-
Пути заражения при веб-серфинге с отключеными сценариями, JAVA, плагинами и ActiveX
Для посещения большинства сайтов использую Avant Browser, в котором отключаю сценарии, апплеты Java, ActiveX... и даже картинки, когда жалко траффика
Однако, читал, что даже при таких мерах существуют сайты с "самоходными" вирусами, для которых принятые меры будут совершенно неэффективны. И для заражения не потребуется таких действий пользователя, как загрузка "кодека, без которого страница неправильно отображается".
Хотелось бы подробнее узнать об принципе такого заражения и о способах, которое его исключают.
Последний раз редактировалось Lemmit; 13.08.2008 в 13:03.
Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Lemmit
Для посещения большинства сайтов использую Avant Browser, в котором отключаю сценарии, апплеты Java, ActiveX... и даже картинки, когда жалко траффика
Однако, читал, что даже при таких мерах существуют сайты с "самоходными" вирусами, для которых принятые меры будут совершенно неэффективны. И для заражения не потребуется таких действий пользователя, как загрузка "кодека, без которого страница неправильно отображается".
Хотелось бы подробнее узнать об принципе такого заражения и о способах, которое его исключают.
100% защиты нет. В отписанной ситуации возможны следующие пути проникновения заразы:
1. Можно посетить сайт, содержащий зараженные картинки, музыку, PDF. Суть их "заражения" сводится к тому, что в них внедряется эксплоит, выполняющий загрузку и запуск вредоносного ПО. Можно конечно не загружать музыку, отключить показ картинок, не открывать PDF ... но это перебор
2. В Avant Browser может обнаружиться уязвимость ... он малораспространен и уязвимости в нем мало кто ищет (основной прицел ведется на IE, FF, Opera и т.п.), но тем не менее
А исключить заражение несложно - работать из под учетной записи юзера, сам браузер при помощи DropMyRights можно вообще запустить в совершенно бесправном режиме - это не защитить от возможного проникновения зловреда, но не позволит ему набезобразничать на ПК
-
-
Avant Browser насколько я знаю работает на таком же ядре что и Internet Explorer.
-
-
Сообщение от
Lemmit
Для посещения большинства сайтов использую Avant Browser, в котором отключаю сценарии, апплеты Java, ActiveX... и даже картинки, когда жалко траффика
Однако, читал, что даже при таких мерах существуют сайты с "самоходными" вирусами, для которых принятые меры будут совершенно неэффективны. И для заражения не потребуется таких действий пользователя, как загрузка "кодека, без которого страница неправильно отображается".
Хотелось бы подробнее узнать об принципе такого заражения и о способах, которое его исключают.
Давайте не путаем сами вирусы с механизмом их распространения.
Даже если вы отключаете скрипты и ActiveX (в Firefox'e по умолчанию, например, нет ActiveX):
* Есть угорзы от PDF (уязвимость в Acrobat Reader, который всё равно запускается, несмотря на то, что скрипты отключены). Хватает иметь plugin (dll) от этого Reader'a и дело с концом.
* Есть потокови видео - если установлены плееры (QuickTime, Real Player), то тогда тоже самое - вы щёлкаете на ссылку, и они запускаются.
* Есть HTML-иксплоиты (нацеленный на переполнение буфера парсера HTML, допустим). Они бывает резже, но бывают.
Конечно это почти без исключения делается через social engineering, то есть: заставляют верить, что то, что предлагается - полезно, интересно, нужно.
Далее вы должны знать, что даже если вы НЕ используете IE, он всё равно играет роль (часто грязную) когда вы нажимаете на ссылку в другом браузере. Это так заложено в реестре Windows. Думается, что если у вас браузер на движке IE (Avant), что эта связь, скорее всего, ещё сильнее, чем с другими браузерами.
Paul
-
Сообщение от
zerocorporated
Avant Browser насколько я знаю работает на таком же ядре что и Internet Explorer.
Да. Так и есть.
Сообщение от
Зайцев Олег
исключить заражение несложно - работать из под учетной записи юзера, сам браузер при помощи DropMyRights можно вообще запустить в совершенно бесправном режиме - это не защитить от возможного проникновения зловреда, но не позволит ему набезобразничать на ПК
Наверно, сломать стереотип работать под админом, по крайней мере, для меня, слишком сложно.
А вот мысль ограничить только браузер в правах мне очень понравилась.
