Comments 143
Ну и ужасы вы тут рассказываете) Нельзя же такое на ночь!
ну конечно, на флешке в режиме Ready Boost ведь зранится кеш последних запущеных exe'шников…
А вот нефиг работать под админом ещё и с отключенным UAC.
Ну вы поняли.
Каждый месяц появляются статьи «что и ка делать», вы же в разрез с ними пускаете первый же файлик с пиратбея ;-) «Респект», что сказать, смелый человек :) Или вам думалось, что пиратбей это очаг честности? Дык явно же сказано же, бухта, да еще и пиратов.
Каждый месяц появляются статьи «что и ка делать», вы же в разрез с ними пускаете первый же файлик с пиратбея ;-) «Респект», что сказать, смелый человек :) Или вам думалось, что пиратбей это очаг честности? Дык явно же сказано же, бухта, да еще и пиратов.
Вообще-то, автор заразился всего лишь открыв каталог с файлом. Здравомыслящему человеку и в голову бы не пришло, что это опасно.
Здравомыслящий человек открывал бы «такие» архивы только в виртуалке, если уж на то пошло.
UFO just landed and posted this here
Не, это уже паранойя. Достаточно чрута или джейла.
Во всех книжках по освоению работы с ПК написано: чтобы активировать вирус (при условии отсутствия уязвимостей), нужно запустить программу, его содержащую. Автор программу не запускал, значит, система содержала критические уязвимости, а при таком раскладе виртуалка не спасёт.
Во всех книжках по освоению работы с ПК написано: чтобы активировать вирус (при условии отсутствия уязвимостей), нужно запустить программу, его содержащую. Автор программу не запускал, значит, система содержала критические уязвимости, а при таком раскладе виртуалка не спасёт.
более того, здравомыслящему и в голову не пришло бы пользоваться системой, способной заразиться от простого просмотра содержимого каталога :)
Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
это слегка смущает… такое правда существует?..
В виндовс и не такое бывает, хех. Что-то много в последнее время критических уязвимостей в семёрке и висте обнаружилось. Одна дырявая самба чего стоит.
«дырявая самба» это не в Windows ;)
Ну перепутал человек термины «samba» и «SMB», суть то от этого не меняется.
g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html
g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html
Как видите :)
Что то я ничего не вижу в гугле по этому поводу.
А есть ссылки о подтверждении этой уязвимости для Windows 7? Эта уязвимость (если она существует) уже должна была всплыть и получить статус критической.
Мне, честно говоря, с трудом верится что заражение машины произошло именно так.
А есть ссылки о подтверждении этой уязвимости для Windows 7? Эта уязвимость (если она существует) уже должна была всплыть и получить статус критической.
Мне, честно говоря, с трудом верится что заражение машины произошло именно так.
Было такое дело с PDF файлами под Vista. Фишка в том, что система их подгружает для отображения эскизов в проводнике, через это вирусы и пролезали. Видимо похожую багу и для exe нашли.
Извините, не под Vista, а под XP.
Use FAR, Luke!
> Видимо похожую багу и для exe нашли.
Ну и где об этом информация? Вот нашли багу в смб2 — все IT-сми завалены этой новостью, а нашли багу под Windows 7 (!) при которой запуск бинарного кода происходит без запуска самого экзешника (!) и тишина. Хотя сама бага (если она есть) нааамного страшнее, чем эксплоит для смб2.
У меня был вопрос к автору: с чего он решил, что заражение произошло именно тем путём, который он описал? Откуда он это взял? Или просто для красного словца?
Ну и где об этом информация? Вот нашли багу в смб2 — все IT-сми завалены этой новостью, а нашли багу под Windows 7 (!) при которой запуск бинарного кода происходит без запуска самого экзешника (!) и тишина. Хотя сама бага (если она есть) нааамного страшнее, чем эксплоит для смб2.
