Снова о настройках COMODO ANTIVIRUS. Короший антивирусник, если в компьютер вставлена инфицированная флешка должен лечить её мгновенно. У меня этого не происходит. Настройки все умолчальные. Что нужно сделать?
Увы, Iskatel S, этого не происходит не только у вас, и не только при умолчательных настройках, а, похоже, при любых.
Чтобы лечить инфицированную флешку ее нужно проверять, т.е. искать что там лечить то.
Для того чтобы проверить флешку нужно потратить память и процессорное время (и не малое исходя из объемов современных флешек).
Хорошим называется антивирус который грузит систему?
Зачем тратить ресурсы, если непосредственно при подключении флешки безопасности системы пока ничего не угрожает. Другое дело попытка что то запустить с этой флешки или попытаться перебросить через забор охраняемого объекта - т.е. скопировать на жесткий диск.
Задача CIS не пропустить “за забор”, а рекомендуемый метод лечение у него один - растрел на месте (удаление) при попытке перелезть через забор. Если будет в настроении то может изловить и заточить в казематах крепости (карантин).
Или Вы говорите о том, что CIS позволяет запускать зараженные файлы с флешки или копировать их на диск и потом запускать ?
Если флешка чужая, то мне плевать на весь тот зоопарк который там содержит ее хозяин. Я не собираюсь тратить ресурсы своей системы на проверку его флешки - главное чтобы ко мне это не попало. Если флешка моя, то “на входе” я могу (но не буду) вызывать ручное сканирование, а “на выходе” CAV проверяет файлы на моем жестком диске которые я буду копировать на флешку.
zil968, внятно и разумно. :-TU
А вот для меня не внятно и не разумно. У моего одногрупника антивирус стоит, который систему не грузит вообще, тем не менее если к нему воткнуть инфицированную флешку - сразу же выскочит сообщение, что вирус найден и удалён. Для того чтобы проверить наличие авторуна - много процессорного времени не требуется.
Я на работе всем пользователям поставил CIS с умолчальными настройками и учётную запись понизил с “Администратора” до “Опытного пользователя”. Тем не менее постоянно чего-то хватают. По сайтам сомнительного содержания не лазают, люди серьёзные, тем не менее при каждом третьем-четвёртом сканировании что-то у них да находится. Вывод - вся зараза с флешек, что им клиенты приносят.
Ну да, так делает Авира и еще много кто.
Но вот помню ситуацию, когда так же не читала флешки SEP. Просто их не видела. И очень даже легко с нее можно было в систему запустить вирус. А вот здесь другая закономерность, которую ребята выше описали: типа по шее дать могем, но не хотим, но и нашкодить не дадим. Очень это напоминает. То есть не баг, а фича. 
Если автозапуск разрешен, то в момент загрузки на исполнение файлов, прописанных в autorun.inf и антивирус CIS подсуетится, и проактивная защита начнет работать. Антивирусы для уменьшения времени сканирования могут при наличии на сменном носителе файла autorun.inf анализировать его содержимое и проверять то, на что он ссылается, и, возможно, проверять корневой каталог. Если вирус не имеет отношения к autorun.inf и не в корне, а лежит в каком то каталоге, то обнаружен он будет только при обращении к нему. Или надо сканировать всю флешку.
Автозапуск отключить, запуск вообще любых программ с флешки “зарезать” политиками ограниченного использования программ (в пределе все кроме %windir%, %ProgramFiles%) и ждать пока малварь (не знаю как) полезет через “забор” - там с ней CIS как то уж разберется. Неужели есть такая уж необходимость в автозапуске и запуске программ с флешек?
Пускай себе находится. Лишь бы не запускалось. Обновилась база, может что то и стало обнаруживаться. Особенно если сканирование еженедельное и тогда “при каждом третьем-четвёртом” это почти месяц. А чтобы не запускалось надо поработать с настройками проактивной защиты. Интересно, где клиенты постоянно берут такую свежую малварь которой нет в базах сигнатур, или у Комодо базы совсем никудышние или сами клиенты пишут…
Привет всем!
Хочу от себя кое-что о защите флешек добавить.
Это скорее надо тем кто по каким-то соображениям не хочет у себя на ПК отключать автозапуск.
Все знают, что для того чтобы вирус с флешки запустился, на флешке должен находится Autorun файл с описанием процедуры запуска этого вируса.
Есть программы которые Иммунизируют флешку от создания на ней каких либо Autorun файлов. Но это можно сделать и без них, с помощью командной строки.
