя еженельной плной првоерки куретом)

[sakurovskiy.livejournal.com]

Он зашифрует тебе песочницу!!!!!!!!!АААААААААААААААААА

Тебе не проще на линукс перейти? шиснадцатая убунта весьма ок.

[sportactive.livejournal.com]

Я думаю, что с времнем будет так же как с смартфонами.
Вначале были все в шоке - шас уже пофиг. если ты пидараст у тебя айфон. остальные пкоупаю разные фирмы исходя из мелких удобств.
Винда идет к тому же
Она так достала всех своей 10 кой. что люди будут менять 7 ку на хороши линукс это факт :)
Но пока 7ка работает без Б , а главный принцип людей работающих с компами с момента их появления на свет - работает? НЕ ТРОГАЙ! :)

меня действительно чоень интересует вопрос вирусных атак.
Ибоя просто не понимаю, как люди заражаются.
ну если отмести аспект дебилизма (а это 90 процентов заражений) тпа я открыла ссылк в письме :)
то отсальные 10 как?
Я все время птаюсь понять.
Если комп работает в песочнице то КАК можно его заразить?
да есть например джепеги с скрытым обходом УАКА и исполняемым кодом итд..но для этого все равно нужно ПРИСЛАТЬ мне его на комп (джепег) а яего все равно не открою ВНЕ песочницы никогда :)
Итд итп..
Вот недавно налетел на послочку в выкачанном фильме :)
Хорошо я ззаметил?
Что фильм дегеративно мал? :)
оказалось это был файлик названный фильмом и с расширением ави..но как обычно екхешничек с скрытым расширением :((
еприятная ситория и она обсуждалась в сети одного из торент трекеров.
Ну а вобщем то?
КАК еще заразить комп?
С Сайтов?
тоесть если ты не дурак, не открываешь полученное не глядя, то чисто с сайта заразить тебя НЕВОЗМОЖНО!
Кстати новый касперский собсвтенно эмулирует санбокс.
В нем и работет.
Касперский это санбокс +проверка всего траффика и работы файлов компа.
Вторая часть (првоерка траффика и файлов) дико тормозит комп.
А песочница есть без капсреского :)

[sakurovskiy.livejournal.com]

я регулярно на линукс перехожу, в принципе в 16 убунте допилили практически все чего мне не хватало. Остались мелочи - вменяемый проигрыватель видео и еще. Остальное есть и даже нормально работает без танцев.

принцип работает не трогай - не работает, пока ты не трогал все ушло далеко вперед.

делать все в песочнице не всегда удобно, да и смысла не вижу возиться и так нормально.

Сейчас в основном работает социальная инженерия, пришлет тебе письмо твой же контакт, похожее на правду с вложением, ты открыл и привет.

UAC, касперский и прочее обходятся, песочница почти нет, можешь считать себя в безопасности. Ну и вирусописаки лупят по площадям - авось кто и откроет, срабатывает. как-то так.

а шифратора можно почти не боятся, их пишут в основном в СНГ, и у части из них есть проверка если запущен в СНГ - не шифрует, насколько велика эта часть не знаю.

[sportactive.livejournal.com]

"пока ты не трогал все ушло далеко вперед."
Что именно УШЛО вперед? :)
Я пока читая (твое замечание) понимаю, что проигрываетля видео ПОКА НЕТ :) на ушедшем вперед.
Еще раз ЧТО ушло? То что людям надо - браузер, аудио видео разные проги (ну допустим голосовйперводчик звука в текст итд) все работает на 7ке СРАЗУ без проблем.
В чем и что именно ушло настольков перед, что бы человеку юзающему комп именно как "бизнес машин" (с) слоган АйбЭм..так нужно было менять платформу?
Сири?
Голосвой помшник7 Пока мне не нужно :)

Про социальную инжинирию больше разговоров.
Легче дать в рыло и отнять ключи - чем так вот извертыватьсяю.
И главное - если я все открываю в песочнице (а по умолчанию песочинца вообще все действия пытается запустить именно в ней) :) то как меня может волнвать что там пришлют? ну пришлют. Открою в песочнице там и умрет :)

на тему делать в песочнице не совсем удобно - я не очень понимаю
Это никак не влияет на работу вообще
Есть тока один аспект - сохраненые файлы нужно выводить из под песочницы - иначе они исчезнут при очередной плановой зачистке.
К этому я давно привык.
кстати песочница имеет еще один большой плюс.
есть масса приблуд читсящих до СМЕРТИ надоедающий гугель который все время читает сраные куки и пытаеццо подсовывать контектсую рекламу итд итп..в зависмсоти от твоих заходов и посещений :)
Дл этого можно запускать СиСиклинер итд..
А можно просто регулярно чистисть песочницу :)
Оба решения возрваают комп к девственному состоянию и пока гугль опять наберет твои зпаросы проанализиурет их и начнет подсовывать тебе выжимки в рамках твоих очережных запросов - пройдет как раз неделька - и новое очищение.
очень удобно 6)
Ибо лично меня бесит.искал лампы диоднве на тросах - все время в выыдаче гугля мелькают тросы и лмапы..снят уже вопрос..нет блин гугулю нужно делать его маленький гещефт :)ахахаха
А так - очищение песочницы и для гугля ты опять новый псотеитель (наичнай по анализу все сначала :))
так что ..
С твомт доводами - согласен.
По шифраторам я так пока и не понял.
Эта штука обходит уак? если нет, то как она вообще стартует?
Если да - то все равно это скрипт.
Он будет либо в песочнице либо..
Короче шифратор инетерсно
Пока не поянял как он САм запускаетмся? то что прога не считается вирусом этоя сно
Обычная шифровка. Это норма дял виндов.
Как он умудряется тартовать на компе и получить в работу системые файлы? мои например изменять нельзя. без запроса у администратора :)

