PDA

Просмотр полной версии : Уязвимость утилиты HijackThis



Зайцев Олег
10.07.2006, 10:25
Версии: Проверено на текущей версии 1.99.1 и по видимому актуально для всех предыдущих версий.
Описание: Утилита HijackThis хранит свои настройки в ключе реестра HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\. При этом содержащиеся в ключе данные не шифруются, не защищаются цифровой подписью или контрольной суммой. Это позволяет злоумышленнику сфабриковать поддельные настройки, в частности - поддельный список игнорирования для маскировки любых объектов, которые могут быть обнаружены утилитой. Список игнорирования хранится в открытом виде в текстовых параметрах IgnoreXX, где XX - порядковый номер. Параметр IgnoreNum хранит количество элементов списка игнорирования.
Примеры параметров:
Ignore4 = "O15 - Trusted Zone: *.energy-factor.com"
Ignore7 = "O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe"
ITW: Эксплуатация данной уязвимости обнаружена в некоторых ITW SpyWare и троянских программах, наиболее показательный пример - Trojan.Win32.StartPage.ahm.
Меры защиты: Контроль за содержимым HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\ перед использованием утилиты HijackThis. В AVZ введена специальная микропрограмма "Очистка списка игнорирования утилиты HijackThis", удаляющая все элементы из списка игнорирования.

Макcим
17.04.2007, 18:26
В HijackThis 2.0 не поправили?

Зайцев Олег
18.04.2007, 08:09
В HijackThis 2.0 не поправили?
Нет, не поправили - в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.

Shark
16.09.2007, 20:57
Нет, не поправили - в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.

-1 Trend Micro...:embarasse
Спасибо, что проголосовали....

MC'LyP
06.06.2008, 17:16
ппЦ!.. Ну держись народ ))

ALEX(XX)
06.06.2008, 17:20
ппЦ!.. Ну держись народ ))
С 10.07.2006, 10:25 держимся. Много наших полегло, но ещё продержимся :D

XiTri
10.06.2008, 15:32
Много наших полегло, но ещё продержимся :D

+1
Хорошо сказано

digitally uknown
02.02.2010, 13:53
А если он вообще не запускается и никакие логи не делает, что нужно??

Макcим
02.02.2010, 15:25
Нужно взять более толковую утилиту, тот же AVZ (ещё лучше его переименовать).

SANIOK_AV
07.02.2010, 01:15
Нет, не поправили - в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.

а в 2.0.2?

glax24
24.01.2012, 20:52
в 2.0.0.4 уязвимость также сохраняется.