РАССЫЛКИ ПОРТАЛА RFPRO.RU

Лучшие эксперты в разделе

Коцюрбенко Алексей aka Жерар Статус: Мастер-Эксперт Рейтинг: 127 ∙ повысить рейтинг »

CradleA Статус: Профессионал Рейтинг: 48 ∙ повысить рейтинг »

Igor Yu. Pilyugin Статус: Мастер-Эксперт Рейтинг: 0 ∙ повысить рейтинг »

∙ Защита информации

Номер выпуска:	557
Дата выхода:	11.07.2017, 17:15
Администратор рассылки:	Коцюрбенко Алексей aka Жерар (Мастер-Эксперт)
Подписчиков / экспертов:	38 / 12
Вопросов / ответов:	3 / 11

Консультация # 21717:

Три связанных между собой вопроса:
1) Периодически (раз в 1-2 недели) приходит письмо типа "такой-то сервер нашел в письме, отправленном с вашего почтового яшика вирус Win32.HLLM.Netsky.22016" Ящик растоложен на бесплатном @pochta.ru. Ящик основательно "подсвечен" при ответах на вопросы по другой рассылке и т.п. Есть 3 варианта:
1, Инфицирована моя машина - думаю, что нет - антивирусы+фаервол (актуальные базы) - ничего подозрительного. Адрес, на какой якобы посланно письмо, в базе адресов отсутствует. (Само письмо разумеется вижу впервые,адрес -тоже, текст нечитаем), на "оффициальном"
почтовом ящике все спокойно, значит есть еще 2 варианта:
2. "Взломан" почтовый ящик.
3. Используется "поддельный" адрес отправителя (спамерская технология).
Собственно вопрос - как определить какой из 2-3 варианта правильный, используя код письма (насколько я знаю адресов отправителя в теле письма несколько) - как и где посмотреть реальный? Что делать (по Достоевскому)? Есть ли у кого-либо из Экспертов ящик на Hotbox.ru и как обстоят дела? Ведет ли WinXP SP2 лог IP - узнать когда у меня был/небыл такой-то IP?
2) Сменить пароль на ящик немогу - забыл, но он есть в базе TheBat 3.0.1.33 - можно ли его как-то оттуда "выковырять" и чем? Писать админу мыла (дескать вышли пароль на ящик) не спортивно, да и интересно разобраться самому.
3) Известно ли о каком-нибудь трояне, который может выйти в Инет и что-то передать, при этом будучи незамеченным Outpost-ом 2,5?
Сменить почтовый ящик не хочу. Как корректно разрулить ситуацию. Спасибо за любые ответы или на их часть ответа.

Дата отправки: 03.06.2005, 15:26
Вопрос задал: alex_d_77@pisem.net
Всего ответов: 4
Страница онлайн-консультации »

Консультирует John Freeman:

Здравствуйте, alex_d_77@pisem.net!
1)Только просмотрев письмо, отосланное "от тебя" полностью - первый IP(RECIEVED FROM, HELO) - собственно IP отправителя. IP смотри через whois на твоего провайдера.
2)Не фиг делать, есть вытаскивалки, ну и наконец элементарно любой сниффер с дешифовкой POP3 поставь и проверь почту.
3)Да, но это "особая" тема, как минимум rootkit, троянов таких ОЧЕНЬ мало и как правило это оказываются не они, а заказной троян,что значит что ты кому-то СИЛЬНО не нравишься.

Консультировал: John Freeman Дата отправки: 03.06.2005, 15:36

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует Khedin:

Здравствуйте, alex_d_77@pisem.net!
Думаю что не второй вариант. Тритий - может быть. Если у тебя ящик засвечен и фигурирует часто в рассылках, то действительно может иметь место банальный спуфинг (подстановка адреса). Многие вирусные программы сканируют адресные книги и рассылают себя адресатам, ну и твой адрес уже много где наверное прописался. Что касается непосредственно взлома, то вопрос, а оно кому-нибудь надо? Я бы на твоём месте просто поменял пароль на ящике, а ещё лучше сам ящик если он не задействован в серьёзной переписке.
Что касается как "спортивно" пароль узнать то вот тебе два варианта:
1. ShowPass (или подобная) (устанавливаешь, и выделяешь пароль который звёрдочками, а в бате именно так, и видишь его как на ладони. Если надо, могу выслать.).
2. Кабельный снифер, класса Ethereal. Устанавливай, и мониторь кабель. Думаю, что не шифруешь траффик. Если шифруешь - то опаньки:)

