Доступен (http://blog.clamav.net/2018/01/clamav-0993-has-been-released...) релиз свободного антивирусного пакета ClamAV 0.99.3 (http://www.clamav.net/), в котором устранено 7 уязвимостей, из которых три потенциально могут быть эксплуатированы до выполнения кода злоумышленника при обработке специально оформленных файлов в форматах PDF и MEW или при разборе тела почтового сообщения. Остальные 4 проблемы могут привести к удалённому отказу в обслуживании.Также объявлено (http://blog.clamav.net/2018/01/clamav-version-number-adjustm...) об изменении в нумерации версий ClamAV. Для будущих выпусков будет применяться схема x.y.z (major.minor.patch), где первая цифра сигнализирует о значительных новых возможностях или обратно несовместимых изменениях, вторая цифра указывает на выпуски с исправлением ошибок и незначительными новшествами, а третья используется для выпусков с устранением уязвимостей.
URL: http://blog.clamav.net/2018/01/clamav-0993-has-been-released...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47964
Использую бесплатный immunet с движком clamav для Винды. Вполне рабочая вещь!
Immunet давно не поддерживается, проект официально закрыт.
Пруф?
Posted 19 December 2017 - 09:25 PM
Hello all,We are happy to announce a new release of Immunet: version 6.0.8!
Начиная с Windows 7. Ну и зачем оно такое? Для поздних виндов уже антивирусов — как программистов за баней. Надо для старых форточек, брошенных всеми без поддержки.
Он с резидентом?
Имуннитет от Бабушкина
Вообще как известно, антивирус это жирный бэкдор, который создают спецслужбы для слежки за пользователями. Как с этим у "свободных" антивирусов (вроде этого)? Он действительно выполняет только 1 задачу, для которой (с т.з. обычной логики) предназдачен антивирус - ищет и удаляет вирусы? А не роется в системе в поисках компромата, как делает это каспер-фcб, веб, нортон, макэфи и прочие ребята.
Clamav "искаропки" находит только eicar. База полная хрень.
Задолбало изобретать и дописывать собственные сигнатуры для актуальных вирусов, ладно хоть вообще такая возможность есть, но кто этой фигней будет заниматься, если уволюсь - думаю, что никто...
ClamAV проверяет у меня почтовый трафик на серверах и складывает вирусы в отдельную папку ... так что не надо ляля про поиск только EICAR. Cisco купила в своё время ClamAV, чтобы заюзать его в своих аппаратно-программных решениях. Думаешь там идиоты сидят, которым денег на ветер не жалко?
https://en.wikipedia.org/wiki/Clam_AntiVirus
Чукча не читатель...
У мня тоже находит - когда я ему в них пальцем тыкаю... в киске, думаю, также дело обстоит, сами сигнатуры пишут. Сам движок рабочий (а чему там не работать?), но те базы вирей, что ему доступны по умолчанию - гуано полное...
вообще если есть какой-то локальный ftp сервер почему бы не делать так, чтобы clamav его проверял.
лучше наверное чем ничего.фсб, макафи, вэб - пусть хоть оброются: полезу код ClamAV смотреть только если меня вилами в угол загонят.
Расслабьтесь. Ваш процессор давно все посылает куда надо, а Ваш жёсткий диск бережно прячет от Вас, то, что надо послать.Хард версия паранойи покруче софтовой, ИМХО.
Перешёл на Linux и забыл что значит слово "антивирус".
Потому что линукс - это неуловимый Джо.
Даже на рутованом андроиде ничего не случится, если не ставить приложения с левыми разрешениями. Андроид тоже неуловимый Джо?
даже на венде ничего не случится, если не ставить левых приложений, но пользоваться непонятными флешками и иметь блокировщик рекламы с носкриптом в браузере
Если ничего пиратского не качать, винду активировать легально, тогда может быть без антивируса можно жить, но какой процент так делает?
> Если ничего пиратского не качать, винду активировать легально, тогда может быть без
> антивируса можно жить, но какой процент так делает?А как активация винды защищает от вирей, ви шо, таки веруете в windowsupdate? :)))
Есть проверенные временем средства и источники, их и надо юзать. Тада можно и жить без антивируса, и за венду не платить. :)
Активаторы с вирусами. Сама по себе активация никак не защищает.
Ну так не берите первое попавшееся барахло из помойки, что выдает гугль...
Есть _проверенные_ средства, ищите на руборде и в других почтенных местах.
> Ну так не берите первое попавшееся барахло из помойки, что выдает гугль...
> Есть _проверенные_ средства, ищите на руборде и в других почтенных местах.Есть с открытым исходным кодом?
