VIRY.CZ

Tatry03:
Ano, myslel jsem dřív než dojde k poklepání na ikonu jednotky v případě, že je nastaveno automatické spuštění, nebo spuštění přes menu, prostě dřív než dojde ke spuštění s načteným autorun.inf.
Co se týče USB klíčenky a autorun.inf na Windows 7 a výš tak platí toto (wiky):

Úkoly AutoRunu lze zadat pouze médiím CD/DVD. Pro ostatní jednotky jsou povoleny pouze klíče label (popis) a icon (ikona)

... takže co se týče u mě na Windows 8.1, tak se to týče pouze CD a DVD.
Jestli jde napadnout po pouhém otevření složky netuším, podle mě ne, tedy v případě, že explorer nemá díru nebo nějaké jeho nainstalované rozšíření. Podle mě toto riziko můžeme ignorovat při aktualizovaném systému a případně používání nějakých běžných rozšíření exploreru (např. 7z má rozšíření exploreru, též winrar, k-lite obsahuje icaros atd.). Minimálně to tedy platí pro Windows 8.1

Tatry03 píše:Asi sme sa nepochopili. Z vety:

Co se týče neznámého média vždy překontrolovat co tam je, včetně autorun.inf (např. před tím než poklepeme na ikonu a dáme spustit)

som si myslel, ze mas na mysli "poklepanie" na ikonu USB jednotky, teda jej otvorenie. Preto som sa pytal, ako sa da zistit co tam je skor, ako ju otvorim v prieskumnikovy..
Inak, niektore smejdy sa vraj aktivovali, spustali prave uz pri otvoreni zlozky v prieskumnikovy. Plati to stale?

Mohlo by sa to stat. Povedzme, ze smejd zneuziva dieru, ktora je v kniznici, co zobrazuje nahlad aplikacii. Vtedy staci, ze sa ten nahlad ukaze a diera sa moze zneuzit, malware aktivovat. Preto je lepsie chodit tam nejakym file manazerom, co nema defaultne zapnuty nahlad.

potomac píše:KEO:

Bod 0:
Já to psal stručně. Nestahovat potenciálně nebezpečný soubor je první fáze ochrany. Klidně se stáhnout může. Nejdůležitější fází je tento soubor nespouštět, případně pokud k tomu u běžného uživatele omylem dojde, přemýšlet nad těmito okny:





Poznámka: Výchozí nastavení SmartScreenu je takové, že je třeba k povolení spuštění nerozpoznaných aplikací povolení správce.
Použití dalších množností jako spouštět soubor ve virtuálce je věc jiná, tam se může spouštět co chce.

Bod 2:
Co se týče přípony, při otevření/spuštění souboru platí co jsem uvedl výše a tam ta přípona uvedena je.
Antivir na mail serveru je otázka pro správce mailserveru, tuším, že google a seznam antivir mají. Pokud chce filtrovat uživatel antivirem, tak v tom ppřípadě může zvolit lokální antivir, což je ale podle mě zbytečné.
Výše uvedená ochrana při spouštění souborů postačuje, navíc pokud uživatel používá mailového klienta jako je například outlook, těch výstrach při příjmutí má ještě víc (spustitelné soubory ve výchozím nastavení zakázané, při otevření archivu další výstraha).
Co se týče autorun.inf, výchozí nastavení systému jej nespouští automaticky. Co se týče neznámého média vždy překontrolovat co tam je, včetně autorun.inf (např. před tím než poklepeme na ikonu a dáme spustit).

Bod 3:
Co se týče jmen souborů v příloze mailu, stačí to filtrovat na uživatelské úrovni, to snad nikoho zatěžovate nebude , každopádně se mi to zdá zbytečné. Paranoici si to můžou posílat přes torrent, budou to mít rovnou ověřené pomocí sha1 [ironie].

