תחליף קל משקל לאנטיוירוס

dovid

אני כבר הרבה שנים מחפש איך לעזור לאנשים שהמחשב שלהם יהיה חסין מכל הדברים המעצבנים שקורים למחשב שבעליו לא כ"כ מבין הרבה במחשבים.
אחת הצרות העיקריות זה וירוסים למיניהם, בעיקר מסוגי הקיצור דרך שנפוץ בדיסק און קי.
בעבר הגעתי לכמה מסקנות וכעת השאלה עלתה שוב.
אני קורא לוירוסים האלה "וירוסים מקומיים" כי כמה פעמים שבדקתי עליהם התברר שהם לא בתפוצה עולמית (וזה הגיוני כי דיסק און קי זה מצריך ממשק גיאוגרפי צמוד), ובגלל זה לוקח זמן עד שהם נחסמים אם בכלל.

המסקנות שעברתי עליהם בעבר היו:

1. התקנה של AV חינמי (תקופה עבדתי עם avira אח"כ עם avast).
   הם באמת חסמו כל מיני וירוסים שבזמנו הדפנדר של windows לא חסם, אבל לאט לאט הם יותר הציקו מאשר חסמו. אוירה אכזב מאוד בחסימה של וירוסים מקומיים, אווסט אכזב מעט אבל גם החליף לממשק כבד ומאוד דומיננטי ומראה נוכחות בכל פינה.
2. קניה של רישיון זול של איסט
   הייתה תקופה שהיו רשיונות בחינם או באיביי בזול, לאיסט יש ייתרון של שלוחה מקומית חזקה פה שמתעדכנת יחסית מהר בוירוסים מקומיים מטכנאים ישראלים. כמו"כ הממשק בעברית מה שפחות מפחיד כשקופצת הודעה ו"אני לא יודע על מה ללחוץ".
3. קניה במחיר מלא של ESET
   החלטתי שאין מה לעשות, צריך לשלם בשביל שיהיו רגועים והכרחתי אנשים לשלם ושיהיה להם שקט מהבעיות.

כיום אני לא מרוצה גם מהאפשרות האחרונה בגלל:
א. הרישיון מאוד יקר.
ב. האקטוב מחייב חיבור לאינטרנט (גם לא נטפרי מייל בלבד) וזה מחייב שמשתמש יביא את המחשב הנייח לביתי כדי להתקין.
ג. אחרי תום הרישיון הוא כבר לא עובד ולמרות שהוא מציק נורא ואני/מישהו צריך להיות פה כדי לספק הארכה ובפרט לגבות תשלום ("זה באמת נצרך?"). במקרה של אופליין חוזרת הבעיה הקודמת.
ד. הוא בכלל לא מושלם לצרכים העיקריים שלשמו הוא נדרש.

אם היה לי חברת תוכנה לAV הייתי מזמין כזו תוכנה:
א. למנוע הרצה של תוכנה מהתקן נשלף. להודיע למשתמש שאם הוא יודע מה שהוא עושה שיעתיק קודם למחשב.
ב. לחסום קובץ LNK שהיעד שלו הוא CMD\WSSCRIPT עם פרמטר (שלא יעבדו כמה תוכנות תת רמה, לא נורא).
ג. לחסום לגמרי את WSSCRIPT.

אז יש דרכים לעשות חלק מהדברים עם הGPO/APPLOCKER וכדומה, אבל לא בשלמות.
וכאן השאלה: האם מישהו מכיר כלי/תוכנה שאפשר להכין איתו כאלו כללים וככה בעצם חסכנו את כל המושג AV המרגיז?

לומד ומתלמד

@dovid
בתיכון בו אני עובד הותקן בחדר מחשבים של התלמידים תוכנת RADIX (שחזור).
משמעותה של תוכנה זו, שלא ניתן לחולל שינוי (משמעותי) במחשב, וכל שינוי שנעשה נמחק בעת הדלקה וכבוי של המחשב.
הייתרונות הן: שלא ניתן להתקין שום תוכנה ללא רשות של הבעלים (וכל התקנה מורשית, נדרש לבצע 'צילום מצב' ושוב להפעיל מחדש), ואם בטעות הותקן וירוס כלשהוא הוא נמחק בהפעלה הבאה של המחשב.
ישנם כמה אפשרויות שליטה בתוכנה זו, כגון אילו איזורים יהיו מוגנים וכו' ועוד.
החסרונות הן:
איני יודע מהו המחיר
גם כאן נדרש לחדש רישיון, אבל אצלינו הטכנאי אמר שאין צורך בכך (הרישיון הוא לעידכונים, אבל התוכנה ממשיכה לפעול באופן חוקי גם ללא הרישיון, ואינה מקפיצה הודעות וכו')
עדיין יתכן שמשתמש יאשר איזשהו וירוס ללא ידיעתו ו'יצלם מצב' והוירוס יותקן..

dovid

@לומד-ומתלמד תודה!
אני אכן מכיר את הקונספט של התוכנה בשם תוכנות הקפאה.
זה מצויין עבור מקומות ציבוריים אבל פה מדובר במחשבים אישיים שאני כן רוצה שהם יוכלו להתקין אפילו תוכנות רציניות ושינויים מפליגים.