У меня был вопрос к автору: с чего он решил, что заражение произошло именно тем путём, который он описал? Откуда он это взял? Или просто для красного словца?
Была бага с иконками .ico, здесь же иконка лежала внутри бинарника, как ресурс, полагаю, что при просмотре винда извлекла иконку и наткнулась на эксплойт.
UFO just landed and posted this here
Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe.
А как оно смогло? Или UAC был отключен?
А как оно смогло? Или UAC был отключен?
Да, выключенный UAC и администратор. Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
Да не, я это не с целью укора, а просто для понимания происходящего.
Просто рассказывают много историй про злобных вирусов, обходящих UAC и т.п., а в итоге оказывается, что юзер сам все отключил (ну или не сам, а какой-нибудь «знакомый программист»).
Да не, я это не с целью укора, а просто для понимания происходящего.
Просто рассказывают много историй про злобных вирусов, обходящих UAC и т.п., а в итоге оказывается, что юзер сам все отключил (ну или не сам, а какой-нибудь «знакомый программист»).
Хехе — в следуйщий раз свой варез будете вначале под вмварей запускать.
В конце концов, да было желание посмотреть, как оно будет вести себя в «закрытой» территории, но учитывая количество заморочек — товарищ плюнул, его право.
Хехе, умные вирусы под wmware не запустятся :)
почему?
Чтобы их сложнее было отлавливать.
не совсем корректно спросил: я хотел узнать — как wmware это делает?
Не wmware, а вирус. Практически всегда можно узнать под виртуалкой запущена система или нет. Так вот вирусы это проверяют и сидят тихо.
Отличный пример реализации принципа — Зло (воровство) должно быть наказано.
Интересно, что нужно сделать MS, чтобы отучить своих юзеров сидеть под админом? Если только встроить в комп биту и бить по голове за каждый час под админом =)
Начинающие *nix юзеры обычно быстро отучаются «непечатающей» строчкой. :)
Начинающие *nix юзеры обычно быстро отучаются «непечатающей» строчкой. :)
Есть в винде такая скрытая фича — автозапуск со сменных носителей можно отключить через реестр.
Но Microsoft-у уже давно нужно было внедрить другую фичу — возможность _включить_ автозапуск со сменных носителей, отключенный по умолчанию. Сколько людей пострадало от «вирусов на флешке», никто не знает.
И не столько, пожалуй, жаль системы, сколько впустую потраченного времени.
Но Microsoft-у уже давно нужно было внедрить другую фичу — возможность _включить_ автозапуск со сменных носителей, отключенный по умолчанию. Сколько людей пострадало от «вирусов на флешке», никто не знает.
И не столько, пожалуй, жаль системы, сколько впустую потраченного времени.
Вы несколько не поняли ситуацию — дело не в обычной флешке, файлы с которых я уже давным давно не открываю из проводника, дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
Они вроде недавно выпускали патч, отключающий авторан по-умолчанию.
UFO just landed and posted this here
Зачем вы троллите? Проблема ведь не в ОС, а в людях, которые можно сказать вручную заражают себе машины, отключив предварительно все системы защиты от «выстрелов себе в ногу».
Если бы у людей была полезная привычка проверять антивирем всё скачанное сразу после скачивания — у них было бы гораздо меньше геморроя даже под админом без UAC.
Согласен лишь частично. Антивирус тоже не панацея от зловредов. Наверное, вам доводилось читать о последней истерии по поводу угонов номеров ICQ через файл Frogs.exe. Так вот — зловред в том файле (Hoax.Win32.IMPass.am по терминологии Касперского) у меня определился только 8 сентября (стащил себе из чистого интереса, зная, что там зловред). Сам же вирус к этому моменту уже пару дней по Сети гулял. Потому — только ограниченная учетная запись вместе с UAC.
Я ж не говорил, что «совсем не будет геморроя» :))
Понятно, что без админских прав безопаснее, так и это не панацея… Снесет зловредина %HOME%, и много вам будет радости от того, что не под админом сидели?