K bodu 0 - mozem ich aj spustit a nemusim mat system vo virtualke. Staci sandbox browsera, virtualizovany browser, obnova do povodneho stavu, ci aplikovanie cisteho image. Alebo ak to robim nie na svojom PC - teda dialkovo, akoby v karantene cez VNC, remote desktop, aplikacny streaming atd.

KEO píše:Mohlo by sa to stat. Povedzme, ze smejd zneuziva dieru, ktora je v kniznici, co zobrazuje nahlad aplikacii. Vtedy staci, ze sa ten nahlad ukaze a diera sa moze zneuzit, malware aktivovat. Preto je lepsie chodit tam nejakym file manazerom, co nema defaultne zapnuty nahlad.

Psal jsem o tom už tu: http://forum.viry.cz/viewtopic.php?p=1353212#p1353212

Jestli jde napadnout po pouhém otevření složky netuším, podle mě ne, tedy v případě, že explorer nemá díru nebo nějaké jeho nainstalované rozšíření. Podle mě toto riziko můžeme ignorovat při aktualizovaném systému a případně používání nějakých běžných rozšíření exploreru (např. 7z má rozšíření exploreru, též winrar, k-lite obsahuje icaros atd.). Minimálně to tedy platí pro Windows 8.1

Podle mě to riziko lze klidně zanedbat a zobrazovat to i v exploreru, tedy za předpokladu, o kterém jsem psal.

KEO píše:K bodu 0 - mozem ich aj spustit a nemusim mat system vo virtualke. Staci sandbox browsera, virtualizovany browser, obnova do povodneho stavu, ci aplikovanie cisteho image. Alebo ak to robim nie na svojom PC - teda dialkovo, akoby v karantene cez VNC, remote desktop, aplikacny streaming atd.

To ano, však o tom jsi psal minule: http://forum.viry.cz/viewtopic.php?p=1353052#p1353052 A ty "další možnosti" jsou právě ty, o kterých píšeš. Psal jsem, že jsem to psal stručně, takže jsem vše nerozebíral, ani jsem to nerozebíral v komentáři, kde jsem uvedl pouze virtuálku. Pokud to chceš rozebrat tak můžeš třeba v příspěvku jak se chovat k "neznámým a cizím souborům" . A tu virtuálku jsem zmínil skrz to, že z možností je asi jediná mnou používaná a zdá se mi nejvhodnější a nejpohodlnější pokud někdo chce spouštět neznámé cizí soubory (tedy hlavně je to případ těch spustitelných), v případě dokumentů a audiovizuálních souborů je zase věc trošku jinak a to už by chtělo zase rozebra, což nebudu a to můžeš ty, ale samostatně, ne v reakci na mou rekci kde reaguji na tvou reakci, která byla reakcí na můj příspěvek, kde jsem psal stručně a nepsal jsem vše dopodrobna, což se týkalo a týče i mých reakcí.

POTOMAC:

v reakciach si pisal, ze autorun.inf funguje iba pri CD/DVD. Neviem, ci to vo Win8.1 je zmenene, ale na starsich systemoch to fungovalo aj na klucenkach, flash diskoch, internom HDD.

KEO píše:POTOMAC:

v reakciach si pisal, ze autorun.inf funguje iba pri CD/DVD. Neviem, ci to vo Win8.1 je zmenene, ale na starsich systemoch to fungovalo aj na klucenkach, flash diskoch, internom HDD.

Co ti není jasné na tomto?
http://forum.viry.cz/viewtopic.php?p=1353212#p1353212

Co se týče USB klíčenky a autorun.inf na Windows 7 a výš tak platí toto (wiky):

Úkoly AutoRunu lze zadat pouze médiím CD/DVD. Pro ostatní jednotky jsou povoleny pouze klíče label (popis) a icon (ikona)

Logicky to tedy platí pro Windows 7, Windows 8, Windows 8.1, bude platit (platí) pro Windows 10...
... a pro starý mrtvý operační systém XP a polomrtvou Vistu to neplatí, tam se autoruns.inf vykonává celý i na USB klíčence.