Консультировал: Khedin Дата отправки: 03.06.2005, 15:44

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует Star Wolf:

Здравствуйте, alex_d_77@pisem.net!
1. ну первый вариант отпадает .. касперовцы обычно быстро находят заразу ... скорее всего второй или третий ... (хотя .. второй вариант я бы использовал как целенаправленную атаку на того кто с тобой в хороших отношениях ... кидая ему заразу от твоего имени ... но если ты адреса не знаешь .. значит отпадает и третий вариант ... ) ... скорее всего ситуация такая ... кто-то зараженный прописал у себя твое мыло .. червяк у него из базы берет список и подставляет в Return-Path ... попадая на твой адрес в базе раз в 1-2 недели ..
2. OpenPass .. если надо .. черкай на мыло ... вышлю без проблем ... батовские пароли смотрит ...
3. врятли .. такое возможно ... в любом случае троян это процесс ... механика фаервола в этом случае проста ... как только процесс обращается к сетевому интерфесу тут же он (процесс) начинает обрабатыватся правилом .. дальше уже от режима работы (Rulez Whizard либо Block Most Mode) либо запрашивает действия у пользователя, либо просто отсекает любую сетевую активность ...

Консультировал: Star Wolf Дата отправки: 03.06.2005, 16:30

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует lupus campestris:

Здравствуйте, alex_d_77@pisem.net!
У меня есть ящик на pochta.ru. Там при входе в систему отображается время последнего захода и IP адрес, с которого заходили. Попробуй обращать на это внимание - если будет не твой, значит, взломали. Кроме того, можно в настройках поставить галочку про сохранение исходящих.
А насчет сменить пароль - а контрольный вопрос помнишь?
А скорее всего твой ящик просто подставляют и все.

Приложение:
31.05.2005Адвокат, чей электронный адрес спамеры использовали в своих рассылках, оценил понесенные в связи с этим убытки в миллионы долларов и подал иск в суд. Адвокат Скотт Зиглер (Scott Ziegler) - один из немногих частных лиц, обратившихся в суд с иском против спамеров. Зиглер подал иск против невадской компании China Digital Media, которая работает также в Китае, и ее неизвестного сообщника, который в иске именуется "John Does 1-10". Адвокат утверждает, что его электронный адрес был подставлен обвиняемыми при рассылке спама в качестве обратного. С 23 апреля по 3 мая Зиглер получил тысячи сообщений от почтовых роботов о недоставке писем, которые в поле "from" содержали его рабочий адрес. Как говорится в иске, адвокат был крайне удивлен, поскольку он этих писем не посылал. По словам Зиглера, его ящик был переполнен, так что он не смог получить нужных деловых писем. Кроме того, адвоката беспо коил тот факт, что письма, присланные якобы с его адреса, могли получить его клиенты (в числе которых есть банки и компании, занимающиеся безопасностью) или потенциальные клиенты, в результате чего могла пострадать его репутация. Зиглер послал запрос в China Digital Media и получил ответ, в котором отрицалась причастность компании к рассылке спамовых писем с обратным адресом Зиглера и приносились извинения за причиненные неудобства. Однако Зиглеру извинений было недостаточно. Его возмутил тот факт, что кто-то при рассылке спама подставляет в качестве обратного реальный адрес, полагая, что это останется для него без последствий. "Мы решили взять дело в собственные руки", - сказал адвокат. Копия ответа, полученного от China Digital Media, и образцы сообщений о недоставке приложены к поданному Зиглером иску. Комментарий представителя China Digital Media, который отвечал на запрос Зиглера, получить не удалось, поскольку в настоящее время он не отвечает ни на электронные письма, ни на звонки. Источник: CNET News.com

Консультировал: lupus campestris Дата отправки: 04.06.2005, 14:55

Рейтинг ответа: 0 поблагодарить эксперта

Консультация # 43887:

здравствуйте!
я много наслушан о противовируснике касперского но больше всего плохого! мне говорят что он сильно загружает систему, конфликтует с xp, находит и удаляет файлы какие надо и ненадо!!! это правда? у меня установлена панда, как вы считаете она хороше защищает мой комп и что вы можете о ней рассказать? или мне перейти на другой противовирусник? заранее благодарю.

