next »

[Ştiri]

  Ştiri
   Hardware
   Software
   Internet
   Jocuri
   Diverse
  
  Teste şi prezentări
   Procesoare
   Plăci de bază
   Memorii
   Plăci video
   Diverse
   Software & Jocuri

[Foxter]

Threadul se vrea a fi un scurt ghid pentru protectia calculatorului cu ajutorul Antivirusului, Firewallului si utilitarelor Antispyware precum si a utilitarelor de protectie generala.


Intai o scurta descriere a principalelor categorii de malware:

Virusi (Viruses): Mici programe distructive ce se multiplica si sunt atasate de fisiere(gazda) si incearca sa se strecoare nedetectate pe calculatoare.

Troieni (Trojans): Programe care se ascund sub aparenta unui program util (sau macar interesant) dar care
odata activat lanseaza un virus sau un alt tip de malware.

Viermi (Worms): Programe autoreplicante ce nu au nevoie de o gazda ca sa se multiplice.
Prin simpla lor prezenta ocupa latimea de banda in retele. Dar aceasta e cea mai mica problema ce o fac. In general ei se ocupa de provocarea de distrugeri software sau de deschiderea larga a portii de intrare in calculator pentru alt malware.

Exploituri (Exploits): Malware ce se bazeaza pe folosirea unor erori de programare in sistemul de operare erori ce nu au fost reparate de service packs/patchuri inca, sau pentru care nu au fost aplicate service packs/patchurile necesare.
Completare la definitie:
O bucata de cod, executabila, care se foloseste de un bug in sistemul de operare sau in orice alt program ce ruleaza pe un sistem. De obicei, exploiturile nu cauzeaza daune, ci doar permit unui atacator sa ruleze cod arbitrar, care ii va da posibilitatea sa faca prostii.

Backdoor-uri (Backdoors): Programe distructive ce permit controlul unui calculator de la distanta (un fel de remote administration 1000% ilegal).
Completare la definitie:
Nu este neaparat un program, ci poate fi un semi algoritm, o regula sau orice altceva permite accesarea unui sistem, trecand peste metoda oficiala de autentificare.

RootKituri (Rootkits): Programe malitioase cu o capacitate extrem de mare de a se ascunde in sistemul de operare unde deturneaza functile legitime ale sistemului de operare pentru scopuri destructive cum ar fi actiuni de backdoor.
Completare la definitie:
Rolul sau este de a ascunde anumite procese sau de a da drepturi superioare unui utilizator restrictionat. Termenul se mai foloseste si pentru a denumi si "instalerul" care foloseste un exploit sa instaleze un backdor.

Categoria Spyware/AdWare ilegal:

Spyware: Programe ce se ocupa de urmarirea obiceiurilor sau informatilor utilizatorilor de calculatoare. AdWare-ul ilegal: Vine cu programe ce se nu se platesc dar are exact acelasi actiune ca Spyware-ul.

Aici se incadreaza si Keyloggerele care urmaresc parolele/informatiile tastate de utilizatori dupa ce s-au strecurat inainte pe calculatoarele in cauza.

Tot aici se mai poate vorbi si de Browser Hijacker, programe spyware ce modifica homepage-ul browserului de internet folosit ca sa afiseze pagini cu reclama sau cu malware si/sau sa deschida pagini cu reclame enervante.

Un tip de escrocherie foarte intalnita actual e atacul unor programe asa zis AntiSpyware (Rogue antispyware) care enerveaza utilizatorul anuntandu-l ca a fost infectat cu spyware incercand sa il faca sa cumpere produsul lor pentru a scapa de infectie.

Pentru fiecare din problemele mentionate exista solutii mai mult sau mai putin eficiente.

Pentru Virusi(Viruses),Troieni (Trojans), Exploituri (Exploits), Backdoor-uri (Backdoors) si partial si pentru Viermi (worms), RootKituri (Rootkits), Keyloggere se folosesc programe AntiVirus.

Pentru Viermi (worms) solutia de prevenire este folosirea unui Firewall.

