Снощи си направих едно малко тестване с едни от най-известните антивирусни продукти и техните най-нови версий: NOD32, Kaspersky AntiVirus, McAfee, BitDefender, Avast, Sophos, Norton Antivirus 2007. Свалих архив с вирус защитен с парола. Вируса беше троянски кон, който е известен на всички(NetBus). Инсталирах и обновявах всеки един от продуктите и после сканирах архива. Изненада в архива няма вирус. Обаче, ако се опитам да извлека файла от архива и знам паролата файла е блокиран и изтрит от всички анивирусни продукти. Но проблема е че никоя антивирусна не претърсва архив защитен с парола. Лично за мен това е голяма заплаха и ще дам пример защо е така. Някой вкарва отдалечено архив защитен с парола в компютъра ви. В архива има троянски кон. Вие си пускате антивирусната да сканира за вируси като не знаете че имате такъв архив в компютъра и всичко е ОК. Антивирусната ви казва, че в компютъра няма вируси. И на следващия ден човекът, който е вкарал архива в компютъра решава да извади троянски кон от него. И познайте какво се случва. Човекът успешно изважда вируса и го активира. Антивирусната не разбира. И вие не разбирате. И вие сте заразени. Свършено е с всякакъв вид защита на компютъра. Някои антивирусни уведомиха че не могат да отворат архива защото е защитен с парола и показаха имената на файловете, които не могат да бъдат сканирани. За съжаление са само две NOD32 и Avast. Да точно тези. Никоя друга не показа файловете, които не могат да бъдат сканирани. И в същото време не казаха, че има вирус вътре. Само между другото инсталатора на McAfee беше пълен със spyware, а го изтеглих от официалната страница. В Panda също имаше spyware и за това не я инсталирах и нея. Също така, ако копирате, местите, изтривате архива антивирусната пак не го сканира. Извод от всичко това: ако имате архив с парола пълен с вируси в компютъра си - няма да разберете. Единственото решение е да използвате някоя от тези две антивирусни, които ви уведобяват, че архива не може да бъде сканиран и показва имената на файловете, които не могат да бъдат сканирани. Има само два начина да разберета дали в архива има вирус:

1. Намирате паролата за архива и разархвирате всички файлове вътре.

2. Просто изтривате архива и не се занимавате повече с него.

Не нося отговорност, ако някой не е предпазлив и не внимава какво прави. Успех и ви пожелавам да нямате такива архиви.

Редактирано 23 февруари 200719 г. от stanley56 (преглед на промените)

Интересен казус.Предполага се че няма да сложиш собственоръчно вируси и да ги защитиш с парола.Предполага се че ако друг го е направил ти не би могъл да му разбиеш паролата или поне би отнело много време.Като пък има парола на архива файловете в него пак се "виждат" с WinRar например.

edit

Някои програми(SpyBot,AdAware) си слагат сами пароли на файловете,по този начин антивирусните ги прескачат при сканиране на архиви.Дори и Аваст казва че неможе да провери архива.

Редактирано 22 февруари 200719 г. от dragozow (преглед на промените)

....интересно Antivir как ли ще се представи ! ......

И все пак е малко параноично да се изтриват файлове защитени с парола...Много програми за защита слагат парола на дефинициите си за да може ако има друг софтуер за сигурност да не открива паразити в тях и така само да алармира и стресира още повече потребителите с фалшиви тревоги...И все пак ако си ползвате антивирусни с резидентните модули - вирусите пак нямат шанс...И още нещо при версия 5 на Касперски при най-високо ниво на сигурност при сканиране на компютъра питаше за парола ако открие защитен архив...а при последната версия настройката е да се игнорират подобни архиви...

По-опасно е ако хакер целенасочено примерно ти превземе компютъра и ти сложи парола на важни документи и после да иска откуп за да ти каже паролата...

Вирусите в компресирани файлове: риск, който можем да избегнем

Последната вълна от злонамерени атаки, причинена от фамилиите Bagle, Mydoom и Netsky показва повече от всякога необходимостта от инсталиране на ефективна защита срещу вируси и хакери. Поради непрекъснато нарастващия брой Интернет заплахи в обръщение, съществува изключително голяма възможност да станете жертва на някоя от тях и на действията им (като блокиране на мрежовата дейност).

Едно от основните предизвикателства за вирусните автори е да бъдат една стъпка пред антивирусните програми, така че да могат да осъществяват намеренията си безпрепятствено. Поради това цялата история на разработването на различни тактики търпи развитие, дори и когато те не са толкова успешни (както в повечето случай) колкото се очаква.

