-
PM читаю.
Да, создать новый файл в system32 можно, это не является угрозой безопасности. DefenseWall просто пометит её как недоверенную и пойдёт дальше работать.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отправил матеrиальчик Зайцеву Олегу. "Там разберутся".
-
-
Сообщение от
antanta
SDA, PM читаете? Какие настройки проверить?
rav, Я хотел только сказать, что приложение, копирующее себя или другой файл в системную папку, было написано угрюмо, без всяких выкрутасов. И ему, не взирая на запуск через попап-меню "недоверенные" была позволена такая операция. Я и пытаюсь понять, не выдаю ли я где-то "желаемое" за действительное. Хотя, проверял неоднократно, работает кагбэ. Но, все мы люди, можем и ошибаться.
Я прочитал, имел ввиду эти настройки http://support.kaspersky.ru/faq/?qid=208637578
http://club-symantec.ru/forum.php
-
-
SDA, Чтобы "мир стал чуточку безопасней", нужно запретить копирование файлов в system32. Поковырял кис, поставил запрет на создание и запись для слабо-и силноограниченных, что-то не работает. VBS- скрипт упорно копирует туда файлы. Потом разберусь, но это мои проблемы. Наверное, торможу.
Будет запрет - не будет дырки. От Зайцева Олега пока ответа не получал. Вообще-то дыра закрывается проще, правкой пары ключей в реестре.
Добавлено через 5 часов 10 минут
rav, Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить. Дурка работает из-за странной работы парсера. При обработки путей вида %SystemRoot%\system32\svchost -k rpcss (заметьте, без расширения. Это в XP службы Browser и RpcSs), сперва ищется файл svchost без расширения, а потом уже *.exe.
Алгоритм атаки прост. Копируем файл, он исполняется с правами службы, исполняется его код, потом правит путь запуска на нормальный (или удаляет себя). Фсе.
Последний раз редактировалось antanta; 08.07.2010 в 17:05.
Причина: Добавлено
-
-
Сообщение от
antanta
rav, Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить.
... равно как например DLL системой ищется начиная с текущей папки программы (чем пользуются многие зловреды, положив скажем в папку браузера или иного ПО свою DLL с именем как у системной и т.п.
Но это уход от темы - никакой HIPS никого ни от чего не защитит, ибо:
1. HIPS должен ставиться на эталонно чистую систему.
2. пользователь должен иметь действующий сертификат сапера и электрика одновременно (так как он должен принимать решение, доверять программе X или не доверять, а ошибаться как в случае двух означенных профессий ему нельзя - первая же ошибка классификации - и кирдык).
Поэтому HIPS в составе антивируса (как в том-же KIS) - это дополнение к антивиурсному монитору, которое повышает надежность антивирусной защиты ПК на некоторое количество процентов.
В остальных случаях "пробить" его тривиально - достаточно замаскировать зверя под что угодно доверенное и подсунуть пользователю с указанием, что запускать как доверенное - 90% запустят, это же банальная социальная инженерия. Был например случай - заражение одной сетки трояном, ворующим пароли ... вроде HIPS был и не спасал. Обратились ко мне за помощью - поиски показали, что один нехороший человек взял драйвера NVidia свежайшие (было это давно, закачка файла размером в десятки мб считалась тогда огромной), приклеил к ним трояна и положил на местную файлопомойку, с инструкцией, что перед установкой выключить антивирь, иначе глючить будет и драйвера не установятся...
-
-
Как я понимаю, файл svchost создаётся в system32 без расширения?
-
-
Сообщение от
rav
Как я понимаю, файл svchost создаётся в system32 без расширения?
Именно так
-
-
Зайцев Олег, Да, хипс не для домохозяек. ИМХО, одного хипса явно недостаточно даже для так называемого "продвинутого пользователя". Тут у разговор не о том. Просто потестили один HIPS
-
-
-
-
Ух ты, тут даже спасибо за найденые дырки раздают, и без напоминаний. Респект
-