Антивирусы И Антишпионы

[langley]

достаточно зайти например на сайт злоумышленника,

он прислал мне личкой форума "ссылку на картинку"

То есть сперва взломщик с жертвой все равно должен вступить в какой-то контакт? Прислать ему ссылку, картинку, файл, куда-то его заманить и тп. и тд. А я говорю об атаке без подобных уловок, непосредственно через сеть. Такое возможно?

[VECTOR]

Немного не понял задачи. Подразумевается, что злоумышленник хочет атаковать какой-то конкретный компьютер известного владельца? Или то как он вслепую ищет жертву?

Нельзя ли как то конкретизировать задачу? "Дано", "Требуется" ...

[langley]

Подразумевается, что злоумышленник хочет атаковать какой-то конкретный компьютер известного владельца?

Да, естественно.

Без установки на него каких-либо вирусов/троянов методами, упомянутыми выше, и при условии, что владелец компьютера не лаптем щи хлебает.

[Black Cat]

А я говорю об атаке без подобных уловок, непосредственно через сеть. Такое возможно?

Такие дыры обычно закрываются довольно шустро иначе бы троянов никто бы не писал

[VECTOR]

Я так полагаю известен IP. Потому что если нет, то его придется как то узнать. Например, различными уловками.

1) Можно пытаться DDoSить, заваливая тоннами бессмысленных пакетов.

Результат: жуткие тормоза на компе(вплоть до зависаний в худшем случае), невозможность выхода в инет из-за загруженности канала.

2) Можно просканировать порты на предмет каких то доступных серверов(www, ftp,ssh и разные другие).

Если такие будут обнаружены, то можно пытаться атаковать их.

Если один из таких доступных серверов содержит ошибку переполнения буфера, то есть вероятность, что можно выполнить вредоносный код на компе жертвы. Этим кодом может быть дроппер, к-рый заинсталлирует на комп вирус или троян.

Я думаю всем известен, вирус для ХР, к-рый вызывает постоянные перезапуски. Если меня не подводит память, он эксплуатирует переполнение буфера в одном из сервисов винды, порт к-рого по умолчанию открыт.

3) Другие сетевые атаки, про к-рые я, к сожалению, мало могу рассказать. Это может быть сниффинг(перехват пакетов), атаки DNS кэша итп.

[Summoner]

Подразумевается, что злоумышленник хочет атаковать какой-то конкретный компьютер известного владельца?

Да, естественно.

Без установки на него каких-либо вирусов/троянов методами, упомянутыми выше, и при условии, что владелец компьютера не лаптем щи хлебает.

простой пример. Взломщик хочет утащить акк от форума у langley. Он отправляет ей личку со встроенным изображением - самым обычным, никаких эксплойтов итд итп, через обычный тег [ img ]. Только одно "но" - картинка расположена на веб-сервере взломщика (обычная url например на jpg-ху), и этот самый веб-сервер скорее всего не обычный апач (apache - наиболее популярный веб-сервер) - этим сервером может быть, например, простенький скриптик на питоне, который выдаст по запросу jpg-ху как и полагается веб-серверу (возможно, даже прикинувшись тем же апачем), но попутно сохранит все сведения о запросившем - айпишник, версию оси и бровзера (бровзер обычно сообщает инфу о себе и операционке). Усугубит ситуацию то что на этом форуме личные мессаги выскакивают, стоит только зайти на форум. Теперь взломщик уже может атаковать конкретный комп по айпишнику, мессагой выше написали как. Кроме того скрипт, прикидывающийся апачем может не просто пассивно собирать инфу - он может быть обучен тут же в момент запроса попытаться атаковать запросившую машину - например заспамив её поддельными ответами dns-сервера (для этого в личное сообщение будет добавлена вторая картинка - какая-нибудь site.ru/picture.jpg) - если это удастся - фальшивый ответ попадает в кеш и некоторое время атакованная машина будет обращаться по ссылкам вида site.ru/* вовсе не на site.ru, а очень даже на машину взломщика. В общем, тут всё уже зависит во-первых от провайдера (в случае с атакой dns - мой к примеру провайдер разрешает пакеты только на\с его dns-серверов, так что обмануть моего dns-клиента никто не сможет), во вторых от настроек атакуемой машины - обычно достаточно иметь файрволл навроде ZoneAlarm... в антивирусах вроде кошмарского или аваста файрвол тоже есть.

Но вообще такая имха - самая опасная атака - она не на комп, она на мозг пользователя (хотя он тоже биокомп %) ). Многие привыкли уже не запускать что попало, смотреть на расширения итд итп - программа их врятли сможет обмануть... но когда, скажем, по аське или мылу с тобой начинает вполне нормально и по теме общаться живой человек - где-то через недельку ему уже более-менее доверяешь, и вот тут то он тебе и подкидывает хитрую ссылочку - вот это действительно очень опасно :(.

[Rosetau]

никто не подцеплял заразу questservice.exe и questservice129.exe? висит в процессах и наверняка чтото делает, а я не могу найти нужных прог для удаления

[Hella Jeff]

http://www.prevx.com/filenames/3808821442393444195-X1/QUESTSERVICE.EXE.html

[Rosetau]

на него нод32 ругался

[langley]

никто не подцеплял заразу questservice.exe и questservice129.exe? висит в процессах и наверняка чтото делает, а я не могу найти нужных прог для удаления

А почему ты думаешь что она делает что-то плохое?

На http://www.processlibrary.com такой процесс вообще не зафиксирован. В сети он упоминается, но редко. И не вполне понятно, что это такое и насколько вредно.

Искать файлы этого QuestService следует здесь:

C:\Documents and Settings\All Users\Application Data\QuestService\questservice129.exe

C:\Program Files\QuestService\questservice.dll

Может оттуда их удастся как-то удалить. Попробуй натравить прямо на эти файлы свой антивирус/антишпион. Он видит в них угрозу? Делает что-то, чтобы их изолировать или удалить?