-
Junior Member
- Вес репутации
- 53
eKAV, sdra64 - через какую дыру идет заражение?
Здравствуйте!
В последние недели много проблем с различными модификациями СМС-вымогателей. В нескольких последних случаях были найдены и убиты модификации sdra64.exe в windows\system32 или, если пользователь работал с ограниченными правами, в user\Application Data.
Сообщений "помогите" и советов по лечению компьютеров в интернет более чем достаточно. Мне очень хочется знать, как эта гадость попадает в систему, способ заражения. MSIE8, Opera10, Adobe PDF plugin, Java plugin, Flash plugin - кто виноват, какую дыру по возможности нужно закрыть?
Вчера специально начал щелкать порностраницы. Opera 10.10, Avast, Adobe Flash плейер обновлялся... ну за последние 30 дней точно, Adobe Reader - не уверен когда именно. Через какое-то время заметил странности в поведении системы, запустил autoruns - sdra64.exe в system32 и неконкретные предупреждения о скрытии процессов в avz.
Знакомые получили подобный вирус через MSIE8, какой-либо конкретики, как они его хапнули, выяснить не удалось.
Общее между мной и знакомыми - WinXP SP3 , Adobe Flash и Adobe PDF плагины. Но гадать можно долго, а на этом форуме собрались специалисты. Если можно, ответьте - буду признателен.
С уважением!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
westward
MSIE8, Opera10, Adobe PDF plugin, Java plugin, Flash plugin - кто виноват
Любое из необновленных (а бывает и полностью обновленных) приложений. Обычно для заражения используется связка сплоитов для распространенных "дыр"
The worst foe lies within the self...
-
-
Сталкивался с несколькими кейсами, где заражена была система со всеми обновлениями, кроме.... Adobe
-
-
Не могу утверждать, но похоже уязвимостями ОС он тоже не брезгует. Был случай когда компьютер без firewall постоянно заражался.
-
-
Banned
- Вес репутации
- 0
Элементарно преодолевается.
Ваша ошибка в том, что Вы тратите свое всемя, пытаясь докопаться где на этот раз накосячила фирма Микрософт. Да она в 10.000-ах мест может накосячить.
У них столько специалистов в фирме, и изучают свои косяки уже столько лет - и то не могут понять. А Вы хотите в одиночку с ними сравниться.
Спасение - ставить софт сторонних производителей. Скачайте SSM-2 (System Safety Monitor)
Он будет при заражении вирусом - подробно задавать Вам ряд вопросов. Типа:
Файл sdjfhjfh.tmp пытается завести новый сервис "aerr25-4r" в системном реестре.
Разрешить ?
... Сервис "aerr25-4r" пытается загрузить неопознанный новый драйвер "pmor.sys"
Разрешить ?
И так далее. Кто не поставил себе диспетчер задач, такой как System Safety Monitor или Ghost Security Suite - тот просто живет как слепой.
Выглядит у вас на экране это так: антивирус ваш пропускает, а далее за долю секунды вирус инсталлирует себя, при этом из за отсутствия SSM-2 у вас на экране не появляется ни единого вопроса !
Представьте себе человека, который с завязанными глазами собрался переходить оживленную трассу ! Вот это ровно то, чем Вы сейчас занимаетесь.
А в SSM-2 можно еще и поставить фичи "Блокировать запись в ветку реестра APPinit_Dlls" и в "userinit"
то есть в данном случае, заблокировать те места, куда прописывает себя eKAV
На экране, для тех у кого стоит SSM-2, это выглядит так: сначала 15 вопросов, что пошагово вы хотите запретить ?
А потом, даже если вирус прописывает себя в эти места (а это возможно только если Вы собственными руками 15 раз ответили "Разрешить продолжать инсталлировать вирус")
то есть Вы - то через секунду всплывает окно SSM-2 с красной строчкой:
"Эти места реестра заблокированы пользователем. Все возвращено взад "
И записи из защищенных Вами мест системного реестра убираются за секунду.
Проще один раз увидеть на экране эффективные технологии, чем всю жизнь читать про уязвимости микрософт
-
Сообщение от
uuu99950
Проще один раз увидеть на экране эффективные технологии, чем всю жизнь читать про уязвимости микрософт
Проще работать под юзером, чем ставить пицот "защищалок"
The worst foe lies within the self...
-
-
ограничения юзера обходятся более-менее грамотными вирусописателями, так же как и ограничения UAC.
-
Nerimash, да? Пример привести можете?
Так, чтобы под ограниченным юзером в системе с NTFS-ным системным диском что-то ставилось так, что потом и под админом система "заблокирована" и т.д.
The worst foe lies within the self...
-
-
вопрос был об установке и работе вируса на ограниченной учетке..
а борьба с вирусом и влияние на другие учетки - отдельный вопрос
или не?
смс-вирус download master, неплохо ставится и работает под юзером
под админом система хотя и не блокирована но запускаемые файлы частично "заблокированы" шифрованием
-
Сообщение от
Юльча
вопрос был об установке и работе вируса на ограниченной учетке..
Не-ет))
Сообщение от
Nerimash
ограничения юзера обходятся
Ограничения - это то, что операционная система не позволяет выполнить пользователю.
The worst foe lies within the self...
-
-
не, ну как бы раз зашел разговор..
sdra64.exe у меня ставилась под ограниченной учеткой.. правда удалить эту "сдру" не составило проблем..
Ограничения - это то, что операционная система не позволяет выполнить пользователю.