Принцип Иммунизации основан на том, что на флешке создаётся папка с названием Autorun.inf
И когда на флешку попытаться записать файл Autoun.inf, он попадёт в эту папку, а не в корневой каталог. А оттуда он не запустится, даже если включён автозапуск флешек.
Я давно этим методом пользуюсь, выручал не один раз. Когда приходилось подключать флешку к чужому заражённому ПК.
Итак, создание папки Autorun.inf
Подключаем флешку к ПК. Если на ней имеется какой либо файл Autorun удаляем его.
Запускаем Командную строку и вбиваем для создания папки:
mkdir “\?\h:\autorun.inf\lpt3”
Для удаления папки вбиваем:
rmdir “\?\h:\autorun.inf\lpt3”
ВНИМАНИЕ: там где написано h: это буква под которой у меня флешка поключена к ПК, вам надо туда ввести свою.
Для полноты информации привожу на них ссылки:
Panda USB Vaccine
http://www.pandasecurity.com/russia/homeusers/downloads/usbvaccine/
USB immunizer
http://labs.bitdefender.com/?page_id=108
Тут не совсем верно. Создание папки с именем Autorun.inf просто исключает возможность создания в том же месте одноименного файла. От простеньких вирусов это в принципе спасет.
Для ХР я давал совет как избавиться от ЗАПУСКА авторана (равно как и любой другой проги) с флешки, которая воспринимается системой как СЪЁМНЫЙ носитель, средствами правил для Комодо.
В принципе, можно было сделать любую флешку (в смысле неважно под какой буквой она цеплялась) в режиме “только для чтения” с помощью правил. Тогда для запуска любой проги, её необходимо было перенести на локальный диск, а вот тут и могли сыграть роль все антивирусы и т.д.
Для внешних хардов, которые определяются как “локальный диск”, это не прокатывало (вроде бы, хотя не помню, там другой баг был, который, возможно, так и не вылечили).
Однако для Вынь7 (виста, 2008) я так и не нашёл такой же универсальной строчки, увы.
Помнится один серьёзный человек (программист с 20+ летним стажем) меня уверял, что для активации вируса не обязательно запускать заражённый файл на выполнение, достаточно лишь того чтобы зараженный файл на диске просто находился.
Этот файл должен быть прочитан в любом случае, так что принципиальной разницы для антивируса нет.
Да, вирус может находится вовсе не в запускаемом ехе-файле. Я не могу знать что конкретно имел в виду этот серьёзный человек с 20-летним опытом, но можете ему поверить. Например, возможно он имел в виду DLL плюс ключ реестра AppInit_DLLs, которые до сих пор еще малварью эксплуатируется. Однако
- Для того, чтобы что то сделать в системе, надо заставить процессор выполнить сотню-другую машинных команд.
- Команды эти (код) могут находится только в памяти.
- Загружаться в память (не вникая в детали как/чем) этот код будет из того зараженного файла, который на диске просто находится. т.е.
Не считая того, что проактивная защита Comodo знает и контролирует кучу способов заставить процессор что то выполнить.
Что-то подобное уже давно используется и расписано в интернете на 100 раз: в папке AUTORUN.INF создается еще одна папка LPT, и тогда удалить или заменить папку AUTORUN.INF возможности не будет - система не сможет удалить папку с именем принтера…
Удалить или заменить не сможет, а вот переименовать - запросто.
Ну вот, перешли к защите флешек от заразы. Вернёмся всё-таки к защите компьютеров от флешек. Да, я уже не первый раз уясняю для себя что специфика продукта CIS в том, что тут основную защиту обеспечивает не “Антивирус”, а “Проактивная защита”. И именно она должна не дать флешечному вирусу активироваться.
Ну dll это понятно. А с какой целью антивирусы тщательно проверяют, ну скажем файлы doc? Или вот недавно лечил комп, а с него антивирус удалил несколько desktop.ini. Но ведь desktop.ini - это текстовый файл, не могущий содержать никакого кода.
Расширение файла - это лишь удобство для пользователя для идентификации + регистрация для программ “по умолчанию”.
Сам по себе файл - набор символов, которые могут быть чем угодно. Для функций, загружающих код в память нет разницы как вы этот файл назовёте. Далее для выполнения инструкций в загруженном файле достаточно точек входа и всё.
Как пример, переименуйте любой EXE файл в файл DOC. Суть файла не изменилась, только поведение при щелчке мышкой. А для запуска проблем никаких.
Файл desktop.ini является текстовым сценарием, заставляющим систему предпринимать некоторые дейтвия и может содержать опасные параметры.