Functile Antivirusului: Verifica programele incarcate in memoria calculatorului si fisierele ce sunt accesate. Unii antivirusi mai verifica si fisierele ce fac parte din traficul internet.Unii antivirusi au si sistem de prevenire a intruziunilor (IDS). In unele cazuri Antivirusii au inglobata in ei capacitatea de a detecta si Spyware si RootKituri (Rootkits).

Detectia malwareului se bazeaza la antivirusi in general pe 3 metode:

1-Verificarea dupa semnaturi (parti ale programelor malware inregistrate in baza de date a antivirusului).

2-Verificarea heuristica ce se bazeaza pe tipul de comportament al malware-ului. (Practic daca se comporta ca un virus si arata ca un virus, atunci e mare probabilitatea sa fie un virus). Analiza heuristica este foarte utila pentru detectia malwareului ce nu a fost descoperit si nu a fost inclus in baza de semnaturi sau la aparitia de mai noi versiuni a unor programe malware.      

3-Protectia proactiva (nu este prezenta la toti antivirusii) care are rolul de protectie in cazul malwareului care nu e inca detectat prin semnatura/prin analiza heuristica primara. Ea cauta sa verifice fiecare actiune a fisierului potential suspect si anunta userul si/sau ia masuri de blocare a actiunii suspecte.

Ca alternativa in lipsa unei protectii proactive incluse in antivirus sau in programul antispyware ce completeaza antivirusul se pot folosi programe de tip HIPS (Host Intrusion Protection System) cum ar fi AntiHook 2.6 si System Safety Monitor Free.

Un antivirus are 2 componente:

1-Partea rezidenta ce verifica (scaneaza) real-time calculatorul pentru a impiedica infiltrarea malware-ului.
2-Partea de verificare (scanare) la cerere (On Demand) folosita cand utilizatorul vrea sa verifice mai amanuntit sistemul impotriva malware-ului.

Functile Firewalului:
Firewalul are rol de filtru intre calculator si retea (retea insemnand de la retea LAN si pana la reteaua Internet). El filtreaza pachetele de date ce intra si pleaca din calculatorul sau reteaua pe care o protejeaza. Un firewall poate fi hardware sau software. Un firewall trebuie sa permita doar trecerea informatilor utile pentru calculator prin el si nu a celor malware. Un firewall e prima linie defensiva impotriva Viermilor (Worms) nepermitand intrarea acestora pe calculatorul protejat. Daca totusi se reuseste pacalirea Firewallului prin trecerea de el programul malware fiind mascat ca trafic legitim, atunci Antivirusul trebuie sa preia lupta odata ce malware-ul trece de firewall. Unele firewaluri (cum este cel de Windows) blocheaza doar traficul nedorit venit din afara si lasa sistemul vulnerabil (daca nu exista un antivirus de veghe). Un firewall bun trebuie sa filtreze si traficul venit dinspre calculatorul protejat pentru a da alarma daca un malware deja ajuns in calculator incearca sa se conecteze la internet.

Pentru protectia contra Exploit-urilor este necesara updatarea tuturor programelor folosite astfel incat bugurile ce pot fi exploatate sa fie rezolvate.

Firewallul si Antivirusul nu sunt suficiente in toate cazurile, folosirea updateurilor la sistemul de operare si la programele utilizate fiind necesara.

Contra malwareului de tip Spyware/AdWare ilegal se pot folosi si programe Antivirus dar in general este recomandata folosirea unor produse dedicate antispyware.

Rootkiturile sunt cele mai bine ascunse programe malware putini antivirusi reusind sa detecteze si sa elimine acest tip de probleme odata ce au ajuns pe calculatorul in cauza.
Totusi exista programe specializate in detectia si eliminarea Rootkiturilor.

Programe Antivirus free:
O mentiune este necesara: programele free au facilitati mai reduse ca versiunile lor comerciale.

Avira Antivir Personal Edition Classic.
Un program eficient si rapid si care poate verifica (daca este setat pt acest lucru) si categorii mai complexe de malware dar care nu ofera Web Scanner si protectie a mailului si are un sistem de update-uri automate limitat la un update automat pe zi. Utilizatorul trebuie aiba grija ce mailuri deschide si sa faca update manual la antivirus pentru o siguranta mai mare.

