-
Уязвимость утилиты HijackThis
Версии: Проверено на текущей версии 1.99.1 и по видимому актуально для всех предыдущих версий.
Описание: Утилита HijackThis хранит свои настройки в ключе реестра HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\. При этом содержащиеся в ключе данные не шифруются, не защищаются цифровой подписью или контрольной суммой. Это позволяет злоумышленнику сфабриковать поддельные настройки, в частности - поддельный список игнорирования для маскировки любых объектов, которые могут быть обнаружены утилитой. Список игнорирования хранится в открытом виде в текстовых параметрах IgnoreXX, где XX - порядковый номер. Параметр IgnoreNum хранит количество элементов списка игнорирования.
Примеры параметров:
Ignore4 = "O15 - Trusted Zone: *.energy-factor.com"
Ignore7 = "O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe"
ITW: Эксплуатация данной уязвимости обнаружена в некоторых ITW SpyWare и троянских программах, наиболее показательный пример - Trojan.Win32.StartPage.ahm.
Меры защиты: Контроль за содержимым HKLM\SOFTWARE\Soeperman Enterprises Ltd.\HijackThis\ перед использованием утилиты HijackThis. В AVZ введена специальная микропрограмма "Очистка списка игнорирования утилиты HijackThis", удаляющая все элементы из списка игнорирования.
Последний раз редактировалось Зайцев Олег; 10.07.2006 в 11:40.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В HijackThis 2.0 не поправили?
-
-
Сообщение от
Falco
В HijackThis 2.0 не поправили?
Нет, не поправили - в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.
-
-
Сообщение от
Зайцев Олег
Нет, не поправили - в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.
-1 Trend Micro...
Спасибо, что проголосовали....
Последний раз редактировалось Shark; 16.09.2007 в 21:57.
Причина: Добавление Важной Информации
-
Junior Member
- Вес репутации
- 61
ппЦ!.. Ну держись народ ))
-
Сообщение от
MC'LyP
ппЦ!.. Ну держись народ ))
С 10.07.2006, 10:25 держимся. Много наших полегло, но ещё продержимся
Left home for a few days and look what happens...
-
-
Сообщение от
ALEX(XX)
Много наших полегло, но ещё продержимся
+1
Хорошо сказано
-
-
Junior Member
- Вес репутации
- 54
А если он вообще не запускается и никакие логи не делает, что нужно??
-
Нужно взять более толковую утилиту, тот же AVZ (ещё лучше его переименовать).
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
Зайцев Олег
Нет, не поправили - в версии 2.0 уязвимость сохраняется, только ключ реестра переименовали - теперь это HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\HijackThis. А внутри - тот-же список игнорирования открытым текстом.
а в 2.0.2?
-
Junior Member
- Вес репутации
- 48
в 2.0.0.4 уязвимость также сохраняется.