» Agnitum Outpost Firewall Pro

Lemeshey

Цитата:

HackZona - Территория Взлома

Название: Email-Worm.Win32.Wurmark.b
Раздел: Новости :: Вирусы. Дата: 30.12.2004


Обнаружен 28 декабря.
Тип: почтовый червь.
Технические детали:
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

По своим функциям практически идентичен варианту Wurmark.a.

Отличается от него следующими изменениями:

Вместо файла "%System%winit.exe" червь создает файл "%System%winprotect.exe".

Имя файла-вложения в зараженном письме выбирается произвольным образом из списка:


admire_001.exe
for_you.pif
Hapy-new-year.scr
is_this_you.scr
love_04.scr
Mary-Christmas.scr
Pic_001.exe
Photo_01.pif

Червь изменяет файл "%System%driversetchosts", дописывая в него нижеприведенный текст и, тем самым, закрывая доступ к следующим ресурсам:

127.0.0.1 localhost
127.0.0.1 rads.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 update.symantec.com
127.0.0.1 downloads-us2.kaspersky-labs.com
127.0.0.1 downloads-us3.kaspersky-labs.com
127.0.0.1 downloads-us4.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 symantecliveupdate.com
127.0.0.1 symatec.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 ftp.downloads1.kaspersky-labs.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 ftp.downloads1.kaspersky-labs.com
127.0.0.1 ftp.downloads2.kaspersky-labs.com
127.0.0.1 ftp.downloads3.kaspersky-labs.com

http://www.symantec.com/index.htm

Адрес Статьи: http://www.hackzona.ru/hz.php?name=News&file=article&sid=3773

Я до сих пор пользовался программой "Iarsn TaskInfo2003".
Просто тупо смотрел на запущенные процессы и все.
Сейчас понял, что просто разглядывать их нельзя.
И, посетив страницу
hттp://www.liutilities.com/products/wintaskspro/processlibrary/ ,
решил срочно поставить программу WinTasks.
Может кто разместит в варезник ссылку на программу с патчем?
Я там написал, но пока все молчат.

на IMHO.WS я нашел всё, что нужно, и как слить WinTasks, и лекарство от жадности во множестве вариантов.

СЦЫЛА

на IMHO.WS естественно требуется регистрация

ЗЫ. что смешно, к свежескаченному триалу 5.03 вроде бы подходит ключ, который там постили три месяца назад... Триал остался 5.03 с тех пор...

Beaver242
Так ни одна ссылка не работает.
Можно взять через поиск на странице
hттp://freeserials.com/serials/search.php?q=

вот поставил последнюю версию Агнитума 2.5.375.4822 (374)
и теперь на страничках появляется это [EXT]
это что заблокировано?

DzOOMer

Цитата:

вот поставил последнюю версию Агнитума 2.5.375.4822 (374)
и теперь на страничках появляется это [EXT]
это что заблокировано?

По умолчанию этого не должно быть. Блокируются внешние объекты (вкладка Интерактивные элементы). Лучше разрешить, а то сёрфить будет туго.

DzOOMer

Цитата:

и теперь на страничках появляется это [EXT]
это что заблокировано?

заблокированы внешние объекты: картинки и тп. с других серверов (сайтов).

Zeroglif
да, действительно... я включил блокировку внешних объектов, но не знал что outpost так отображает блокировку...

Но вот сомнения насчет


Цитата:

Лучше разрешить, а то сёрфить будет туго.

по идее если запретить загрузку чегото из вне (а в пояснении так и написано - запрещает загрузку со сторонних сайтов) то трафику будет меньше, да и время загрузки уменьшится тоже?

DzOOMer

Цитата:

по идее если запретить загрузку чегото из вне (а в пояснении так и написано - запрещает загрузку со сторонних сайтов) то трафику будет меньше, да и время загрузки уменьшится тоже?

Так то оно так, но внешний объект - это норма жизни, будешь часто убивать нормальные вещи. К примеру, включи блокировку и перегрузи эту страницу, прибьются нормальные кнопки-картинки и полезут скриптовые ошибки...

DzOOMer
Включить можно.
А вот для часто посещаемых сайтов можно и разрешить, для этого и сущестыуют исключения, чтоб меньше неудобств было.

как отключить сообщение об очистки журнала (напостой віскакивает на фулскрине )
Сам журнал мне нужен

Пребываю в нерешимости. Аутпост мне в любом случае переустанавливать и перенастраивать надо (криво он у меня установился, после того как я попытался перенести его настройки на новый комп (с другого системного диска)).
Посоветуйте, какую версию установить. С какой проблем меньше будет:
1) оставить прежний 2.1;
2) установить 2.5.375.4822;
3. установить ZoneAlarm (я с него в свое время ушел из-за проблем с мулом);
4) что-нибудь другое установить.

Страсть, как не люблю настраивать файерволлы А они все глючат и глючат.

DeerUA
В настройах журнала и отключается.
Файл-Настройки очистки журнала-Показывать информационные сообщения

ghosty
Установи новый. У меня пока не глючил.