Nota: E recomandata folosirea alaturi de el a unui utilitar antispyware deoarece versiunea free nu are protectie antispware. Se pot folosi cu succes in combinatie cu el Threadfire sau Arovax Shield.

Avast Home Edition Free.
Acest antivirus  este destul de eficient si rapid, are si un utilitar rezident de verificare a traficului internet la navigarea pe internet si un sistem IDS de baza dar ca limitari nu verifica scripturile in versiunea free iar updateurile la baza de date antivirus apar cam rar. Necesita inregistrare gratuita pentru a fi folosit 14 luni dupa care poti sa ceri alta cheie gratuita pentru inca 14 luni.

AVG Free .
Un antivirus acceptabil, rapid dar care are ca limitari updateuri cam rare, limitari la categoriile de malware detectat si curatat si faptul ca nu poate fi configurat foarte detaliat.
Nota: E recomandata folosirea alaturi de el a unui utilitar antispyware deoarece versiunea free nu are protectie antispware.

Programe Firewall Free:

Zone Alarm Free . Firewall destul de eficient si foarte usor de configurat dar care consuma putin cam multe resurse si este un pic cam neprotejat la unele atacuri de tip "Injection Atac" (atacuri in care malware-ul se foloseste de permisiunea de acces data browserului pt a trece de firewall).

Sygate Personal Firewall 5.5.2710.
Un Firewall eficient si cu un consum de resurse scazut dar care din pacate nu a fost dezvoltat in continuare (exista si versiunea 5.6 dar care este Beta si poate face probleme) dupa ce firma a fost cumparata de Symantec.

Comodo Personal Firewall
Un Firewall care nu lasa nimic sa treaca fara sa te intrebe dar care este destul de dificil de configurat (in cazul configurarii imperfecte poate sa incetineasca conexiunea la internet).

Jetico Personal Firewall v.1 freeware
Un Firewall eficient dar pentru multi prea agasant (intreaba extrem de des cand isi face regulile de allow si deny). Din pacate nu mai este updatat deoarece compania ce il producea s-a concentrat pe versiunea comerciala.

CoreForce
Un Firewall foarte eficient dar cam greu de configurat.

Utilitare Anti-Spyware/AdWare Ilegal:

Malwarebytes' Anti-malware Free.
Ad-Aware Free. Un program eficient si free dar care nu permite monitorizarea rezidenta AntiSpyware.
Spybot Search and Destroy. Un alt utilitar eficient si free.
SUPERAntispyware free. Un utilitar free eficient acolo unde Spywareul mai capos face probleme Ad-Aware.
SpywareBlaster - un program freeware menit să prevină instalarea de spyware, adware, browser hijackers, dialers sau malware în alte forme pe un sistem.

Monitorizare realtime anti-spyware/adWare ilegal:

Comodo BOClean-un program ce sta in fundal si monitorizeaza schimbarile asupra sistemului de operare intervenind atunci cand ceva suspect este detectat.

Spyware Terminator. Avantajul principal al programului il reprezinta sistemul HIPS (Host Intrusion Prevention System) care monitorizeaza tot ce misca in sistem. Are si un scanner AV realtime integrat bazat pe ClamAV. Cu HIPS si ClamAV active consumul de resurse este destul de mare.
Nota: Producatorul programului a fost in trecut distribuitor de spyware. Acest lucru ridica unele semne de intrebare asupra lui Spyware Terminator. Actual nu s-au mai descoperit acte suspicioase ale producatorului asa ca Spyware Terminator este considerat un program de incredere. Nu pot sa il recomand 100% datorita motivului prezentat anterior.

Utilitare Anti-RootKit:

F-Secure BlackLight.
RootkitRevealer .
ProcessGuard.
GMER.
IceSword.

Utilitare ce pot fi folosite pentru identificarea urmelor programelor malware / eliminarea programelor malware:
Autoruns
HijackThis, Ghid de utilizare
Process Explorer. Programul permite verificarea proceselor active in Windows mult mai bine ca Task Managerul.
Process Monitor.
KillBOX.