Но има един начин да бъде пропуснат злонамерен код в компютъра, който понякога се оказва сполучлив. Този метод се базира на използването на компресиран файл като носител на вируса посредством широко разпространен инструмент за компресиране като WinZip.

При нормални обстоятелства всяка високоефективна антивирусна програма ще сканира и дезинфектира този тип файлове, при условие че потребителят я е конфигурирал да прави това. Проблем обаче възниква когато тези файлове са защитени с пароли. Тази стратегия беше използвана от някои варианти на червея Bagle, който се появи неотдавна.Когато защитен с парола компресиран файл достигне компютъра никаква антивирусна система не би могла да получи достъп за сканиране на неговото съдържание, докато не бъде декомпресиран. Поради това е необходимо потребителят да въведе съответната парола с цел да го разгледа. И тогава за наистина добрия антивирус това не представлява проблем. Ако въпросният файл е заразен това ще бъде открито тогава, когато бъде отворен файла от неговия получател.

Но този процес може да създаде проблеми в корпоративни мрежи. И дори когато mail сървъра има инсталиран и обновен антивирус, то той не може да сканира компресиран файл и затова той ще достигне до работните станции безпрепядствено.

Ако работните станции са защитени срещу злонамерени атаки, вирусният код няма да може да осъществи инфектирането. Но само си представете какво би било, ако не са!

От друга страна нека вземем за пример червея Bagle, който се разпространява масово чрез защитен с парола файл. В резултат на това хиляди заразени файлове могат да преминат през сървъра, увеличавайки значително мрежовия трафик. В краен случай дори могат да го претоварят и по този начин временно да бъде спряна системата.

А как бихме могли да разрешим този проблем? Luis Corrons - ръководител на Вирусната лаборатория, отговаря на този въпрос: ”например за червея Bagle PandaLabs разработи специфична процедура за откриване на защитени с парола компресирани файлове, генерирани от този злонамерен код. Нашите продукти също включват опция за автоматично блокиране на този тип файлове, предотвратявайки достигането им до получателя. Така гарантираме, че този вид техники на инфектиране няма да засегнат нашите потребители.”

По тази причина един наистина добър съвет при избора на антивирусна защита е да проверите дали предлага ежедневни обновявания срещу новите вируси и постоянна техническа поддръжка, която може да Ви предложи решение на какъвто и да е тип проблем. Не подценявайте значимостта на това да имате инсталирано легално копие на избрания от Вас антивирус! Демо и free версиите не гарантират сигурността на Вашата информация! Не чакайте момента да се убедите сами в това!

Редактирано 22 февруари 200719 г. от B-boy[StyLe] (преглед на промените)

Добре. Прави сте, че някои програми си слагат пароли на дефиницийте, за да не ги откриват антивирусните. Но мисля, че би трябвало архива с дефинийцита да си седи в папката на програмата като по някакъв начин е означено, че това са дефиниций. Тези архиви не би трябвало да се трият от потребителя. Благодаря за добавката и поправката.

Снощи си направих едно малко тестване с едни от най-известните антивирусни продукти и техните най-нови версий: NOD32, Kaspersky AntiVirus, McAfee, BitDefender, Avast, Sophos, Norton Antivirus 2007. Свалих архив с вирус защитен с парола. Вируса беше троянски кон, който е известен на всички(NetBus). Инсталирах и обновявах всеки един от продуктите и после сканирах архива. Изненада в архива няма вирус. Обаче, ако се опитам да извлека файла от архива и знам паролата файла е блокиран и изтрит от всички анивирусни продукти. Но проблема е че никоя антивирусна не претърсва архив защитен с парола. Лично за мен това е голяма заплаха ...

Че е неприятно, така е. Но нали това е идеята на паролата - да предпазва от чужд достъп, пък било това и програма. За да се сканира подобен архив, трябва да се разбие паролата, което ми се вижда нарушаване на личната информация. Дори и да не е, в зависимост от дължината и сложността на паролата разбиването й може да отнеме АДСКИ много време - от порядъка на дни. Това обезсмисля сканирането на такъв архив.