A0533057932

@dovid האם התיקון הכללי לא עושה את מה שאתה מחפש?

yossiz

@dovid כתב בתחליף קל משקל לאנטיוירוס:

לחסום לגמרי את WSSCRIPT

יש לזה מפתח ברג'יסטרי

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings
Enabled=0

עריכה: עכשיו אני שם לב שכבר ציינת:

אז יש דרכים לעשות חלק מהדברים עם הGPO/APPLOCKER וכדומה, אבל לא בשלמות.

A0533057932

@dovid כתב בתחליף קל משקל לאנטיוירוס:

א. למנוע הרצה של תוכנה מהתקן נשלף. להודיע למשתמש שאם הוא יודע מה שהוא עושה שיעתיק קודם למחשב.

https://mitmachim.top/post/141425
פתרון פיראטי לזה

dovid

@A0533057932 יש דרך פשוטה יותר בGPO.
עיקר השאלה היא באמת סעיף ב שזה חסימת הLNK, זו הדרך הנפוצה ביותר כיום נדמה לי.

dovid

@A0533057932 כתב בתחליף קל משקל לאנטיוירוס:

@dovid האם התיקון הכללי לא עושה את מה שאתה מחפש?

אם אינני טועה הוא עובד על העבר ולא על העתיד.
כלומר הוא לא מנגנון מניעה.

צבי-ש

@dovid כתב בתחליף קל משקל לאנטיוירוס:

@A0533057932 כתב בתחליף קל משקל לאנטיוירוס:

@dovid האם התיקון הכללי לא עושה את מה שאתה מחפש?

אם אינני טועה הוא עובד על העבר ולא על העתיד.
כלומר הוא לא מנגנון מניעה.

אבל אולי על בסיס זה תוכל לבנות איזהשהוא סקריפט שמריץ את תיקון הכללי על כל כונן שמתחבר למחשב, או בכללי פעם ביום

והסקריפט הזה יעלה בהפעלה של ווינדוס.

A0533057932

@dovid תיקון הכללי v10.13.bat אמור להיות בו גם מנגנון מניעה
אבל אני לא בטוח שהוא עובד על כל הוירוסים שיש

סקריפט לטיפול בוירוסים המדבקים דרך כוננים חיצוניים, הוירוסים המטופלים הם:
וירוס קיצורי דרך בסיומת wsf
AutoHK.NAP
Streamer
OfficeUpdater
WinddowsUpdater.

אופציה להפעלה אוטומטית, הוראות יופיעו בהפעלת הסקריפט.

dovid

@A0533057932 אכן נראה מרשים ומושקע, אני לא מבין את כל הקוד אז אני לא בטוח ביכולותיו.

UA

@dovid כתב בתחליף קל משקל לאנטיוירוס:

כיום אני לא מרוצה גם מהאפשרות האחרונה בגלל:

ד. הוא בכלל לא מושלם לצרכים העיקריים שלשמו הוא נדרש.

אם היה לי חברת תוכנה לAV הייתי מזמין כזו תוכנה:
א. למנוע הרצה של תוכנה מהתקן נשלף. להודיע למשתמש שאם הוא יודע מה שהוא עושה שיעתיק קודם למחשב.

ל- ESET יש אופציה לחסום התקנים ניידים עם אפשרות ליצור כללים.

dovid

@UA את רשימת הדרישות שלי כתבתי אחרי שסיכמתי את התאכזבותי מהאנטירוסים כולל ESET.
כתבתי לעיל את חסרונותיו, חוץ מהחיסרון שהוא לא עושה עבודה טובה (למשל מבחינתו קישור שמפנה לCMD עם ארגומנט שאיננו נחשב כחשוד הוא תקין, ומבחינתי לא. ויש עוד רבים כאלו).