Pentru a fi sigur de lipsa malwareului de pe calculator se pot face verificari cu ajutorul scannerelor online:

Trend Micro HouseCall Free Online Virus Scanner.

Kaspersky Lab Online Virus Scan.

Panda ActiveScan.

F-Secure Online Scanner.

McAfee Online virusscanner.

BitDefender Online.

Eset Online Scanner.

CA Threat Scanner.

Symantec Security Check.


Scanare pentru fisiere individuale suspecte:

Jotti's malware scan.

Virustotal.

Kaspersky File Scanner.

ThreatExpert.

Ca masuri de protectie generale suplimentare impotriva malware-ului se mai pot folosi:

AntiHook 2.6 (versiunea free).
System Safety Monitor Free.
Sandboxie.
Arovax Shield.
ThreatFire.


IMPORTANT:

INSTALAREA WINDOWSULUI SE FACE CU CONEXIUNEA DE RETEA DEZACTIVATA DEOARECE POT INTRA VIERMI (WORMS) DACA SISTEMUL NU ARE UN FIREWALL.

Pentru protectie eficienta, SISTEMUL DE OPERARE, ANTIVIRUSUL, ANTISPYWAREUL, FIREWALLUL, BROWSERUL  TREBUIE SA FIE ACTUALIZATE (UPDATATE).

Changing threats, changing solutions: A history of viruses and antivirus.

Trends in Badware 2007: What internet users need to know.

Sase greseli majore in securitatea computerelor.

[cRacanel]

Nu vreau sa sune ciudat, sau sa minimalizeze eforturile depuse si calitatea articolelor, dar usor-usor forumul devine "portal de tutoriale excelente".

Daca toata lumea ar citi si pune in aplicare toate tutorialele astea, nu ar mai fi nicio problema.

[nicolin]

FOXTER, un articol excelent! Felicitari!

[gexge]

Bravos !

PS: Cum dau steluţe ???

[ccc]

Comentarii:

Rootkit: nu e un program malware (btw, asta ce e? ), el nefacand nimic "rau" pe un computer. Rolul sau este de a ascunde anumite procese sau de a da drepturi superioare unui utilizator restrictionat. Termenul se mai foloseste si pentru a denumi si "instalerul" care foloseste un exploit sa instaleze un backdor.

Backdor: nu este neaparat un program, ci poate fi un semi algoritm, o regula sau orice altceva permite accesarea unui sistem, trecand peste metoda oficiala de autentificare. De exemplu, la adminul unui site, un programator poate folosi urmatorul pseudo algoritm, atunci cand scrie procedura de autentificare:
Daca user = uberleetprogrammer atunci da drepturi de admin
daca nu, verifica in baza de date

Asta e un backdor.

Exploit: O bucata de cod, executabila, care se foloseste de un bug in sistemul de operare sau in orice alt program ce ruleaza pe un sistem. De obicei, exploiturile nu cauzeaza daune, ci doar permit unui atacator sa ruleze cod arbitrar, care ii va da posibilitatea sa faca prostii.
De exemplu, in kernelul Linux exista un bug in functia de core dump, care dadea posibilitatea unui atacator sa ruleze o bucata arbitrara de cod. Exemplul cu care a fost demonstrat acel bug, era un programel, care crashuia sistemul de operare. In acest caz, programul exploit propriuzis nu facea decat sa crape

[bro]

am si eu o nelamurire. cum naiba stau unii cu nod32 fara nici un fel de firewall? nici macar cel de la windows. si sunt curati.

am net de la erdeesh. foloseam bitdefender. iaca intr-o zi ma leg la net, dau sa intru pe un site si canci. nu pot accesa nici un site. dezactivez firewallu si totul revine la normal. bag kaspersky, la fel. firwallu imi blocheaza accesul pe exterior. scot firewallu si il bag pe cel de windows. same thing. atunci am bagat nod32 ca el nu are firewall [uram ideea de a folosi o solutie completa ca bitdefender sau kaspersky si sa dezactivez firewallul] si de atunci stau fara nici un firewall activ. am vorbit cu o gramada de useri si toti care folosesc nod32 nu au firewall. acum stiu ca antivirusurile moderne au proactive defence ce ar putea juca rol de firewall dar e de ajuns? si ma mir ca de vreo 2 luni deja de cand nu am firewall nu sunt infectat. care-i ideea?

ps; va rog nu transformati asta intr-un flame pe subiect de antivirusuri.