Дата отправки: 22.05.2006, 20:25
Вопрос задал: костян
Всего ответов: 3
Страница онлайн-консультации »

Консультирует demaH:

Здравствуйте, костян!
Лучший антивирусник - это Линукс (пока под него вирусов крайне мало). Под Виндой же абсолютной защиты нет. Знаете, как уберечься от СПИДа: один презерватив, гипс, второй, гипс, третий... и главное, никакого СЕКСА!
Мораль: если у Вас установлен РЕГУЛЯРНО обновляемый антивирус, то пользуйтесь на здровье.

Консультировал: demaH Дата отправки: 22.05.2006, 23:28

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует Elinn:

Здравствуйте, костян!
Думаю, что обо всех антивирусных программах можно сказать одно и то же. Просто у нас больше всего занимается раскруткойКасперский, он больше на слуху, вот больше и достается. :)
На самом деле это хороший продукт и работает надежно. Но!!! если компьютер слабенький, то лучше поставить менее ресурсоемкий антивирус, а не то точно пойдут тормоза... Тут все верно. Если же машина позволяет, то на мой взгляд вопрос в правильной настройке.
Года 3-4 назад "крутые программеры" (точнее считающие себя такими) о Панде говорили, что это самая лучшая программа и они не хотят слышать ни о каких других. Это действительно хороший продукт и если у Вас зарегистрированная версия, Ваш компьютер надежно работает с этой программой, то и не надо мудрить, работайте. Тем более, что в этом продукте встроены дополнительно к антивирусу другие полезные модули.
Хотя можете сами сравнить эти продукты, скачайте с сайта Касперского антивирус, получите бесплатно ключик на месяц и поработайте. Все плюсы и минусы сможете сами почувствовать. Решение придет само.
Только обязательно сначала удалите Панду, только потом устанавливайте другой антивирус.

Консультировал: Elinn Дата отправки: 23.05.2006, 10:13

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует lupus campestris:

Здравствуйте, костян!
Насчет сильной загрузки системы - это уже старая информация, с тех пор вышли уже совсем новые версии этого продукта, которые грузят систему не больше, чем остальные. Кроме того, мощность компьютеров тоже выросла, поэтому и нагружаются они при проверке не так заметно.
Насчет файлов - это всегда вопрос настройки. Можно самый лучший антивирус (если бы такой был) настроить так, что лучше бы его совсем не было. В настройках антивруса Касперского можно настроить действие при обнаружении подозрительного или зараженного файла - можно не удалять, а просто переместить его в карантин или переименовать. И в журнале всегда можно посмотреть результаты проверки. На моей практике (сетка из 100 машин, время наблюдения - примерно год) не было ни конфликтов с XP, ни неправильного удаления файлов. Тем более, что если возникнут сомнения насчет какого-либо файла, нынче можно провериться и в on-line. Мониторинг антивируса Касперского не грузит сильно, а проверки по расписанию я стараюсь ставить на то время, когда комп не используется активно (обед, например).
Что касается панды... Лично не пробовала, видела как-то на чужой машине. Интерфейс мне тогда не чоень понравился, но может это вопрос времени и личных предпочтений. Было какое-то время (не знаю, как сейчас), когда панда была единственным платным антивирусом, к которому не было кряков. Это вызывает уважение.
Так что если с пандой Вы дружите и она Вас устраивает, то нет необходимости форсировать переход на другой антивирус. А вообще можно еще и в сторону бесплатных антивирусов смотреть (AVG, например).
Удачи!

Консультировал: lupus campestris Дата отправки: 23.05.2006, 11:31

Рейтинг ответа: 0 поблагодарить эксперта

Консультация # 73604:

Уважаемые эксперты, ответьте пожалуйста на такие вопросы:
1.Как на домашнем компе запретить доступ к определенным папкам, чтобы эту информацию не смог посмотреть, к примеру младший брат?
2.На работе местные админы установили ограничения на скачивание из интернета файлов *.pdf, *.exe и др. Можно ли каким-то образом обойти эти ограничения?