[sakurovskiy.livejournal.com]

//Что именно УШЛО вперед? :)

то что под капотом. И железо и софт. Врядли у тебя в песочнице крутится Internet Explorer 6. Ну и это профдеформация - я сисадмин. В комп технологиях прогресс бешеный, если не используешь новое, не внедряешь не пробуешь, ты отстаешь и никому не нужен.

//Про социальную инжинирию больше разговоров.
ну, тут бес комментарием бхыхыхыхы.

// Есть тока один аспект - сохраненые файлы нужно выводить из под песочницы - иначе они исчезнут при очередной плановой зачистке.
К этому я давно привык.

Да я вот об этом. НО! Безопасность не бывает удобной. Тут кто что выбирает. У нас я имею ввиду территорию б.СССР, большинство выбирает удобство.

//Ибо лично меня бесит.искал лампы диоднве на тросах - все время в выыдаче гугля мелькают тросы и лмапы..снят уже вопр

это не гугл, это ремаркетинг, продаваны пытаются догнать. И это, гугл данные о твоих предпочтениях хранит у себя.

//Как он умудряется тартовать на компе и получить в работу системые файлы?

Обычно ты его сам запускаешь под видом нужной проги и даешь нужные права. Чаще всего их впаривают под видом софта или чего еще что ищут пользователи, с подменой расширения и т. п. системные файлы шифратору не нужны, он шифрует доки, картинки и прочее пользовательское, потом просит бабла за расшифровку.

[sportactive.livejournal.com]

Пасибо за ответы
ну на тему ушедшего вперед мотора (под капотом) то это релаьно нужно не многим.
те кто в 90 е работал на винде 95й вобщем то не сособо нуждаются в 7й.
Браузер конечно уже не Нетскапе.
Но был бы он? ничего страшного не было б ы :)

" И это, гугл данные о твоих предпочтениях хранит у себя"
Друг мой, а как собственно гугуль узнает, что это вот именно Я опять к нему пришел? :)
ну наверно через куки?
Не через АЙпИ же? Или конфигуратор компа (его тожно можно менять 6))
Тоесть что бы кто там у СЕБЯ не хранил - всем им нужны куки :)
Иначе им не опознать. что я это я.
А все это их безобразие (выявляющее именно тебя )песочница сжигает..

По остальному с тобой полностью согласен.

По шифратору понял.
Спасибо Да он реально шифрует именно рабочие файлы от 1с и прочего. Слышал да.
Понял суть.
Думаю не столкнусь.
Главная мысль:
Или безопасность и некие мелкие неудобства прежде всего ДУМАЮЩЕГО (самого пользователя) характера.
Или безрассудство - и проблемы :)
Это именно так 6)

[sakurovskiy.livejournal.com]

Не жги так про 95. На современном железе она работать не будет это раз, софта для нее нет это два и так далее, я как-то ставил на виртуалку - адски неудобно.

//Браузер конечно уже не Нетскапе.
//Но был бы он? ничего страшного не было б ы :)

Половину инета ты бы в нем тупо не увидел, например.

//Друг мой, а как собственно гугуль узнает, что это вот именно Я опять к нему пришел? :)
ну наверно через куки?

Куки это то что на поверхности, не могу утверждать что он еще что-то использует, но вполне может.

[sakurovskiy.livejournal.com]

установить расширение на какую нить тестовую джумлу и проверить ее на сайтах которые ищут вирусню на сайтах, их много в гугле.

Десктопные антивирусы просто в файлах сайта плохо ищут.

[spax555.livejournal.com]

Порекомендую для профилактики AdwCleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/), для всяких жуков, троянов и т.п.

[pomdepmon.livejournal.com]

Это, не что иное, как кастрированный кусок Малварбитс, неудобный в пользовании, т.к. не имеет исключений проверки. Уж лучше поставить полный Малварбитс. Кстати, ссылка ваша, не на сайт производителя ПО, а на какую-то файлопомойку. Вот нормальная ссылка - https://www.malwarebytes.com/adwcleaner/

[how-u-duin.livejournal.com]

Спасибо.

[spax555.livejournal.com]

Спасибо за уточнение