Безопасность. Какой вопрос вас мучает?
Помощь — это вещь, без которой не обойтись. Исходя из этого, будем ее предоставлять.
Антивирусная утилита AVZ постоянно при проверке определяет опасно открытый порт 5000. В прикрепленных файлах есть изображение использования команды netstat. Процесс, открывший этот порт, опознан как безопасный (?) — svchost.exe. Между тем, при использовании ключа -о к вышеупомянутой команде обнаруживается, что ID адресов лок.ТСР 5000 и UDP 1900 одинаковы. Так может ли кто-нибудь зайти на мой компьютер ч/з Интернет, пользуясь этим портом? Под какие процессы он открыт, почему одинаковый ID? А также можно ли его отключить, и не повредит ли это системе?
Одинаковые ID не могут быть, отсюда вытекает, что ваша система заражена. Процесс svchost.exe при отключении доступа в сеть делает вашу систему недееспособной для работы в сети, т.к. при отключенном этом процессе вы не можете загрузить страницу, файл и т.д. из сети. Отсюда, опять же, следует простой вывод: закрываем этот порт (для этого легче всего воспользоваться сетевым экраном — можно, конечно, и в реестре отключить, но я бы не советовал), и если при подключенном соединении вы не можете ничего просмотреть, то этот порт действительно используется вышеупомянутым процессом. В принципе, 5000-й порт используется следующими представителями фауны вредоносного программного обеспечения: Bubbel, Back Door Setup, Sockets de Troie. Наиболее вероятно, что это троянец. Поэтому просканируйте систему антивирусом с обновленными базами.
Папка ProgramFiles на диске D не открывается, пишет: "Невозможно открыть файл. Проверьте, доступен ли СОМ-порт, и выберите доступный СОМ- порт в настройках программы обмена данными". В безопасном режиме и Total Commander'ом — открывается. Я подумала, раз речь о портах, может, это по Вашей части? Я не представляю, что делать с этим глюком. Восстановление системы не помогает.
Скорее всего, глючат некоторые компоненты эксплорера, т.к. папка все же открывается коммандером. В этом случае может помочь восстановление системы посредством установочного диска виндовс или простой откат системы. Проблема может заключаться также в политике безопасности, но это легко проверить: попробуйте зайти в папку с правами администратора, и все сразу станет ясно. Если система не пустит, то проблема точно в эксплорере. Вам проще всего будет переустановить систему, если не помогут предыдущие инструкции, чем пытаться исправлять вручную.
После установки антивируса Касперского система стала часто перезагружаться сама по себе. Подскажите, пожалуйста, в чем дело?
По дефолту в настройках виндовс стоит перезагрузка при критической ошибке. Тем, что при работе Касперского часто бывают такие ошибки, никого не удивишь. Самый простой способ избавиться от перезагрузок — отключить эту функцию. А отключить можно, воспользовавшись следующей опцией: Мой компьютер -> Свойства -> Дополнительно -> Загрузка и восстановление: "Параметры" -> Выполнить автоматическую перезагрузку — снять галку.
Может ли вирус отформатировать диск С, воспользовавшись средствами виндовс?
Нет. Не может. Другие может, но не может системный. Для этого вирусописателю придется самому писать модуль форматирования и добавлять в вирус или функционально перезагрузить систему, запустив форматирование под ДОСом. Обусловлено это тем, что файлы системы, хранящиеся на системном диске, активны (в частности, ядро системы постоянно загружено в оперативную память и т.д.). А система не может удалить файлы, которые активны. Да и саму себя удалить не может).
Необходима ли на домашнем компьютере служба telnet?
Телнет служит для установки соединения с удаленной системой и работы в режиме удаленного терминала. Поэтому служба обычному пользователю не нужна, а вот уязвимость несет в себе большую. Т.к., взломав систему, злоумышленник сможет управлять компьютером жертвы посредством команд. На сегодня все. Ждем ваших вопросов, готовим наши ответы.