ХЗ, не заморачивался.
Как ты _проверил_, если исходников нет? Тебе мамой клялись?
А ты зуб дашь, что сам разберешься в сорцах? Или только фактом их наличия удовлетворишься?
Ну и, до кучи - активатора ты до смерти боишься, а как насчет самой фортовки? У тя она с сырцами шла? ;) Тебе "мамой клялись", что там деструктивных фич и ботнетов не заложено? ;)
> А ты зуб дашь, что сам разберешься в сорцах? Или только фактом
> их наличия удовлетворишься?Больше доверия когда есть сорцы.
> Ну и, до кучи - активатора ты до смерти боишься, а
> как насчет самой фортовки? У тя она с сырцами шла? ;)
> Тебе "мамой клялись", что там деструктивных фич и ботнетов не заложено?
> ;)Я не сижу на винде. Это ты говоришь, что винда безопасная и антивирус не нужен.
>> А ты зуб дашь, что сам разберешься в сорцах? Или только фактом
>> их наличия удовлетворишься?
> Больше доверия когда есть сорцы.Ну так и людям нужно иногда доверять, хотя бы потому, что сорцы не самозарождаются...
> Я не сижу на винде. Это ты говоришь, что винда безопасная и
> антивирус не нужен.Вот не надо передергивать, речь шла про "все как один завирусованные" активаторы. Ну да, наверняка таких немало. Я всего лишь указал, что есть и зарекомендовавшие себя с хорошей стороны, во всяком случае, не уличенные в деструктивных/шпионских действиях за длительное время. Что, конечно, ничего не доказывает, но так и в старом проверенном СПО со временем всплывает дофига дыр - несмотря на открытость кода.
> Вот не надо передергивать, речь шла про "все как один завирусованные" активаторы.
> Ну да, наверняка таких немало. Я всего лишь указал, что есть
> и зарекомендовавшие себя с хорошей стороны, во всяком случае, не уличенные
> в деструктивных/шпионских действиях за длительное время.Как проверял?
>> Ну да, наверняка таких немало. Я всего лишь указал, что есть
>> и зарекомендовавшие себя с хорошей стороны, во всяком случае, не уличенные
>> в деструктивных/шпионских действиях за длительное время.
> Как проверял?Ну ты опять не поверишь, но есть инструменты типа wireshark и processexplorer.
При небольшом приложении головы можно вычислить зловреда.Хотя все авторы программ под венду в сговоре с негрософтом, а злобные хацкеры, пищущие забитые вирусами активаторы им платят, чтобы всякие сниферы и мониторы не видели их поделий... это я вангую, что как-то так диалог с тобой пойдет дальше...
Ты знаешь что такое бэкдор?
Бэкдор не выдает себя. Интеловские бэкдоры своими инструментами словил уже?
> Бэкдор не выдает себя. Интеловские бэкдоры своими инструментами словил уже?Ну и? Бекдор не выдает себя, пока не эксплуатируется. Пока он не эксплуатируется, он представляет собой лишь потенциальную угрозу. Твой личный бункер на какой глубине располагается?
>> Бэкдор не выдает себя. Интеловские бэкдоры своими инструментами словил уже?
> Ну и? Бекдор не выдает себя, пока не эксплуатируется. Пока он не
> эксплуатируется, он представляет собой лишь потенциальную угрозу. Твой личный бункер на
> какой глубине располагается?В любой момент твой проверенный активатор может что-то сделать с твоим пк.
> В любой момент твой проверенный активатор может что-то сделать с твоим пк.Ты пищу кушаешь, из дома выходишь? В любой момент твоя проверенная неполными двумя десятками лет нитка между ушами может лопнуть, и сердце встанет.
С таким подходом лучше вообще выключи пэка. Там в процессоре бэкдор, и он в любой момент может что-то с собой сделать.
Сам ведь ищешь мифические проверенные без вирусов и закладок активаторы, а здесь вдруг начал говорить, что какая разница, все равно всё сольют.
> Сам ведь ищешь мифические проверенные без вирусов и закладок активаторы, а здесь
> вдруг начал говорить, что какая разница, все равно всё сольют.Если ты начал отсылать к бэкдорам в железе - действительно, какая разница?
Ты сам-то как свой софт проверяешь, расскажи. Или "а, исходники есть, значит, мне сразу первому сообщат..." ?
Я не такой параноик как ты, не подбираю себе активаторы. Софт не проверяю. Железо привёл в качестве примера.> Или "а, исходники есть, значит, мне сразу первому сообщат..." ?
