-
Скрипт AVZ для обнаружения опасных уязвимостей
Многие из обращающихся в раздел "Помогите!" имеют те или иные опасные уязвимости в ПО, установленном на их компьютерах. Вылечить такой компьютер сложно из-за того, что после удаления вредоносной программы он снова заражается через несколько минут или, если повезет, дней.
Некоторые уязвимости видны в логах, но не все. Поэтому я написал скрипт, обнаруживающий уязвимости, часто используемые для заражения компьютера, и предлал выполнить его тем посетителям раздела "Помогите!", на компьютерах которых имеются соответствующие симптомы:
файлы в папке system32 с названиями от 00 до 99
постоянные обрывы интернета
Пропадает звук
И теперь, когда скрипт отлажен и показал свою эффективность, я предлагаю всем желающим проверить свой компьютер для профилактики от заражения.
Детектируются часто используемые уязвимости в:
- Microsoft Windows.
- Microsoft Office XP-2003.
- Internet Explorer.
- Устаревшие версии Mozilla Firefox.
- Adobe Flash Player для Internet Explorer и альтернативных браузеров.
- Adobe Acrobat Reader и Adobe Acrobat.
- Sun Java JDK и JRE.
Примечания:
1. Для работы скрипта требуется антивирусная утилита AVZ версии не ниже 4.32.
2. Скрипт сохраняет результат проверки в файле avz_log.txt в подпапке AVZ: log. Если это сделать не удалось, то в корень диска C:.
3. Для устранения уязвимостей пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
4. Перезагрузите компьютер и повторно выполните скрипт для проверки.
Текст скрипта тут: http://df.ru/~kad/ScanVuln.txt
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
эммм.. а как понять результат выполнения скрипта?
в окне AVZ
Код:
Поиск критических уязвимостей
Протокол сохранён в под-папке log
Код:
C:\Program Files\avz4\LOG>type avz_log.txt
Поиск критических уязвимостей
и как бы всё
маловато как-то информации в логе.. если ничего не найдено, то хоть бы намекнул
а так, нипанятна
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Хорошо, добавлю счётчик найденных уязвимостей в следущей версии скрипта.
-
-
а нельзя ли этот полезняшный скриптик вложить в стандартную поставку AVZ и может как-то сделать чтобы он и обновлялся стандартной обновлялкой AVZ?
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
Не думаю, что это осуществимо. Продукты ЛК, кажется, используют базу уязвимостей, предоставляемую Secunia. Но если каким-то образом запихнуть ее в базы AVZ, то объем этих баз получится очень большим. Надо учесть, что база уязвимостей Secunia обновляется очень часто. Хотя этот вопрос лучше задать в теме про AVZ.
Последний раз редактировалось Matias; 14.03.2010 в 23:49.
Просьба обращаться на "вы".
-
-
Сделал новую версию. Изменения:
1. Добавлен счётчик найденных уязвимостей.
2. Добавлено детектирование уязвимости элемента ActiveX средства просмотра снимков Microsoft Access. Она довольно старая, но всё еще используется.
3. Замена ссылок на более близкие к нужным файлам. Если исправление мультиязычное, то выводится прямая ссыка на файл, иначе на страницу с русской версией. Для Windows, русифицированного через MUI, должны скачиваться английские версии обновлений.
Текст скрипта тут: http://df.ru/~kad/ScanVuln.txt
-
-
Версия 1.11
Замена бюллетеня Накопительное обновление безопасности для браузера Internet Explorer MS10-002 на MS10-018.
-
-
Версия 1.12
Минимально допустимые версии Java увеличены до 1.6.0_15, 1.5.0_20 и 1.4.2_22.
-
-
Junior Member
- Вес репутации
- 53
-
На заражённых сайтах начали размещаться эксплойты Exploit.Java.CVE-2009-3867, использующие уязвимость Java.
Поэтому, требования скрипта к минимальным версиям Java увеличены до: 6 Update 17, 5.0 Update 22 и 1.4.2_24.
Скрипт: ScanVuln.txt
-
-
Спасибо. Хороший скриптик - нашёл у себя 3 уязвимости.
-
а что вот это за уязвимость и как работает?
отчет скрипта
[микропрограмма лечения]> изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E543-0000-0000-C000-000000000046}
и т.п.
Дуракам закон не писан, если писан, то не читан, если читан, то не понят, если понят, то не так...
-
- разрешён запуск элементов управления ActiveX в Internet Explorer, что уже само по себе чревато... в данном случае речь об уязвимости связанной с запуском библиотек веб-компонентов Microsoft Office в IE, дробности смотреть на http://support.microsoft.com/kb/240797/ru и на http://www.microsoft.com/rus/technet.../ms09-043.mspx
ЗЫ очевидно, микропрограмма лечения отключает запуск библиотеки веб-компонентов Office в IE, согласно предложенного Microsoft временного решения по закрытию уязвимости, связанной с выделением памяти веб-компонентами Office...
Последний раз редактировалось Alex Plutoff; 22.04.2010 в 11:53.
Причина: Добавлено
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Пять штук уязвимостей. Спасибо.
Однако... У меня СП2 с единственным обновлением, который был необходим для установки ИЭ8 (установлен месяц назад). Если б учитывалось наличие обновлений, я сидел бы (сижу) в уязвимостях по горло.
"Уязвимость службы сервера делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0D5F9B6E-9265-44B9-A376-2067B73D6A03". Но у меня служба вовсе отключена...
Последний раз редактировалось Erekle; 23.04.2010 в 06:11.
RTD AntiVir10 Comodo2 и я
-
Версия 1.14
Добавлено детектирование устаревшей версии Opera.
Минимальная версия Adobe Reader и Acrobat увеличена до 8.2.1/9.3.1.
-
-
Junior Member
- Вес репутации
- 53
хорошо бы в текст скрипта добавить ссылку на последнюю версию скрипта, или автоматом проверить в инете при выполнении
-
Версия 1.15
Изменения:- Замена бюллетеня "Накопительное обновление для системы безопасности, устанавливающее флаг блокировки для элемента ActiveX" MS10-008 на MS10-034.
- Замена бюллетеня "Накопительное обновление безопасности для браузера Internet Explorer" MS10-018 на MS10-035.
- Минимальная под-версия Java 6 увеличена с Update 17 до Update 20. Причина: на заражённых сайтах распространяются эксплойты, использующие уязвимость Java.
- Согласно рекомендации http://www.adobe.com/support/securit...apsa10-01.html 0-day уязвимость в Adobe Reader 9 и Acrobat 9 нейтрализуется переименованием файла authplay.dll
- В текст скрипта добавлен адрес, по которому можно скачать актуальную версию: http://dataforce.ru/~kad/ScanVuln.txt
-
-
Версия 1.16
Изменения:- Минимальная версия Adobe Reader и Acrobat увеличенна до 8.2.3/9.3.3.
- Уязвимость в Центре справки и поддержки Windows (CVE-2010-1885) нейтрализуется по рекомендации Microsoft.
-
-
А почему при выполнении скрипта 1.16 не создаётся Backup HKEY_CLASSES_ROOT\HCP ?
-
Потому что, он у всех один и тот же.
Если хотите восстановить как было, выполните скрипт:
Код:
begin
if not RegKeyExists('HKCR','HCP\shell') then RegKeyParamWrite('HKCR','HCP\shell\open\command','','REG_EXPAND_SZ','%SystemRoot%\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe -FromHCP -url "%1"');
end.
Или используйте утилиту Microsoft для отмены этого исправления: http://go.microsoft.com/?linkid=9735565
-