Понятно, что без админских прав безопаснее, так и это не панацея… Снесет зловредина %HOME%, и много вам будет радости от того, что не под админом сидели?
UFO just landed and posted this here
UFO just landed and posted this here
Ниже уже ответили про VBS.Folder.
Проблема не в ОС, а в людях, которые её пишут ;)
на заметку — в 90% заблокированные сайты разблокируются удалением строк с их упоминанием из файлика hosts (не помню, где он в виндовс, поиск по файла в папке виндовс даст что нужно)
также — простейшие фишинг-атаки лечатся — когда в этом файле прописаны какие-нибудь одноклассники или вконтакте — при попытке зайти на эти сайты — в лучшем случае — ваши кукизы улетают к злоумышленнику, в худшем — ваши не столь продвинутые юзеры отправляют СМС за 300-500 рублей для «разблокирования» аккаунта. ну и пароль от ресурса улетает.
на заметку — в 90% антивирусы которые вирус не дает запускать, начинают запускатся после переименовывания экзешника антивируса.
windows/system32/drivers/etc/hosts
но это как бы самый простой для вирусов способо, но не самый надежный — «лучшие представители» действуют иначе.
но это как бы самый простой для вирусов способо, но не самый надежный — «лучшие представители» действуют иначе.
CureIt! — не «замысловатый remover», а полноценный сканер. Запускать антивирусные утилиты на заражённой системе — верх наивности, надо бы загрузить чистую систему. Например, с того же установочного диска Vista или Windows 7.
UFO just landed and posted this here
Для ноутов можно LiveCD или LiveFlashUSB использовать :)
Ну да — мы простых путей не ищем ;-)
UFO just landed and posted this here
1) если это компьютер того же хозяина — там скорее всего тот же вирус; если другого — так вообще боязно — сколько там заразы среди вареза накачано.
2) есть шанс заразить этот самый второй компьютер
3) конкретно по этой статье — флешка так бы и осталась непроверенной
Как говорится: у каждой сложной задачи есть масса простых неправильных решений ;-)
2) есть шанс заразить этот самый второй компьютер
3) конкретно по этой статье — флешка так бы и осталась непроверенной
Как говорится: у каждой сложной задачи есть масса простых неправильных решений ;-)
>>Сайты всех антивирусных программ заблокированными так и остались.
Знаю я эту блокировку. %WINDIR%\system32\driver\etc\hosts — туда не смотрели?
Знаю я эту блокировку. %WINDIR%\system32\driver\etc\hosts — туда не смотрели?
Напомнило анекдот про парня который сломал сервер, но был не хакер.
Да сами и виноваты.
Используете експлорер, не отключаете авторан, сидите под админом? — Ну дык и не жалуйтесь что заразились, сами себе злобные буратины.
// Вот не лень систему и программы потом переустанавливать.
Используете експлорер, не отключаете авторан, сидите под админом? — Ну дык и не жалуйтесь что заразились, сами себе злобные буратины.
// Вот не лень систему и программы потом переустанавливать.
А чего вы не написали «пользуете виндовс»? По-моему вы это забыли.
Семёрка — достаточно неплохая ОСь. Я лично фанат линукса, но не могу не признать это. Просто не нужно давать чему попало права на исполнение, а тем более отключать UAC.
Хотя лучший вариант — не качать подозрительные файлы, сканировать их сразу после закачки (даже не глядя) или хотя бы проверять комменты на том же «пиратбее», там обычно пишут про вирусы в раздаче. Тем более такие, гробящие систему намертво.
Хотя лучший вариант — не качать подозрительные файлы, сканировать их сразу после закачки (даже не глядя) или хотя бы проверять комменты на том же «пиратбее», там обычно пишут про вирусы в раздаче. Тем более такие, гробящие систему намертво.
Тут один чудак откомпилил питон и установил новую версию в /usr вопреки желанию пакетного менаджера, естественно система практически умерла. Не винде дело, любую систему можно загубить.