Я даже об этом не узнаю. Линукс используют в более серьёзных структурах чем моя квартира. Они должны этим голову ломать, а мне заодно придёт патч.
> Я не такой параноик как ты, не подбираю себе активаторы. Софт не
> проверяю. Железо привёл в качестве примера.А, теперь я параноик? Жирно, однака...
> Я даже об этом не узнаю. Линукс используют в более серьёзных структурах
> чем моя квартира. Они должны этим голову ломать, а мне заодно
> придёт патч.Как ты узнаешь, что _тебе_ патч пришел, а не бекдор?
> А, теперь я параноик? Жирно, однака...Кто подбирает проверенные активаторы, ты или я?
> Как ты узнаешь, что _тебе_ патч пришел, а не бекдор?
Я уже тебе написал. Это не моя головная боль. Этот бэкдор принесёт ущерба больше крупным компаниям, чем мне.
Понятно, значит, как и я - веришь людям на слово. Ну и чем ты круче?
Я загружаю программы и обновления из официальных репозиториев, а ты качаешь непонятный файл с непонятного сайта. В моём случае риски гораздо ниже, чем в твоём.
Ты загружаешь то, что контролируют крупные корпорации, и твое благополучие с безопасностью их абсолютно не интересует. Низачот.
Ты об этом думай.
> Ну ты опять не поверишь, но есть инструменты типа wireshark и processexplorer.И что, если там у бинаря будет показываться классическая схема "родительский-дочерний процесс"? Подозрительно или сойдет?
Кстати, удачи вычислять processexploreroм грамотно внедренную доп. DLL, сливающую инфу через webdav или днс.> При небольшом приложении головы можно вычислить зловреда.
При небольшом приложении не только головы, но и толики опыта -- зловред без дебажинга вычисляется обычно только скрипткидизкий. Да и проверки на виртуалку, песочницу, wireshark и т.д. доступны копипастой всем желающим и не используются совсем уж ленивыми.
> а злобные хацкеры, пищущие забитые вирусами активаторы им платят, чтобы всякие сниферы и мониторы не видели их поделий
Открою страшную тайну:
"бизнесу" с обфускаторами (в кидо-сленге "сrypter"ы) бинарников от антивирей уже лет надцать. Массово это дело пошло в 2005-2006, после портирования PoCа товарища Тан Чев Кеонг:
http://web.archive.org/web/20080117115736/security.org.sg/co...
с сишки на VB. ЧСХ, довольно характерная cвязка вызовов WinAPI так и не ловись никогда толком антивирями в рантайме.И уже десять лет назад куча анти-опций даже в ширпотребе, типа айстилера, была само-собой разумеющейся:
What is new in this version?
• Added new programs like Google Chrome, Opera, the last version of Firefox (3.5),IDM, SmartFtp and CuteFtp.
• The server has been improved for stability, totally tested in XP, Vista and W7.
• New features in the Php Log Manager (Export and Copy), now is more easy to set up.
Recovery:
• Firefox (All versions, included 3.5) New!
• Internet Explorer (All versions, included 8) New!
• Google Chorme (All versions) New!
...
• CuteFtp (Pro, Home, Lite) New!
Features:
• Builder GUI coded in VB6
• Stub coded in C/ASM
• Stub size uncompressed: 330Kb
• Stub size compressed with UPX: 180Kb
• OS: NT/XP/Vista/W7 New!
• FUD (Runtime and Scantime)
• Don't use external programs Important!
• All strings encrypted
• Bypass UAC in Vista/W7 New!
• Test URL function in the builder New!
• Php log manager (With new features) New!
• File binder upto 50 Mb New!
• File cloner and Icon Extractor
• Icon changer (Icons pack included)
• Anti virtual machines
• Anti OllyDbg
• Anti WireShark
• Anti Procmon
• Melt (Self destruction)
• All encrypted
• Good designТак что злобные хацкеро-киддизы платят $5 за криптор, умеющий скрывать бинарь от антивиря с актуальной базой и классических связок "ВМ-песочница-сниффер" или же используют бесплатные, с "хорошо зарекомендовавших себя" форумов (т.е. слоев малвари на бинарнике будет уже два )).
И да, удостовериться в приемлимой "чистоте" бинарника намного сложнее, чем просто выявить малварь.
О да, жуть какие страшные секреты приоткрываете - что вири маскироваться уже лет двадцать как умеют.
Продолжайте, послушаем...
> О да, жуть какие страшные секреты приоткрываете - что вири маскироваться уже лет двадцать как умеют.
> Продолжайте, послушаем...Во-первых, для тех, кто считает вайршарк и прокэспрлорер достаточными инструментами для выявления "гостинцев", это наверняка действительно срашный секрет.
