PM читаю.
Да, создать новый файл в system32 можно, это не является угрозой безопасности. DefenseWall просто пометит её как недоверенную и пойдёт дальше работать.
PM читаю.
Да, создать новый файл в system32 можно, это не является угрозой безопасности. DefenseWall просто пометит её как недоверенную и пойдёт дальше работать.
http://www.softsphere.com - DefenseWall, DefencePlus
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отправил матеrиальчик Зайцеву Олегу. "Там разберутся".
Я прочитал, имел ввиду эти настройки http://support.kaspersky.ru/faq/?qid=208637578Сообщение от antanta
http://club-symantec.ru/forum.php
SDA, Чтобы "мир стал чуточку безопасней", нужно запретить копирование файлов в system32. Поковырял кис, поставил запрет на создание и запись для слабо-и силноограниченных, что-то не работает. VBS- скрипт упорно копирует туда файлы. Потом разберусь, но это мои проблемы. Наверное, торможу.
Будет запрет - не будет дырки. От Зайцева Олега пока ответа не получал. Вообще-то дыра закрывается проще, правкой пары ключей в реестре.
Добавлено через 5 часов 10 минут
rav, Зайцев Олег сказал, что это "известная дурка" , поэтому с чистой совестью могу и Вам сообщить. Дурка работает из-за странной работы парсера. При обработки путей вида %SystemRoot%\system32\svchost -k rpcss (заметьте, без расширения. Это в XP службы Browser и RpcSs), сперва ищется файл svchost без расширения, а потом уже *.exe.
Алгоритм атаки прост. Копируем файл, он исполняется с правами службы, исполняется его код, потом правит путь запуска на нормальный (или удаляет себя). Фсе.
Последний раз редактировалось antanta; 08.07.2010 в 17:05. Причина: Добавлено
... равно как например DLL системой ищется начиная с текущей папки программы (чем пользуются многие зловреды, положив скажем в папку браузера или иного ПО свою DLL с именем как у системной и т.п.
Но это уход от темы - никакой HIPS никого ни от чего не защитит, ибо:
1. HIPS должен ставиться на эталонно чистую систему.
2. пользователь должен иметь действующий сертификат сапера и электрика одновременно (так как он должен принимать решение, доверять программе X или не доверять, а ошибаться как в случае двух означенных профессий ему нельзя - первая же ошибка классификации - и кирдык).
Поэтому HIPS в составе антивируса (как в том-же KIS) - это дополнение к антивиурсному монитору, которое повышает надежность антивирусной защиты ПК на некоторое количество процентов.
В остальных случаях "пробить" его тривиально - достаточно замаскировать зверя под что угодно доверенное и подсунуть пользователю с указанием, что запускать как доверенное - 90% запустят, это же банальная социальная инженерия. Был например случай - заражение одной сетки трояном, ворующим пароли ... вроде HIPS был и не спасал. Обратились ко мне за помощью - поиски показали, что один нехороший человек взял драйвера NVidia свежайшие (было это давно, закачка файла размером в десятки мб считалась тогда огромной), приклеил к ним трояна и положил на местную файлопомойку, с инструкцией, что перед установкой выключить антивирь, иначе глючить будет и драйвера не установятся...
Как я понимаю, файл svchost создаётся в system32 без расширения?
http://www.softsphere.com - DefenseWall, DefencePlus
Именно так
Зайцев Олег, Да, хипс не для домохозяек. ИМХО, одного хипса явно недостаточно даже для так называемого "продвинутого пользователя". Тут у разговор не о том. Просто потестили один HIPS
Спасибо, дырка закрыта.
http://www.softsphere.com - DefenseWall, DefencePlus
Ух ты, тут даже спасибо за найденые дырки раздают, и без напоминаний. Респект
Ваши права в разделе
Ответить с цитированием