UFO just landed and posted this here
понимаю, что речь не о USB, но всёравно напомню про программу USBVaccine которая херит autorun.inf на флешке, делая невозможным его удаление или изменение, легко, просто и полезно.
Да-да, во всём виноваты эти ReadyBoost-флэшки, а не запуск непонятно откуда взятых файлов под рутом да ещё и с отключённым UAC…
PS Это я к тому, что корень проблемы — не ReadyBoost.
PS Это я к тому, что корень проблемы — не ReadyBoost.
UFO just landed and posted this here
Kaspersky пробовали? ИМХО помог бы…
UFO just landed and posted this here
может. Инфа 100%
UFO just landed and posted this here
теоретически может. Например переполнение в каком-либо компоненте, связанном с просмотром иконок файлов.
UFO just landed and posted this here
Хреново вы следите за сектором безопасности IT, я вам так скажу.
Переполнения были и в ICO компонентах, и в длинных именах файлов, и в нестандартных кодировках.
И всё это ломало explorer. Сомневаетесь?
Нате:
Инфа 100%
Переполнения были и в ICO компонентах, и в длинных именах файлов, и в нестандартных кодировках.
И всё это ломало explorer. Сомневаетесь?
Нате:
Инфа 100%
хабр съел линки.
www.us-cert.gov/cas/techalerts/TA07-089A.html
In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Consequently, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.
И не так это давно было.
www.us-cert.gov/cas/techalerts/TA07-089A.html
In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Consequently, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.
И не так это давно было.
как будет время. я вам эксплуатацию покажу на vmware.
UFO just landed and posted this here
Начнем с того, что «Windows Explorer не может запустить исполняемый файл без вашего ведома. Это невозможно.»
Всё-таки возможно, не так ли?
Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?
«за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.
зиродеи для win7 вполне возможны хотя бы потому, что код каждой вынды не переписывается с нуля, а тянет часть кода с родиительских платформ, оттого и наличие общей, но ещё не пропатченной дырки теоретически впоолне возможно.
Суслика не видно, а он есть. Так то.
Всё-таки возможно, не так ли?
Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?
«за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.
зиродеи для win7 вполне возможны хотя бы потому, что код каждой вынды не переписывается с нуля, а тянет часть кода с родиительских платформ, оттого и наличие общей, но ещё не пропатченной дырки теоретически впоолне возможно.
Суслика не видно, а он есть. Так то.
й папке был только .exe файл
В системе установлен Acrobat Pro 9.1.3 c последними обновлениями, в скачанной папке был только .exe файл.
Прочитал весь пост, все комментарии. Вопрос к автору.
1. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
2. дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
Ключевые слова — кэш запущенных экзешников. Если данный плагин не запускался, то, исходя из всей предоставлнной информации, система была поражена еще ДО скачивания с пиратбэй. Вы не рассматривали такую возможность?
1. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
2. дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
Ключевые слова — кэш запущенных экзешников. Если данный плагин не запускался, то, исходя из всей предоставлнной информации, система была поражена еще ДО скачивания с пиратбэй. Вы не рассматривали такую возможность?
UAC это хорошо. В нем только «мерцание скрина» (затемнение) глаза раздражает, могли бы сделать плавные затухания, было бы лучше, и вреда глазам (если он есть) было бы меньше.
По пункту 2 — я так понял, что вирус заразил системные файлы, а уже они закэшировались на SD, и там и остались. То есть там плагина заражённого не было, на карте.