Евгений Кучук, Spider Agent, spideragent@tut.by
Антивирусная утилита AVZ постоянно при проверке определяет опасно открытый порт 5000. В прикрепленных файлах есть изображение использования команды netstat. Процесс, открывший этот порт, опознан как безопасный (?) — svchost.exe. Между тем, при использовании ключа -о к вышеупомянутой команде обнаруживается, что ID адресов лок.ТСР 5000 и UDP 1900 одинаковы. Так может ли кто-нибудь зайти на мой компьютер ч/з Интернет, пользуясь этим портом? Под какие процессы он открыт, почему одинаковый ID? А также можно ли его отключить, и не повредит ли это системе?
Одинаковые ID не могут быть, отсюда вытекает, что ваша система заражена. Процесс svchost.exe при отключении доступа в сеть делает вашу систему недееспособной для работы в сети, т.к. при отключенном этом процессе вы не можете загрузить страницу, файл и т.д. из сети. Отсюда, опять же, следует простой вывод: закрываем этот порт (для этого легче всего воспользоваться сетевым экраном — можно, конечно, и в реестре отключить, но я бы не советовал), и если при подключенном соединении вы не можете ничего просмотреть, то этот порт действительно используется вышеупомянутым процессом. В принципе, 5000-й порт используется следующими представителями фауны вредоносного программного обеспечения: Bubbel, Back Door Setup, Sockets de Troie. Наиболее вероятно, что это троянец. Поэтому просканируйте систему антивирусом с обновленными базами.
Папка ProgramFiles на диске D не открывается, пишет: "Невозможно открыть файл. Проверьте, доступен ли СОМ-порт, и выберите доступный СОМ- порт в настройках программы обмена данными". В безопасном режиме и Total Commander'ом — открывается. Я подумала, раз речь о портах, может, это по Вашей части? Я не представляю, что делать с этим глюком. Восстановление системы не помогает.
Скорее всего, глючат некоторые компоненты эксплорера, т.к. папка все же открывается коммандером. В этом случае может помочь восстановление системы посредством установочного диска виндовс или простой откат системы. Проблема может заключаться также в политике безопасности, но это легко проверить: попробуйте зайти в папку с правами администратора, и все сразу станет ясно. Если система не пустит, то проблема точно в эксплорере. Вам проще всего будет переустановить систему, если не помогут предыдущие инструкции, чем пытаться исправлять вручную.
После установки антивируса Касперского система стала часто перезагружаться сама по себе. Подскажите, пожалуйста, в чем дело?
По дефолту в настройках виндовс стоит перезагрузка при критической ошибке. Тем, что при работе Касперского часто бывают такие ошибки, никого не удивишь. Самый простой способ избавиться от перезагрузок — отключить эту функцию. А отключить можно, воспользовавшись следующей опцией: Мой компьютер -> Свойства -> Дополнительно -> Загрузка и восстановление: "Параметры" -> Выполнить автоматическую перезагрузку — снять галку.
Может ли вирус отформатировать диск С, воспользовавшись средствами виндовс?
Нет. Не может. Другие может, но не может системный. Для этого вирусописателю придется самому писать модуль форматирования и добавлять в вирус или функционально перезагрузить систему, запустив форматирование под ДОСом. Обусловлено это тем, что файлы системы, хранящиеся на системном диске, активны (в частности, ядро системы постоянно загружено в оперативную память и т.д.). А система не может удалить файлы, которые активны. Да и саму себя удалить не может).
Необходима ли на домашнем компьютере служба telnet?
Телнет служит для установки соединения с удаленной системой и работы в режиме удаленного терминала. Поэтому служба обычному пользователю не нужна, а вот уязвимость несет в себе большую. Т.к., взломав систему, злоумышленник сможет управлять компьютером жертвы посредством команд. На сегодня все. Ждем ваших вопросов, готовим наши ответы.
Евгений Кучук, Spider Agent, spideragent@tut.by
Компьютерная газета. Статья была опубликована в номере 13 за 2007 год в рубрике безопасность