Во-вторых, не какие-то абстрактно-элитные вири, а _любая_ скрипткидизная малварь.
Так что да, смахивает на очередное /0^W "знаю, но абсолютно не разумею".
Смахивает на попытки читать мысли по интернету и гадать на опеннетовских шрифтах о чужих знаниях и способностях. Типично для местного зверинца.
> Смахивает на попытки читать мысли по интернету и гадать на опеннетовских шрифтах
> о чужих знаниях и способностях. Типично для местного зверинца.Перечисленный "инструмент", игнорирование вполне конкретных вопросов (и утверждений), переход с темы и конкретики на невнятно-обобщенное нечто, незнание/игнорирование или неправильное применение устоявшейся терминологии, ненавязчивая попытка перехода на псевдо-личности — обычно в сумме таки неплохие показатели знаний и способностей.
Интересно, к чему все это громко-показательное возмущение? Как будто я запрещаю и далее верить в "надежные форумные источники", использовать окошки и т.д.
Майнинг-сокс-спам-ботов десятки миллионов. Одним больше, одним меньше ...
Извини. Конкретными ответами одного жирного выше по треду я уже накормил.
Да, есть. Прям с гитхаба качаешь, собираешь и пользуешь. Серьезно.
> Да, есть. Прям с гитхаба качаешь, собираешь и пользуешь. Серьезно.а ссылку можно ? любопытственно поглядеть
А в гугле спросить?
Например https://github.com/CHEF-KOCH/KMS-activator/blob/master/READM...
Сидел "нелегально", пиратский софт был, за 4 года ни одного вируса. Точнее один был, но даже он не заработал. А всё потому, что надо иметь прямые руки и голову на плечах.
> Сидел "нелегально", пиратский софт был, за 4 года ни одного вируса. Точнее
> один был, но даже он не заработал. А всё потому, что
> надо иметь прямые руки и голову на плечах.Да не, вон товарищ Аноним свято уверен, что там одни бекдоры и трояны. Ему сам Торвальдс лично отчет предоставил, зуб дает.
> если не ставить левых приложений, но пользоваться непонятными флешками:) Улыбнуло
> если не ставить левых приложенийжаль, что без них она умеет только загружаться.
Тaщeмта на ведроиде очень хорошо настроенный SELinux.
> Даже на рутованом андроиде ничего не случится, если не ставить приложения с
> левыми разрешениями. Андроид тоже неуловимый Джо?Начиная с 6.0 можно запрещать доступ к некоторым разрешениям.
> Андроид тоже неуловимый Джо?Нет. Android просто сильно ограниченная ОС (по сравнению с традиционными десктопными ОСями).
В том числе именно поэтому под iOS ещё меньше зловредов.
> АндроидИ да. Это конечно хи-ха, ха-ха. Но когда вот у тебя весьма не дешёвое устройство на Android с секурными залатками этак годовалой давности, а тут бах Broadpwn, бах BlueBorne, бах KRACK...
И вроде как-то и не пенетрируют (пока?), но какой-то дискомфорт от сидения на пороховой бочке возникает.
99% серверов никому не нужны, а компьютер Васяна очень важен для всех хакеров мира?
> 99% серверов никому не нужныНужны. Но так их и пенетрируют нормально.
Естественно не те, которые в руках профессионалов, а массовые. Около половина имеет известные и не залатанные уязвимости - статистика от позитивщиков. А уж что в IoT устройствах творится с безопасностью.
Вот это практика
Заплатки есть, если они не хотят обновляться, пусть страдают.
Уязвимости IoT не баг, а фича. Специально добавляют разного рода лазейки и не делают автоматические обновления.
> Заплатки есть, если они не хотят обновляться, пусть страдают.Ну да, есть такое. Иногда эти заплатки и трудно накатывать, потому что разломается что-то из-за смены API и то и сё.
Просто, когда у той же компании <CENSORED> какой-нибудь Петя бушует, используя уязвимость, для которой есть 4-ёх месячная затычка, то то же венда дырявая, ага? :D
Ну как есть, такой вот мир.
В чём проблема зауснуть вам домашнюю папку кейлоггер через дырявый браузер?
Проблема в том, что без рута он не будет работать.
> Проблема в том, что без рута он не будет работать.Да ладно, ты из детсада что ль?
Он будет с правами пользователя и будет иметь доступ ко всему, куда есть доступ у пользователя!
С каких пор доступ к /dev есть у обычного пользователя?