угу, и насколько админ урезал учетку юзера чтобы ос не позволяла юзеру "лишнего": можно было ограничить на запись юзеру ключи реестра run и иже с ними )
вобщем на каждого грамотного вирусописателя продумавшего обход ограничений учетки, найдутся более-менее эффективные способы защиты..
и наоборот ))
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Сообщение от
Юльча
можно было ограничить на запись юзеру ключи реестра run и иже с ними
Run-ов в системе не одно место:
есть общесистемный в HKML, запись в который разрешена только админу
есть пользовательский в HKCU. В него юзер может писать. Но и работает этот ключ только для юзера.
Сообщение от
Юльча
sdra64.exe у меня ставилась под ограниченной учеткой..
Куда? в %WINDIR%\system32 ?
А кто эт разрешил юзеру писать в системную папку?
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
Куда? в %WINDIR%\system32 ?
А кто эт разрешил юзеру писать в системную папку?
Скорее всего в "Application Data".
http://yandex.ru/yandsearch?text=app...20sdra64&lr=35
Добавлено через 4 минуты
Сообщение от
gjf
Сталкивался с несколькими кейсами, где заражена была система со всеми обновлениями, кроме.... Adobe
В Adobe Reader-е дыр много.
У меня долгое время была версия 6, но подхватив Winlock (файл из именем из случайных пяти букв в папке Application Data, прописан в HKCU\Run как "winsock") (это было уже давно), поставил 9 и регулярно обновляю.
И главная дыра - это IE! Сам своими глазами видел (и открывал на виртуальном компьютере) страницу, которая установила на Windows XP SP2 Trojan.Winlock (C:\WINDOWS\media\sound.exe). Конечно, возможно, установив бы я все обновления, такого не произошла, но куда проще обновлять альтернативный браузер и программы-плагины (типа Adobe Reader), чем всю ОС - многие не используют Windows Update.
Последний раз редактировалось bolshoy kot; 22.01.2010 в 22:39.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 53
Сообщение от
Nerimash
ограничения юзера обходятся более-менее грамотными вирусописателями, так же как и ограничения UAC.
Сообщение от
Nerimash
Nerimash, да? Пример привести можете?
а разве во время атаки эксплойтом уязвимой службы не перехватывается учетная запись SYSTEM, под которой собсно и прописывается руткит? если так, то уже становиться все равно админы вы или юзеры...
-
Сообщение от
bolshoy kot
Скорее всего в "Application Data".
Так это и не обход ограничения.
Установка в AppData на других юзеров не влияет
Сообщение от
timson
а разве во время атаки эксплойтом уязвимой службы
Эксплоит - это действительно обход ограничения, но если вовремя ставить патчи...
The worst foe lies within the self...
-
-
Сообщение от
bolshoy kot
Скорее всего в "Application Data".
вы правы
Сообщение от
bolshoy kot
В Adobe Reader-е дыр много.
У меня долгое время была версия 6, но подхватив Winlock (файл из именем из случайных пяти букв в папке Application Data, прописан в HKCU\Run как "winsock") (это было уже давно), поставил 9 и регулярно обновляю.
И главная дыра - это IE! Сам своими глазами видел (и открывал на виртуальном компьютере) страницу, которая установила на Windows XP SP2 Trojan.Winlock (C:\WINDOWS\media\sound.exe). Конечно, возможно, установив бы я все обновления, такого не произошла, но куда проще обновлять альтернативный браузер и программы-плагины (типа Adobe Reader), чем всю ОС - многие не используют Windows Update.
...не пойму, кого-то заставляют ставить этот монстроподобный adobe reader или есть какая-то особая необходимость?
по-моему выбор альтернативных pdf-просмотрщиков достаточно велик, можно что-то выбрать - foxit pdf reader, sumatra pdf (бесплатная, состоящая из одного exe-файла, русский в комплекте), PDFXViewer и др.
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Junior Member
- Вес репутации
- 56
Сообщение от
Юльча
...не пойму, кого-то заставляют ставить этот монстроподобный adobe reader или есть какая-то особая необходимость?
по-моему выбор альтернативных pdf-просмотрщиков достаточно велик, можно что-то выбрать - foxit pdf reader, sumatra pdf (бесплатная, состоящая из одного exe-файла, русский в комплекте), PDFXViewer и др.
Ни один альтернативный просмотрщик не поддреживает цветовые профайлы. Для людей с мониторами с широким цветовым охватом (а таких все больше и больше) это важно.
-
Сообщение от
Rucha
Ни один альтернативный просмотрщик не поддреживает цветовые профайлы. Для людей с мониторами с широким цветовым охватом (а таких все больше и больше) это важно.
вы уверены что в большинстве случаев причина именно в этом?
по теме sdr'ы. когда sdra64 ставится под ограниченной учеткой возникает ключик вида
[HKEY_USERS\S-хх\Software\Microsoft\Windows\CurrentVersion\Run]
"userinit"="C:\\Documents and Settings\\User\\Application Data\\sdra64.exe"
"
FileSystem"="C:\\WINDOWS\\system32\\f2e34b72.exe"
подскажите пожалуйста, что это за параметр такой FileSystem?
в гугл не отсылать, я только что оттуда)
Последний раз редактировалось Юльча; 09.03.2010 в 11:12.
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Сообщение от
Юльча
подскажите пожалуйста, что это за параметр такой FileSystem?
Это произвольное имя. Оно просто должно отличатся от уже имеющихся параметров в этом ключе.
-
-
-