A poznámka: Podle mě by hw i sw měl uživatel občas obměňovat, jak z hlediska uživatelského komfortu, tak z hlediska bezpečnosti. A jelikož tu s námi Windows 7 je už přes 5 let, tak podle mě už moc smysl nemá řešit něco staršího než tento OS. Teda aspoň já tak činím.

Nerobim rozdiely medzi zabezpeceniami roznych verzii Windows. Z roznych dovodov su dodnes vyuzivane a tak sa to snazim ponimat globalne.

Uz som videl viry napalene aj na CDckach, tak si nebudem hovorit, ze to je malo pravdepodobne. Prave z takych myslienok - to sa mne nemoze stat, nerobit toto, hento, su miliony zavirenych PC po celom svete.

KEO píše:Nerobim rozdiely medzi zabezpeceniami roznych verzii Windows. Z roznych dovodov su dodnes vyuzivane a tak sa to snazim ponimat globalne.

Tak rozdíly mezi různými verzemi Windows jsou, tak je správné i dělat rozdíly mezi zabezpečením. Pokud chceš řešit zabezpečení třeba u XP tak je přece správné uvést jaké rizika čekají tam, přece je špatné radil globálně kontrolovat autorun.inf i na windows 7 a výš u usb klíčenek, když se to týká pouze Vist a starších verzí Windows.

KEO píše:Uz som videl viry napalene aj na CDckach, tak si nebudem hovorit, ze to je malo pravdepodobne. Prave z takych myslienok - to sa mne nemoze stat, nerobit toto, hento, su miliony zavirenych PC po celom svete.

A co radím? Já radím právě kontrolovat cd/dvd na Windows 7 a výšších verzích. Naopak jsem uvedl, že autorun.inf (ta část spuštění programu) se nevykonává třeba na usb klíčenkách, takže tam se to řešit nemusí, co se týče těchto verzí Windows.

virusradar.com
9. Win32/Adware.MultiPlug

Kdo sbírá body? No přece běžný uživatel s antivirem, tedy zloděj. Takoví lidé jsou šťastní, protože ví oné kouzelné slovíčko crack. Když jej dají do google s názvem programu, hodí jim google odkaz na weby, kde najdou linky.



... a přece to tlačítko s adwarem:
https://www.virustotal.com/cs/file/ddf4 ... 414292348/
bez cracku je větší než odkaz.

Pokud si adware nainstalují, tak je čeká toto:



... a poté třeba toto:



Pokud si nainstalují crack:
https://www.virustotal.com/cs/file/ec7f ... /analysis/
čekají uživatele muka jestli v tom cracku něco není i když je hlášen pouze jako riskware. Ale čeká ho i jedno milé potěšení, crack (spustil jsem jej pouze za účelem testování) má hezkou písničku tuc-tuc, poslouchám ji tu už poněkolikáté, kdyby věděl někdo název a odkaz na youtube, tak budu rád, děkuji.

A to vše podstupuje uživatel proč? A jak se proti tomu bránit? Jdeme tedy diskutovat jaké zabezpečení je vhodné pro tohoto běžného uživatele - zloděje aby se ubránil 9. hrozbě v žebříčku virusradar.com tedy Win32/Adware.MultiPlug, která se běžně nachází na stránkách s nelegálním softwarem.
Jasně že vždy jde o chování uživatele. Například jestli krást nebo ne, to adware i ten crack rozhodně nejsou vhodné řešení pro uživatele, jak se chovat na webové stránce, nestahovat a nespouštět vše, na co člověk přijde.
Nebo je pro uživatele - zloděje řešením antivir? Například Avast řeší až některé soubory během instalace toho souboru s adwarem, ne samotný soubor a během instalace zůstane instalace viset. Jak je tedy důležitá detekce všech potenciálních hrozeb? Je tedy relevantní, když hrozba není detekovaná, přičemž to ničemu nevadí, protože bude detekovaný až činnost při zavádění něčeho, přičemž to něco může být jiné než to původní?