WWW

@dovid אתה מדבר על מחשבים שלא מחוברים לאינטרנט נטו?
כי במחשבים שמחוברים לרשת יכול להיות עוד בעיות כמו אתרים-הורדות, או שאתה סומך על דפנדר בעניין הזה.

dovid

@WWW לא נטו, אבל ב80% (אופליין לגמרי + מייל בלבד או מסלולים מאוד סגורים).
גם אלו עם אינטרנט רחב, אם לא מדובר על מחשב עם גישה לצעירים, אז מאוד קל לי להדריך אותם מה לא להוריד/להריץ מאשר על מה ללחוץ ועל מה לא בקבצים שבנגן של השכן או שלהם.
(אין כמעט צורך באנטי פישינג ושפע ההגנות המודרניות היקרות שמציעים האנטיוירוסים שלדעתי גם לא מושלמים בכלל).
וכפי שאמרת הדפנדר בסדר גמור ביחס לאנטיוירוסים האחרים בוירוסים כאלו.

shraga

@dovid
אמנם הלכת לכיוון של פתרון אחר, אבל מרגיש צורך לציין שלמיטב תחושתי הדפנדר בגירסאות האחרונות של וינדוס 10 ובפרט בוינדוס 11 עובד מעולה ולא מפספס (בשונה מבעבר) ומהווה תחליף מצוין בסיסי לאנטי וירוס חיצוני וכמובן מוטמע בצורה נעימה ונוחה במחשב.

mekev

@dovid
שאלה:
האם ישנם וירוסים שמתפשטים בהדבקה דרך USB בצורה שונה מהשימוש ב: Autorun.inf

dovid

@mekev אני כשלוש ארבע שנים קצת רחוק מחומרה וטכנאות, אז אני לא מעודכן ממש בדרכים.
אבל נדמה לי שautorun.inf כבר לא רלוונטי כי Windows באיחור רב הפסיקו לתמוך בהוראת הפעלה אוטומטית עיוורת. נדמה לי שהדרך כבר תקופה לא קצרה היא קיצורי דרך עם שמות התיקיות כשהתיקיות האמיתיות מוסתרות. הקיצור אכן פותח את התיקיה שהוא אמור לפתוח אבל גם מבצע פעולה שמדביקה את המחשב וכדומה.

קומפיונט

@mekev כתב בתחליף קל משקל לאנטיוירוס:

שאלה:
האם ישנם וירוסים שמתפשטים בהדבקה דרך USB בצורה שונה מהשימוש ב: Autorun.inf

יש את מה ש@dovid כתב, שזה כמה וירוסים (שאגב, מאוד נפוצים בציבור שלנו) שמדביקים את המחשב דרך פתיחת הקיצור דרך, שבעצם מפעיל תוכנה שמסתתרת באונקי והיא זו שפותחת את התיקיה (בחלון חדש) ועל הדרך גם מעתיקה את עצמה למחשב. הם בדרך כלל וירוסים שלא מזיקים, רק מעצבנים וגם שולחים מידע מהמחשב לבעלי הוירוס, דוגמת streamerdata.

אבל יש עוד אפשרות פחות נפוצה, שהוירוס מסתתר בתוך תוכנה לגיטימית וברגע הפתיחה שלה מהאונקי היא מדביקה את כל הקבצים במחשב (exe) בוירוס, והם כבר ידביקו את האונקים הבאים בתור, וחוזר חלילה.

A0533057932

@קומפיונט כתב בתחליף קל משקל לאנטיוירוס:

@mekev כתב בתחליף קל משקל לאנטיוירוס:

שאלה:
האם ישנם וירוסים שמתפשטים בהדבקה דרך USB בצורה שונה מהשימוש ב: Autorun.inf

יש את מה ש@dovid כתב, שזה כמה וירוסים (שאגב, מאוד נפוצים בציבור שלנו) שמדביקים את המחשב דרך פתיחת הקיצור דרך, שבעצם מפעיל תוכנה שמסתתרת באונקי והיא זו שפותחת את התיקיה (בחלון חדש) ועל הדרך גם מעתיקה את עצמה למחשב. הם בדרך כלל וירוסים שלא מזיקים, רק מעצבנים וגם שולחים מידע מהמחשב לבעלי הוירוס, דוגמת streamerdata.

את זה פותר תיקון הכללי והוא גם מונע הדבקה להבא כי הוא נשאר לפעול ברקע של המחשב

אבל יש עוד אפשרות פחות נפוצה, שהוירוס מסתתר בתוך תוכנה לגיטימית וברגע הפתיחה שלה מהאונקי היא מדביקה את כל הקבצים במחשב (exe) בוירוס, והם כבר ידביקו את האונקים הבאים בתור, וחוזר חלילה.

וירוסים כאלה יותר נדירים ובשבילם בדרך כלל צריך אנטי וירוס אמיתי