Прокомментирую как непосредственный участник процесса инфицирования (мой ноутбук был). Экcплоит в зараженном вышеописанными вирусами файле использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом. Подробную информацию о уязвимости на безграничных просторах интернета обнаружить не удалось. Есть информация о возможности инъекции в данный процесс в WinXP в некоторых случаях обращения к зараженному файлу или папке, но эта уязвимость была полностью устранена специалистами Microsoft в накопительном обновлении безопасности, вошедшим в SP2 для WinXP. Далее процесс выглядел следующим образом, инфицирование tacsmgr и большинства запущенных процессов. Экплоит сканировал менеджер задач и инфицировал исполняемые файлы. Затем инфицировал все найденные .exe в системных папках. Смысл работы до классического прост. Внедрение вредноносного кода, мутация (изменение) сигнатур, создание себе подобной мутированной копии, дальнейшее инфицирование. Поскольку первый зараженный процесс explorer, при обращении пользователя к папке, содержащей .exe файлы, следовало немедленное инфицирование всех этих файлов в папке. Дальнейшую работу вируса не имеет смысла описывать, принцип их работы всем известен. Моя ошибка, как пользователя, состояла не в самом факте заражения, и не в беспомощности перед такой заразой, а в простой ошибке с флешкой. Поскольку система использовала данную карту памяти как ReadyBoost, в ходе работы на ней происходило кэширование .exe файлов, которые уже были заражены. После форматирования диска С, и установки свежей системы, я совершенно забыл про флешку, которая была в слоте, и к которой, разумеется, сразу стала обращаться свежеустановленная система. Поскольку процесс инфицирования практически незаметный, я, ничего не заметив, продолжал работать в системе и обращался к различным системным дискам, сам того не понимая, заражая их. Когда опомнился, были инфицированы почти все диски.
Смысл данного поста выше в следующем. При обнаружении вирусной атаки, относитесь с максимальным вниманием к системе и к своим действиям, взвешивайте каждое действие и оценивайте возможные последствия. И до тех пор, пока все механизмы действия вируса вам неизвестны, старайтесь осноситься к нему с особой серьезностью. Если нужно детальное подробное описание работы данного полиморфной заразы, могу описать, но, по имеющейся информации, радикального универсального средства борьбы с данной связкой Virut/Heur не существует и система остается макимально к ней уязвимой даже при включенном UAC и отсутствии прав администратора у пользователя. Описанный выше случай единичный, но не стсоит забывать о элементарных средствах безопасности в сети.
Смысл данного поста выше в следующем. При обнаружении вирусной атаки, относитесь с максимальным вниманием к системе и к своим действиям, взвешивайте каждое действие и оценивайте возможные последствия. И до тех пор, пока все механизмы действия вируса вам неизвестны, старайтесь осноситься к нему с особой серьезностью. Если нужно детальное подробное описание работы данного полиморфной заразы, могу описать, но, по имеющейся информации, радикального универсального средства борьбы с данной связкой Virut/Heur не существует и система остается макимально к ней уязвимой даже при включенном UAC и отсутствии прав администратора у пользователя. Описанный выше случай единичный, но не стсоит забывать о элементарных средствах безопасности в сети.
UFO just landed and posted this here
Дело в том, что этот метод не работает для Vista и 7, т.к. active desktop был оттуда убран.
UFO just landed and posted this here
Конечно он остался, только запустить бинарный код с помощью него нельзя (хотя гипотетически при наличии мегабаги в эксплорере оттуда можно сделать все что угодно, но это «нановероятность»). А вот человек выше утверждает что:
«использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом», хотя кроме него эту уязвимость никто не видел. Мне как пользователю 7-ки интересно что это за уязвимость и как я могу её использовать)
«использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом», хотя кроме него эту уязвимость никто не видел. Мне как пользователю 7-ки интересно что это за уязвимость и как я могу её использовать)
Было включено отображение скрытых файлов и папок, в скачанных файлах desktop.ini и folder.htt не было
Еще не стоит забывать про System Volume Information в корневых папках NTFS разделов. Доступ туда по-умолчанию имеет только сама система и разного рода нечисть очень неплохо там гнездится.
UFO just landed and posted this here
Sign up to leave a comment.
Не забывайте про ReadyBoost-флешки