А зачем бы ему доступ к /dev? Не только в иксах, но и в хвалёном вяленом пользовательских прав будет достаточно. Пруф: https://github.com/Aishou/wayland-keylogger
> А зачем бы ему доступ к /dev? Не только в иксах, но
> и в хвалёном вяленом пользовательских прав будет достаточно. Пруф: https://github.com/Aishou/wayland-keyloggerспасибо, познавательно
This is a proof-of-concept Wayland keylogger that I wrote to demonstrate the fundamental insecurity of a typical Linux desktop that lacks both sandboxing (chroot, cgroups, ...) and mandatory access control (SELinux). The keylogger requires nothing but user-level access to be installed. Installation is very simple: just put the library somewhere in your home folder and LD_PRELOAD it from ~/.profile (or maybe ~/.bashrc), like this:
export LD_PRELOAD=/home/user/path/to/libwayland-keylogger.so
> Он будет с правами пользователя и будет иметь доступ ко всему, куда
> есть доступ у пользователя!GOOD: all capabilities are disabled.
GOOD: I cannot access files in /home/user/.ssh directory.
GOOD: I cannot access files in /home/user/.gnupg directory.
GOOD: I cannot access files in /home/user/.config/chromium directory.
GOOD: I cannot access files in /home/user/.icedove directory.
GOOD: I cannot access files in /home/user/.thunderbird directory.GOOD: SSH server not available on localhost.
GOOD: HTTP server not available on localhost.GOOD: Access to /dev directory is restricted.
Ну и куда он пойдёт теперь?
Я вас таки огорчу. В общем случае — будет.
Для примера можете запустить в пользовательской консоли "strace firefox" (или чем пользуетесь).
> Я вас таки огорчу. В общем случае — будет.
> Для примера можете запустить в пользовательской консоли "strace firefox" (или чем пользуетесь).setresuid(-1, 0, -1) = -1 EPERM (Operation not permitted)
write(2, "Warning: cannot switch euid to r"..., 36Warning: cannot switch euid to root
) = 36
setresgid(-1, 0, -1) = -1 EPERM (Operation not permitted)
write(2, "Warning: cannot switch egid to r"..., 36Warning: cannot switch egid to root
Ну если у вас пытается получить root и таки его получает мне вас жалко.
> setresuid(-1, 0, -1)Ну пытаетесь вы запустить какую-то хрень с взведённым suid-битом. А как это к треду относится?
Попробую проиллюстрировать возможность непривилегированной отладки другим общедоступным примером. firejail.
* Код кей-логгера уж как-нибудь сами найдёте.
> Проблема в том, что без рута он не будет работать.Ха. С иксами вообще без проблем хоть что кейлогить по всей системе без всякого рута.
PS: и в правду детский сад
Когда такая дыра была?
Ну так-то он про теорию говорил. А вообще я видел только одну пробивку на линуксах через браузерах, и весьма крутую. Скачка пользовательских файлов на левые сервера https://blog.mozilla.org/security/2015/08/06/firefox-exploit.../
Вполне нормально работало и на линуксах.
PS: хотя само собой, что всякие антивирусу не помогут
Очередной одмин локалхоста пишет.
Забудь про антивирус, если у тебя только серваки на линуксе, а манагеры и бухи под виндой сидят, ага.
Каждый владелец смартфона на андроиде или компьютера на убунту является админом, ага.
> Перешёл на Linux и забыл что значит слово "антивирус".Вывод: использование линукса приводит к утрате памяти.
Лучше бы решили проблему с фальш-позитивными срабатываниями на docx. Такое ощущение, что данные формы Report False Positive на их сайте в /dev/null уходят.
> Лучше бы решили проблему с фальш-позитивными срабатываниями на docx. Такое ощущение, что
> данные формы Report False Positive на их сайте в /dev/null уходят.Если ты доверяешь таким файлам, то можешь прописать соответствующее правило и игнорировать их решение.
> N уязвимостей, из которых три потенциально могут быть эксплуатированы для выполнения кода злоумышленника при обработке специально оформленных файлов в форматах PDF и MEW или при разборе тела почтового сообщения.Доколе?!?!? Можно будет ломать системы с помощью тех программ которые должны повышать защищенность?
> выполнения кода злоумышленника
То есть если запустить сканирование с правами администратора (root), то все понятно!
А если с правами обычного пользователя то даже вычистить из проверяемого сообщения не получится. А если дать права на изменения сообщений то можно потереть все .
> Доколе?!?!? Можно будет ломать системы с помощью тех программ которые должны повышать
> защищенность?До тех пор, пока ты будешь их использовать. Почитай Joxean Koret, что ли.