Някой вкарва отдалечено архив защитен с парола в компютъра ви. В архива има троянски кон. Вие си пускате антивирусната да сканира за вируси като не знаете че имате такъв архив в компютъра и всичко е ОК. Антивирусната ви казва, че в компютъра няма вируси. И на следващия ден човекът, който е вкарал архива в компютъра решава да извади троянски кон от него. И познайте какво се случва. Човекът успешно изважда вируса и го активира. Антивирусната не разбира. И вие не разбирате. И вие сте заразени. Свършено е с всякакъв вид защита на компютъра.

Е, ти сам каза следното:

Обаче, ако се опитам да извлека файла от архива и знам паролата файла е блокиран и изтрит от всички анивирусни продукти.

Малко си противоречиш като че ли.

Никоя друга не показа файловете, които не могат да бъдат сканирани. И в същото време не казаха, че има вирус вътре.

Е, как да кажат дали има вирус, след като не могат да го сканират заради паролата?

Също така, ако копирате, местите, изтривате архива антивирусната пак не го сканира.

Напълно нормално. Само се замисли ако рездентния скенер сканираше всеки архив, когато отваряш папки с такива. Представи си и папка с много архиви. Сега си представи и много архиви с архиви в тях. В момента, в който отвориш подобна папка, друга няма да можеш да отвориш. Ще е ад.

Извод от всичко това: ако имате архив с парола пълен с вируси в компютъра си - няма да разберете.

И проблемът е? Ние и без това не знаем паролата и не можем да го разархивираме, а ако не го разархивираме няма опасност. Не виждам реален проблем.

Има само два начина да разберета дали в архива има вирус:

1. Намирате паролата за архива и разархвирате всички файлове вътре.

2. Просто изтривате архива и не се занимавате повече с него.

1. Отново, ако не можем да го отворим, нямаме проблем. Защо ще ми е да се мъча да разбивам парола на архив само и само да го сканирам, след като няма опасност, докато гадинките са вътре?

2. Това не е начин да разберем дали има зловреден софтуер.

Ако дадена антивирусна програма засича опасностите при разархивиране, то какво значение има дали архива е с парола или не, след като докато са в самия архив гадинките са безвредни?

Мисля, че в случая търсиш под вола теле.

Редактирано 22 февруари 200719 г. от Night_Raven (преглед на промените)

Напълно съм съгласен с Night_Raven, че е "под вола теле" тази "заплаха" от зловреден код с парола и донякъде с B-boy[styLe], че много по-сериозна заплаха от вирусите и троянците за потребителите представляват хакерските прониквания (поради по-слабата защита срещу тях и по-голямата свобода на действие на "лошковците")... На практика, ако може този някой да отвори архива и да изпълни кода в него, той на практика е в състояние да направи каквото си иска с машината и няма да тръгне да я заразява с троянеца или каквото друго е вътре (отделно, че ще трябва да изключи първо антивируса, защото иначе ще последва автоматичната карантина ). Тъй че според мен си е параноично триенето на архиви с парола...

P.S.: Аз по принцип съм с NOD32, обаче, и следя в лога й кои файлове са заключени (а пък скиновете на Ad-Aware-а от к'ъв зор са ги заключвали с парола, не ми е ясно , да не споменавам каква черга става от всичките десетки хиляди страници на една българска електронна енциклопедия, поотделно отчитани като заключени ).

Редактирано 23 февруари 200719 г. от Shuurfak rai Shedler (преглед на промените)

(отделно, че ще трябва да изключи първо антивируса, защото иначе ще последва автоматичната карантина )

Повечето съвременни антивирусни имат модули които следят за това дали гадинка или процес се опитва да затвори, изтрие или по-някакъв начин да модифицира антивирусната програма...Във версия 5 на Касперски модула се казваше Service WatchDog - klswd.exe за версия 6 на Касперски вече си има направо SELF-DEFENCE модул който защитава антивирусната програма автоматично (ако е стартиран) без да изисква намеса от страна на потребителя...

Както написах в предишния си коментар и по-скоро в цитата от една тема най-добрата защита е редовното обновяване на дефинициите.Червея Bagle също е използвал този метод на разпространение, но за него е открит лек нали...всичко е въпрос на време...

Редактирано 23 февруари 200719 г. от B-boy[StyLe] (преглед на промените)

Няма начин какъвто и да е вирус който си изтеглил в архив да бъде опасен за системата освен ако вече не е инфектирана от него.Още повече няма начин програма да сканира архива без да знае паролата.Друго нещо е , че почти всяка може да дава съобщение когато архива е защитен с парола но това само ще доведе до много излишни съобщения.