Сообщение от
p2u
* Есть угорзы от PDF (уязвимость в Acrobat Reader, который всё равно запускается, несмотря на то, что скрипты отключены). Хватает иметь plugin (dll) от этого Reader'a и дело с концом.
* Есть потокови видео - если установлены плееры (QuickTime, Real Player), то тогда тоже самое - вы щёлкаете на ссылку, и они запускаются.
* Есть HTML-иксплоиты (нацеленный на переполнение буфера парсера HTML, допустим). Они бывает резже, но бывают.
Спасибо! Плагин Acrobat Reader отключен (Для отключения плагинов IE в Avant Browser имеется очень удобная опция, причем по умолчанию все плагины отключены).
Видео на сайтах не смотрю.
А вот про наиболее распространенные HTML-эксплоиты хотелось бы узнать подробнее. Можно где-то почитать о них подробнее? Желательно на русском. И в идеале - в формате для "продвинутого пользователя".
Последний раз редактировалось Lemmit; 12.08.2008 в 11:38.
Причина: Добавлено
Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/
-
Сообщение от
Lemmit
Видео на сайтах не смотрю.
А это не обязательно - достаточно нажать на ссылку, которая создана против плеера, и работать при этом в режиме админа (для лучшего эффекта), и всё.
Лучше всего также поставить так называемый kill bit для таких приложений (Это значит, что эксплойты через IE не будут работать):
Kill Adobe Reader:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CA8A9780-280D-11CF-A24D-444553540000}]
"Compatibility Flags"=dword:00000400
Kill Flash Player:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{D27CDB70-AE6D-11cf-96B8-444553540000}]
"Compatibility Flags"=dword:00000400
Kill Real Player:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5}]
"Compatibility Flags"=dword:00000400
Kill QuickTime Player:
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}]
"Compatibility Flags"=dword:00000400
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{4063BE15-3B08-470D-A0D5-B37161CFFD69}]
"Compatibility Flags"=dword:00000400
Kill WMP 6.4
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{22D6F312-B0F6-11D0-94AB-0080C74C7E95}]
"Compatibility Flags"=dword:00000400
Kill WMP 7.1, 9, 10
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
"Compatibility Flags"=dword:00000400
Сообщение от
Lemmit
А вот про HTML-эксплоиты хотелось бы узнать подробнее. Можно где-то почитать о них подробнее? Желательно на русском. И в идеале - в формате для "продвинутого пользователя".
Думаю, что другие участники могут указать вам путь...
Paul
Последний раз редактировалось XP user; 12.08.2008 в 12:02.
-
Сообщение от
p2u
Лучше всего также поставить так называемый kill bit для таких приложений
Спасибо, буду пробовать.
Сообщение от
p2u
Думаю, что другие участники могут указать вам путь...
Наверно, мне порекомендуют http://www.securitylab.ru/poc/ но там все эксплоиты "в куче".
Кроме того, уязвимости, которые могут при удачном расположении звезд вызвать отказ обслуживания браузера, для простого смертного неактуальны.
А вот те, что реально применяются, или применимы для внедрения вредоноса, выполнения произвольного кода, думаю, хорошо бы описать в одном месте со способами противодействия и разместить в FAQ (предложение к администрации).
Последний раз редактировалось Lemmit; 12.08.2008 в 11:45.
Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/
-
100 % безопасность дает, при использовании хождения по инету(особенно по сомнительным сайтам) зону безопасности (подушку безопасности) например в том же Акронисе, со сбросом в первоначальное состояние после перезагрузки, правда все новое ПО пропадет, и вирусы в том числе. Плюс бэкап. Пока, лучше ничего не придумано и можно не "заморачиваться" при работе из под админа и на IE или на любом другом браузере. Другой вопрос, что не всех это устраивает, по разным причинам.
-
-
Я хотел бы предлагать переименовать топик. 'Способов заражения без использования активного содержимого' на самом деле не бывает, конечно; если есть возможность заражения, значит ВСЕГДА есть активное содержимое...
Paul
Последний раз редактировалось XP user; 12.08.2008 в 13:49.
-
Так лучше?
(заголовок 1-го сообщения сменил, но саму тему изменить не могу. Модераторы помогут?)
Последний раз редактировалось Lemmit; 12.08.2008 в 16:29.
Подробные популярные описания распространенных вирусов: daxa.com.ua/vir/
-