Дата отправки: 01.02.2007, 10:05
Вопрос задал: Xokmun
Всего ответов: 4
Страница онлайн-консультации »

Консультирует Shadow586:

Здравствуйте, Xokmun!
1) Возможность ограничения доступа к информации существует только на операционных системах, поддерживающих NTFS, если речь идет о Windows. Последовательность действий следующая:
- вклюсить свою учетную запись в группу администраторов
- ОБЯЗАТЕЛЬНО установить пароль на свою учетную запись
- создать учетную запись для брата
- включить учетную запись брата в группу пользователей (не администаторов!!!)
- войти под своей учетной записью, нажать правой кнопкой мыши на папку, которую хотите защитить, выбрать вкладку "Безопасность", добавить в верхний список свою учетную запись, в нижнем выставить для своей учетной записи полные права, удалить все остальные учетные записи из верхнего списка
ВСЕ
ПРИМЕЧАНИЕ: если не поместить учетную запись брата в группу пользователей, а оставить ее в группе администраторов, то брат сможет, применив привелегии администратора, получить доступ к вашим данным

2. Можно пытыться через прокси, все зависит от того, какого рода защита установлена админами, и на каком уровне она проверяет скачиваемую информацию.

Консультировал: Shadow586 Дата отправки: 01.02.2007, 10:28

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует dianacode:

Доброе время суток, Xokmun

0) смотря какая у вас операционная система )))) вы её не указали ^_^ а вообще, чую, что m_s w_i_n__dows если таковое имело место быть - создайте учётную запись для вашего брата, и укажите ему его права - ваши файлы при этом будут только вашими (принадлежать вам)

наверное, здесь http://support.microsoft.com/kb/279783/ru

1) пробуйте веб-прокси благо сейчас их море, и быстрых тоже

с уважением, удачи

Консультировал: dianacode Дата отправки: 01.02.2007, 10:31

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует AZER:

Здравствуйте, Xokmun!
1. Для этого была создана файловая система NTFS, которая предусматривает разграничение доступа. Для этого Вам нужно создать две учетные записи. Одну себе, а другую младшему брату. Затем на интересующие Вас папки правый клик и выбор Свойства. Там далее вкладка Безопасность. Вот здесь и выставляй все разграничения доступа.
2. Только если договориться с админом. Т.к. запрет - это настройка файерволла на скачивание файлов с определенным расширением. Также можно найти сайты на которых данные расширенния изменены на определенные символы. Такие файлы файерволл не блокирует, а после скачки Вы просто изменяете расширение и все файл у Вас.

Консультировал: AZER Дата отправки: 01.02.2007, 11:44

Рейтинг ответа: 0 поблагодарить эксперта

Консультирует LeKs:

Здравствуйте, Xokmun!
Для того что бы запретить доступ к папкам, необходимо чтобы раздел на котором лежат эти папки имел файловую систему NTFS.(если у вас FAT то можно без проблем и потери данных переконвертировать в NTFS)
Откройте любую папку- Зайдите в меню "Сервис"-"свойста папки"- с пункта "использовать простой общий доступ" снимите галочку, нажмите "ОК".

Далее дыделите папку к которой необходимо запретить доступ и нажмите Alt+Enter (или правой кнопкой "Свойства"), и выберите вкладку "безопасность". На этой вкладке можно установить права для различных пользователей.

Условие: На компьютере должно быть создано 2 учётных записи одна для вас (Администратор) и другая для вашего младшего брата (ограниченая). Вот для учётной записи брата вы и будите выставлять права.
2)
Запретили скачивать. Интересно, а запрет действует на скачивание этих файлов но из почтового ящика? Если же нет, то можите просто посылать скачиваемые файлы себе на почтовый ящик(есть програмки для этого), а потом по протоколу POP3 качать(может запрет на POP3 не стоит...)

Консультировал: LeKs Дата отправки: 01.02.2007, 11:50

Рейтинг ответа: 0 поблагодарить эксперта

Оценить выпуск | Задать вопрос экспертам

главная страница  |  стать участником  |  получить консультацию
техническая поддержка