Показано с 1 по 11 из 11.

Способы заражения без использования активного содержимого

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110

    Пути заражения при веб-серфинге с отключеными сценариями, JAVA, плагинами и ActiveX

    Для посещения большинства сайтов использую Avant Browser, в котором отключаю сценарии, апплеты Java, ActiveX... и даже картинки, когда жалко траффика
    Однако, читал, что даже при таких мерах существуют сайты с "самоходными" вирусами, для которых принятые меры будут совершенно неэффективны. И для заражения не потребуется таких действий пользователя, как загрузка "кодека, без которого страница неправильно отображается".
    Хотелось бы подробнее узнать об принципе такого заражения и о способах, которое его исключают.
    Последний раз редактировалось Lemmit; 13.08.2008 в 13:03.
    Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Цитата Сообщение от Lemmit Посмотреть сообщение
    Для посещения большинства сайтов использую Avant Browser, в котором отключаю сценарии, апплеты Java, ActiveX... и даже картинки, когда жалко траффика
    Однако, читал, что даже при таких мерах существуют сайты с "самоходными" вирусами, для которых принятые меры будут совершенно неэффективны. И для заражения не потребуется таких действий пользователя, как загрузка "кодека, без которого страница неправильно отображается".
    Хотелось бы подробнее узнать об принципе такого заражения и о способах, которое его исключают.
    100% защиты нет. В отписанной ситуации возможны следующие пути проникновения заразы:
    1. Можно посетить сайт, содержащий зараженные картинки, музыку, PDF. Суть их "заражения" сводится к тому, что в них внедряется эксплоит, выполняющий загрузку и запуск вредоносного ПО. Можно конечно не загружать музыку, отключить показ картинок, не открывать PDF ... но это перебор
    2. В Avant Browser может обнаружиться уязвимость ... он малораспространен и уязвимости в нем мало кто ищет (основной прицел ведется на IE, FF, Opera и т.п.), но тем не менее
    А исключить заражение несложно - работать из под учетной записи юзера, сам браузер при помощи DropMyRights можно вообще запустить в совершенно бесправном режиме - это не защитить от возможного проникновения зловреда, но не позволит ему набезобразничать на ПК

  4. #3

  5. #4
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Lemmit Посмотреть сообщение
    Для посещения большинства сайтов использую Avant Browser, в котором отключаю сценарии, апплеты Java, ActiveX... и даже картинки, когда жалко траффика
    Однако, читал, что даже при таких мерах существуют сайты с "самоходными" вирусами, для которых принятые меры будут совершенно неэффективны. И для заражения не потребуется таких действий пользователя, как загрузка "кодека, без которого страница неправильно отображается".
    Хотелось бы подробнее узнать об принципе такого заражения и о способах, которое его исключают.
    Давайте не путаем сами вирусы с механизмом их распространения.

    Даже если вы отключаете скрипты и ActiveX (в Firefox'e по умолчанию, например, нет ActiveX):

    * Есть угорзы от PDF (уязвимость в Acrobat Reader, который всё равно запускается, несмотря на то, что скрипты отключены). Хватает иметь plugin (dll) от этого Reader'a и дело с концом.
    * Есть потокови видео - если установлены плееры (QuickTime, Real Player), то тогда тоже самое - вы щёлкаете на ссылку, и они запускаются.
    * Есть HTML-иксплоиты (нацеленный на переполнение буфера парсера HTML, допустим). Они бывает резже, но бывают.

    Конечно это почти без исключения делается через social engineering, то есть: заставляют верить, что то, что предлагается - полезно, интересно, нужно.

    Далее вы должны знать, что даже если вы НЕ используете IE, он всё равно играет роль (часто грязную) когда вы нажимаете на ссылку в другом браузере. Это так заложено в реестре Windows. Думается, что если у вас браузер на движке IE (Avant), что эта связь, скорее всего, ещё сильнее, чем с другими браузерами.

    Paul

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    Цитата Сообщение от zerocorporated Посмотреть сообщение
    Avant Browser насколько я знаю работает на таком же ядре что и Internet Explorer.
    Да. Так и есть.

    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    исключить заражение несложно - работать из под учетной записи юзера, сам браузер при помощи DropMyRights можно вообще запустить в совершенно бесправном режиме - это не защитить от возможного проникновения зловреда, но не позволит ему набезобразничать на ПК
    Наверно, сломать стереотип работать под админом, по крайней мере, для меня, слишком сложно.
    А вот мысль ограничить только браузер в правах мне очень понравилась.