A jedna překvapivá věc. Proč antiviry automaticky neblokují všechny soubory určené jednoznačně k nelegální činnosti a to bez možnosti toto opatření vypnout?

Jak vidíte na výše uvedeném příkladu, obecné rady jako nekrást, nestahovat všechno možné a nespouštět všechno možné, stačí a antivir je jako ochrana zbytečný.

Pekna analyza
Neda sa nez suhlasit. Zaroven sa my vidi, ze v tomto budu vsetci zucastneni zajedno. Stahovanie podobnych zalezitosti a ich instalacia "automaticky" rucaju akukolvek snahu, diskusiu o zlepsenie bezpecnosti na PC uzivatela. Bez ohladu na aktualizacie, nastavenia ci antivirusy.

Otazka automatickeho blokovania AV produktami. Z jednej strany na to budu mat vplyv konkretne nastavenia (detekcia PUA a podobne) a jednak to bude aj marketingovo/pravny problem. Myslim, ze AV umoznuje aj u inych "virusov" ich povolenie, ak je to "zelanie" uzivatela, teda je moznost povolit cokolvek skodlive. (Ak sa mylim, opravte ma.)

potomac píše: ... A jelikož tu s námi Windows 7 je už přes 5 let, tak podle mě už moc smysl nemá řešit něco staršího než tento OS. Teda aspoň já tak činím.

ja mam pocitace aj s WXP a mam dojem, ze aj starsie systemy, ako sedmicky, su dost stale rozsirene.
Ja osobne mam W8 a WXP a Linux od Oracle, ale najviac riesim problemy so sedmickami, Vistami a XP.

POTOMAC:
prosim vyhybajme sa porusovaniu pravidiel fora a snad nebudeme radit uzivatelom, ako zabezpecovat PC s crackovanim softu. Jednak je to proti pravidlam, jednak je to proti logike veci, lebo samotne cracky su len zelanim uzivatela, ze by to snad mohlo fungovat, aku ma predstavu on, ale realita je, ze na pozadi to moze robit cokolvek.

Tatry03:
samozrejme, da sa zabezpecit PC aj takemu uzivatelovi /nebudem rozoberat/. Problem je, ze ak ten uzivatel moc chce, tak si tie ochrany vypne, lebo sa nenecha otravovat niecim, co mu to zakazuje.

Pavuk29:
presne - WinXP su velmi caste, dokonca i Windows 2000 sa trebars vo firmach este pouzivaju. Nedavno som mal dokonca ziadosti o downgrade z Win8.1 na Win7 pre niektore sietove funkcie Win8.x, ktore sli k horsiemu.

tak ja si myslim, ze XP a sedmicky este chvilku treba brat na vedomie.

Otazkou, ci sa staci chranit aktualizaciami, alebo aj AV niecomu pomozu sa svojim sposobom zaoberaju aj u Dennis Technology Labs. Vydali uz dve spravy na tuto temu.
http://forum.viry.cz/viewtopic.php?f=29&t=136531
Opat, co hovorite na pouzite hrozby? (A vysledky ako take?)

Tatry03 píše:Otazkou, ci sa staci chranit aktualizaciami, alebo aj AV niecomu pomozu sa svojim sposobom zaoberaju aj u Dennis Technology Labs. Vydali uz dve spravy na tuto temu.
http://forum.viry.cz/viewtopic.php?f=29&t=136531
Opat, co hovorite na pouzite hrozby? (A vysledky ako take?)

To je zase pohlad bud, alebo.... V konecnom dosledku, nemusim mat ani antivirak, ani aktualizacie a system moze byt cisty aj tak

Na stare systemy sa klasicky neda ani inak zabezpecovat, ako AV aktualizacie, bez aktualizacii systemu, ktore funguju. Takto dodnes funguju trebars pocitace s Windows 2000 vo firemnych sietach.