Цитата:

4) что-нибудь другое установить

Народ Sygate хвалит сильно.
Завтра буду пробовать поставить дома и потестировать

vincome
По поводу "AgnitumDownload". Предполагается ли развитие проги - хочется полный оффлайн при обновлении (т.е. получил update2.aus, качнул зипы, а собственно само обновление делать не выходя в инет)?

Sybiriak
Так я так и делаю, правда у меня стоит Apache, а под ним поднят витртуальный хост для Агнитума. И в инишках Апдейта прописан в качестве сервера мой www хост.

По поводу чистого обновления руками(программой) из полученных зипов - там очень закрученно рассованы файлы. тоесть какието файлы из одного архива в одни папки, другие из этогоже архива в другие, и так далее.

При этом еще нужно проверять, что у вас имеется из установленного оутпоста(языки)

тут уже задавались подобные вопросы но ответов что то я незаметил

проблемма в том что у меня отпост (с честным ключем)
но обновлятса сам он нехочет (ни через авто обновление ни через сервис-обновление)
на сайте уже лежит более новая версия а мне говорит что у меня последняя версия
что за ..... ?

RF
А что у тебя в файле C:\Program Files\Common Files\Agnitum Shared\Aupdate\update.ini
в ключе ServerDir стоит?

Нужно чтобы было /update_beta25 или /update_pro20

vincome
Цитата:

правда у меня стоит Apache

С CoolProxy, (локальный кэширующий прокси), не прокатывает, aupdrun.exe не нравится ответ (вернее - отсутствие ответа), привожу выдержки из aupdate.log:

---

Удачное обновление (update2.aus берется с инета):
2005/01/21 21:10:13 [SEND_REQ] received status 000000C8
2005/01/21 21:10:49 [find_app] begins
...
вот лог сниффера:
HTTP/1.1 200 OK
Date: Fri, 21 Jan 2005 15:10:06 GMT
Server: Apache
Expires: Mon, 26 Jul 1997 05:00:00 GMT
Last-Modified: Fri 21 Jan 2005 15:10:09 GMT
Pragma: no-cache
Content-Length: 30177
Content-Type: text/plain
Connection: close
... дальше пошел сам update2.aus

---

НЕудачное обновление (оффлай режим - все берется из кэша CoolProxy):
2005/01/21 21:18:50 [SEND_REQ] received status 00000194
2005/01/21 21:18:50 [DOWNLOAD_ERR] error_request
2005/01/21 21:18:56 !!! Ошибка запроса

---

Как - нибудь можно сэмулировать этот ответ?

Sybiriak
Возможно выйдет сделать обновление Сабжа через AgnitumDownload.
Сейчас пишу небольшое дополнение к моему AgnitumDownload.

Добавлено:

Цитата:

Expires: Mon, 26 Jul 1997 05:00:00 GMT

А это тогда к чему.
Файл уже устарел и следовательно aupdrun.exe он не нравится.

vincome
21:59 21-01-2005
Цитата:

> Expires: Mon, 26 Jul 1997 05:00:00 GMT
Файл уже устарел и следовательно aupdrun.exe он не нравится.

Так это из ответа реального агнимумского сервака... Обновление при этом прошло успешно.

Sybiriak
1. Копируешь всё закаченное в \Program Files\Common Files\Agnitum Shared\aupdate\Downloaded Files
2. Запускаешь \Program Files\Common Files\Agnitum Shared\aupdate\aupdrun.exe /install
(при отсутствии коннекта).
Если получил сообщение об ошибке, п2 повторить.
Несколько лет так поступаю - всё работает.

AlexNsk
Big 10x!!!

Извините у кого нить есть плагин blockpost а ? Вроде искал , но с оффициального не качаеться , вот подумал может у вас есть ?

MeGa_CPaHb
А шапку смотреть ?

Цитата:

RF
А что у тебя в файле C:\Program Files\Common Files\Agnitum Shared\Aupdate\update.ini
в ключе ServerDir стоит?

Нужно чтобы было /update_beta25 или /update_pro20

/update_pro20 стоит

по повуду отрубания сети (нета)
ща заметил, если в это время откруто соединение (качается файл), то он продолжает качаться, а остальной доступ отрубается.

RF
А какая у тебя сейчас версия Программы ?


Добавлено:

Цитата:

\Program Files\Common Files\Agnitum Shared\aupdate\aupdrun.exe /install

Действительно работает.

Прекращаю написание своей программы обновления.



Добавлено:
В AgnitumDownload подправил один баг, из-за которого при появление новых версий,
старый файл update2.aus не проверялся на обновление, а посему в кучу смешивались разные версии. Теперь каталог с файлами в случаее появления новых версий будет автоматически переименован.

Новый файл AgnitumDownload доступен по адресу hxxp://webfile.ru/163541 - пароль - ru-board

Egor23
огромное спасибо
ЗЫ: чивото я протупил