[ccc]

am si eu o nelamurire. cum naiba stau unii cu nod32 fara nici un fel de firewall? nici macar cel de la windows. si sunt curati.

am net de la erdeesh. foloseam bitdefender. iaca intr-o zi ma leg la net, dau sa intru pe un site si canci. nu pot accesa nici un site. dezactivez firewallu si totul revine la normal. bag kaspersky, la fel. firwallu imi blocheaza accesul pe exterior. scot firewallu si il bag pe cel de windows. same thing. atunci am bagat nod32 ca el nu are firewall [uram ideea de a folosi o solutie completa ca bitdefender sau kaspersky si sa dezactivez firewallul] si de atunci stau fara nici un firewall activ. am vorbit cu o gramada de useri si toti care folosesc nod32 nu au firewall. acum stiu ca antivirusurile moderne au proactive defence ce ar putea juca rol de firewall dar e de ajuns? si ma mir ca de vreo 2 luni deja de cand nu am firewall nu sunt infectat. care-i ideea?

ps; va rog nu transformati asta intr-un flame pe subiect de antivirusuri.

Poate te-ai maturizat si tu si nu mai dai clicuri pe tot ce misca

[bro]

and that's it? nici un troian in background? nimic? oricum nu poti fi sigur 100% tot timpul. n-am firewall si totusi inca mi se pare o idee ridicola...

oricum apreciez creditul pe care mi-l dai doar cu buletinul

[Foxter]

Comentarii:

Rootkit: nu e un program malware (btw, asta ce e? ), el nefacand nimic "rau" pe un computer. Rolul sau este de a ascunde anumite procese sau de a da drepturi superioare unui utilizator restrictionat. Termenul se mai foloseste si pentru a denumi si "instalerul" care foloseste un exploit sa instaleze un backdor.

Backdor: nu este neaparat un program, ci poate fi un semi algoritm, o regula sau orice altceva permite accesarea unui sistem, trecand peste metoda oficiala de autentificare. De exemplu, la adminul unui site, un programator poate folosi urmatorul pseudo algoritm, atunci cand scrie procedura de autentificare:
Daca user = uberleetprogrammer atunci da drepturi de admin
daca nu, verifica in baza de date

Asta e un backdor.

Exploit: O bucata de cod, executabila, care se foloseste de un bug in sistemul de operare sau in orice alt program ce ruleaza pe un sistem. De obicei, exploiturile nu cauzeaza daune, ci doar permit unui atacator sa ruleze cod arbitrar, care ii va da posibilitatea sa faca prostii.
De exemplu, in kernelul Linux exista un bug in functia de core dump, care dadea posibilitatea unui atacator sa ruleze o bucata arbitrara de cod. Exemplul cu care a fost demonstrat acel bug, era un programel, care crashuia sistemul de operare. In acest caz, programul exploit propriuzis nu facea decat sa crape

Malware = software creat special pentru face actiuni ilegale/pagube direct sau indirect.
Multumesc pentru completari.

[ozzy]

Dragi tavarasi, tin sa va anunt ca de juma' de an functionez foarte frumos si bine doar cu NOD32 si Firewall de la SP2 on, setat sa deschida doar porturile care le cer eu. N-am nici o treaba, da' nici una!! Exista cineva cu acelasi sistem de protectie si poate spune ca a dat gres?

[Danyx]

Si eu folosesc doar Nod32 dar am si sygate pro ......impreuna se descurca EXCELENT

[bro]

insa eu ma referam la o solutie fara firewall propriuzis.

[tujako26]

Felicitarile mele, Foxter! Excelent thread!