    Цитата Сообщение от p2u Посмотреть сообщение
    * Есть угорзы от PDF (уязвимость в Acrobat Reader, который всё равно запускается, несмотря на то, что скрипты отключены). Хватает иметь plugin (dll) от этого Reader'a и дело с концом.
    * Есть потокови видео - если установлены плееры (QuickTime, Real Player), то тогда тоже самое - вы щёлкаете на ссылку, и они запускаются.
    * Есть HTML-иксплоиты (нацеленный на переполнение буфера парсера HTML, допустим). Они бывает резже, но бывают.
    Спасибо! Плагин Acrobat Reader отключен (Для отключения плагинов IE в Avant Browser имеется очень удобная опция, причем по умолчанию все плагины отключены).
    Видео на сайтах не смотрю.
    А вот про наиболее распространенные HTML-эксплоиты хотелось бы узнать подробнее. Можно где-то почитать о них подробнее? Желательно на русском. И в идеале - в формате для "продвинутого пользователя".
    Последний раз редактировалось Lemmit; 12.08.2008 в 11:38. Причина: Добавлено
    Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/

  7. #6
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Lemmit Посмотреть сообщение
    Видео на сайтах не смотрю.
    А это не обязательно - достаточно нажать на ссылку, которая создана против плеера, и работать при этом в режиме админа (для лучшего эффекта), и всё.

    Лучше всего также поставить так называемый kill bit для таких приложений (Это значит, что эксплойты через IE не будут работать):

    Kill Adobe Reader:
    Код:
    Windows Registry Editor Version 5.00
    
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CA8A9780-280D-11CF-A24D-444553540000}]
          "Compatibility Flags"=dword:00000400
    Kill Flash Player:
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX 
    
    Compatibility\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}]
    "Compatibility Flags"=dword:00000400
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX 
    
    Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX 
    
    Compatibility\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    "Compatibility Flags"=dword:00000400
    Kill Real Player:
    Код:
    Windows Registry Editor Version 5.00
    
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5}]
          "Compatibility Flags"=dword:00000400
    Kill QuickTime Player:
    Код:
    Windows Registry Editor Version 5.00
    
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
          "Compatibility Flags"=dword:00000400
    
          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4063BE15-3B08-470D-A0D5-B37161CFFD69}]
          "Compatibility Flags"=dword:00000400
    Kill WMP 6.4

    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{22D6F312-B0F6-11D0-94AB-0080C74C7E95}]
    
    "Compatibility Flags"=dword:00000400
    Kill WMP 7.1, 9, 10
    Код:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
    
    "Compatibility Flags"=dword:00000400
    Цитата Сообщение от Lemmit Посмотреть сообщение
    А вот про HTML-эксплоиты хотелось бы узнать подробнее. Можно где-то почитать о них подробнее? Желательно на русском. И в идеале - в формате для "продвинутого пользователя".
    Думаю, что другие участники могут указать вам путь...

    Paul
    Последний раз редактировалось XP user; 12.08.2008 в 12:02.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    Цитата Сообщение от p2u Посмотреть сообщение
    Лучше всего также поставить так называемый kill bit для таких приложений
    Спасибо, буду пробовать.
    Цитата Сообщение от p2u Посмотреть сообщение
    Думаю, что другие участники могут указать вам путь...
    Наверно, мне порекомендуют http://www.securitylab.ru/poc/ но там все эксплоиты "в куче".
    Кроме того, уязвимости, которые могут при удачном расположении звезд вызвать отказ обслуживания браузера, для простого смертного неактуальны.
    А вот те, что реально применяются, или применимы для внедрения вредоноса, выполнения произвольного кода, думаю, хорошо бы описать в одном месте со способами противодействия и разместить в FAQ (предложение к администрации).
    Последний раз редактировалось Lemmit; 12.08.2008 в 11:45.
    Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162
    100 % безопасность дает, при использовании хождения по инету(особенно по сомнительным сайтам) зону безопасности (подушку безопасности) например в том же Акронисе, со сбросом в первоначальное состояние после перезагрузки, правда все новое ПО пропадет, и вирусы в том числе. Плюс бэкап. Пока, лучше ничего не придумано и можно не "заморачиваться" при работе из под админа и на IE или на любом другом браузере. Другой вопрос, что не всех это устраивает, по разным причинам.

  10. #9
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Я хотел бы предлагать переименовать топик. 'Способов заражения без использования активного содержимого' на самом деле не бывает, конечно; если есть возможность заражения, значит ВСЕГДА есть активное содержимое...

    Paul
    Последний раз редактировалось XP user; 12.08.2008 в 13:49.

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    Так лучше?
    (заголовок 1-го сообщения сменил, но саму тему изменить не могу. Модераторы помогут?)
    Последний раз редактировалось Lemmit; 12.08.2008 в 16:29.
    Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/

  12. #11
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Lemmit Посмотреть сообщение
    Так лучше?
    Лучше. Посетители форума не должны думать, что здесь 'мифы плодят'.
    Строго говоря нет угроз без активного содержимого.

    Paul

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 08.02.2012, 00:45
  2. Ответов: 0
    Последнее сообщение: 29.07.2011, 15:40
  3. Ответов: 0
    Последнее сообщение: 29.07.2011, 15:40
  4. Ответов: 39
    Последнее сообщение: 15.02.2010, 14:24
  5. Ответов: 27
    Последнее сообщение: 06.05.2007, 09:21

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00291 seconds with 22 queries