[bro]

si totusi astept de o asptamana si ceva si nima nu mai raspunde...

ps: pt a readuce aminte subiectul, vorbeam de protectia fara firewall

[Velkan]

am si eu o nelamurire. cum naiba stau unii cu nod32 fara nici un fel de firewall? nici macar cel de la windows. si sunt curati.

E vorba în primul rând de user, cum s-a mai spus:

Poate te-ai maturizat si tu si nu mai dai clicuri pe tot ce misca

oricum nu poti fi sigur 100% tot timpul.

Nici cu antivirus + firewall + update-uri la zi + gărzile de corp ale lui Bush nu poţi fi 100% sigur.

[bro]

dar fara firewall poti lua linistit si din retea si de pe siteuri "mai" serioase troieni si mallware. nu cred ca atentia "face diferenta" aici.

modulul ala de "proactive defence" sa joace rolul de firewall intr-un fel?

[IceCub]

bro, ar trebui sa folosesti macar firewall-ul din Windows. Personal il folosesc doar pe acesta. In fundal vegheaza Kspersky Antivirus (cu proactive defense dezactivat) si o data sau de 2 ori pe luna mai fac o curatenie du Spybot S&D + Ad-aware.
Depinde pe unde, de unde, si cum navighezi.

[bro]

pai si eu dau scanari cu spybot. problema e [si motivul pt care am trecut pe nod32 si fara nici un firewall] ca de la un moment dat orice firewall foloseam [am incercat bitdefender, kaspersky, norton, firewallu din windows...] imi bloca conexiunea de net. asa ca am fost silit sa renunt la el, nu ca asa am vrut eu.

 

[nicolin]

Personal rulez avast! Free Home Edition, fara nici un firewall, si NU am nici un fel de problema, atat pe un Win98SE, WinXP 32bit cat si pe un sistem cu WinXP 64bit.

[Gabriela]

Vin şi eu cu două sugestii extra:

SpywareBlaster - un program freeware menit să prevină instalarea de spyware, adware, browser hijackers, dialers sau malware în alte forme pe un sistem

şi

AOL Active Virus Shield - soft antivirus gratuit, bazat pe engine-ul de Kaspersky, din a cărui funcţionalitate împrumută în proporţie de ...say, 90% (implicit, apare aproximativ la fel de eficient în diverse top-uri specializate).

[bro]

si Windows Defender care e bunicel.

ps: io am reusit sa-l instalez pe xp trecand cu succes de activare. adicalea am dat "Activate" si s-a instalat fara probleme. si nu, nu am windowsu cumparat.

[YESMAN]

Vin şi eu cu două sugestii extra:

SpywareBlaster - un program freeware menit să prevină instalarea de spyware, adware, browser hijackers, dialers sau malware în alte forme pe un sistem

şi

AOL Active Virus Shield - soft antivirus gratuit, bazat pe engine-ul de Kaspersky, din a cărui funcţionalitate împrumută în proporţie de ...say, 90% (implicit, apare aproximativ la fel de eficient în diverse top-uri specializate).

sau

Ad-aware SE Profesional 1.06, un shareware foarte bun, il folosesc personal de mai mult de 1 an de zile. Repara si dupa ce sistemul a fost infectat. Actualizari rapide chiar si pe dial-up. Nu tine loc de antivirus dar lucreaza bine in tandem. In general m-a salvat de la browser hijackers după ce sistemul a fost instalat. Fara licenta merge numai scanarea sitemului, cu licenta merge si modulul de monitorizare a traficului. Producator: Lavasoft.

Daca l-a mai incercat careva astept pareri, chiar si critice.

[adilehanceanu]

Da, îl am şi eu instalat, numa' că acasă nu prea-l folosesc (adică nu are ce să cureţe); pe vremuri, la Bucureşti la birou lucra din greu, cucoanele de pe acolo erau foarte curioase ce mai e pe net şi cam trebuia ceva curăţenie dup-aia .

[NoobWannabe]

 Norton Internet Security 2005 + Adware SE personal.
 
 

[peizan]

Stiu ca intrebarea e deja un cliseu dar cat ram papa Nortonul ?