Перейти к содержанию

Результаты теста антивирусов на лечение активного заражения (февраль 2010)


Рекомендуемые сообщения

Доверенность не подхватывается, подхватывается только недоверенность и ограничение. То есть вредонос, не важно откуда запущенный, просто не стартанет.

Это я прекрасно знаю потому и написал что будет использован эксплойт который исполнит код в процессе браузера и соответственно с его правами. Так что ответьте пожалуйста именно про эту возможность. Т.е. шелл код исполнился в браузере, ЧТО будет блокировать КИС? Я думаю - ничего, вывод - защита не 100%

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 93
  • Created
  • Последний ответ

Top Posters In This Topic

  • Umnik

    21

  • apq

    13

  • Lacoste

    10

  • rabbit

    9

Top Posters In This Topic

Popular Posts

Симантек когда-то был хорош, потом они забили на развитие лечение (типа не главное) и практически перестали развивать технологии. А Аваст купил Гмер и в итоге значительно подтянулся в лечении.

strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию. Теоретически, некоторое время после выключения компьютера пароли можно прочитать не откуда-нибудь, а из оперативной п

Posted Images

Не думаешь, а знаешь. Он ничего не сделает из-за того, что у него нет прав запуститься.

если он хорошо захочет, то ему по барабану твоя не доверенность, возьмёт да и запустится.

Ссылка на сообщение
Поделиться на другие сайты
Это я прекрасно знаю потому и написал что будет использован эксплойт который исполнит код в процессе браузера и соответственно с его правами. Так что ответьте пожалуйста именно про эту возможность. Т.е. шелл код исполнился в браузере, ЧТО будет блокировать КИС? Я думаю - ничего, вывод - защита не 100%

Песочница ;)

EzzO/M

Остроумно. Чтобы ему хоть что-то сделать, нужно стартануть. Прав на запуск нет.

Ссылка на сообщение
Поделиться на другие сайты
если он хорошо захочет, то ему по барабану твоя не доверенность, возьмёт да и запустится.

EzzO/M жжешь напалмом ;) (написано с соблюдением правил русского языка)

Чтобы выгрузить антивирус руткит должен сначала запуститься, а антивирус ему не дает запуститься, следовательно - руткит не может выгрузить антивирус чтобы запуститься...

 

EzzO/M

 

Такого бреда я еще не читал.... Лучше не пиши...

Точно. Позорище.

Изменено пользователем пользователь
Ссылка на сообщение
Поделиться на другие сайты
Песочница

Т.е. от этой напасти только песочница должна спасти. Ну тогда если уж развить тему дальше.

1) Уже давно известны способы обхода виртуальных машин vmware, отсюда следует что песочница тоже имеет свои дыры но пока необнаруженные. Значит теоретически, мега шеллкод сначала пробивает браузер запущенный в песочнице а потом вылезает из песочницы, прибивает защиту кис.

2) Шелл код пробил браузер в песочнице и прочитал файлы с паролями на ftp, прочел пароли аськи и т.д и т.п. и сразу отправил их на сервер злоумышленника.

 

Я думаю что подобные методы атаки реальны, но вряд ли это кто станет реализовывать но ведь и спорим мы о 100% защиты а здесь любой шанс для виря = уже не100%

 

Ого, как по заказу, МС опубликовала сегодня новый бюллетень об именно такой угрозе о которой говорилось

 

http://www.securitylab.ru/vulnerability/390587.php

 

10 february, 2010

Microsoft Security Bulletin MS10-007 - Critical

Vulnerability in Windows Shell Handler Could Allow Remote Code Execution (975713)

Published: February 09, 2010

 

Version: 1.0

 

General Information

Executive Summary

This security update resolves a privately reported vulnerability in Microsoft Windows 2000, Windows XP, and Windows Server 2003. Other versions of Windows are not impacted by this security update. The vulnerability could allow remote code execution if an application, such as a Web browser, passes specially crafted data to the ShellExecute API function through the Windows Shell Handler.

Изменено пользователем strat
Ссылка на сообщение
Поделиться на другие сайты
вы все сами прекрасно знаете, я все сказал, спасибо ;)

Я вас не понимаю. Уважаемый, вы говорите загадками.

Ссылка на сообщение
Поделиться на другие сайты

strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию. ;) Теоретически, некоторое время после выключения компьютера пароли можно прочитать не откуда-нибудь, а из оперативной памяти (особенность архитектурная планок ОЗУ), и это даже демонстрировали на практике. Но перенесем это в реальность. :lool:

Ссылка на сообщение
Поделиться на другие сайты
понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию.

Ну собственно я и хотел резюмировать, кис обеспечит 100% защиты в совершенно определенных условиях, в текущей ситуации, на текущий момент. Сейчас нет зловредов которые пробьют песочницу и т.д.

Ссылка на сообщение
Поделиться на другие сайты
strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию.

Жуть! Как далека команда ЛК от реальности. Предлагается внести ВСЕ приложения в недоверенные. Т.е. пользователь скачивает некую фриварную программку. Она не работает, т.к. антивирус будет блокировать её активность. Получается её нужно либо внести в доверенные, либо не использовать (выполняем негласный лозунг Касперского "Компьютер - для антивируса"). Если внесли в доверенные, то вся ваша защита идет лесом.

Ссылка на сообщение
Поделиться на другие сайты

EAlekseev, спасибо, ты меня улыбнул. ;) Не мысли категориями Доктора, ЛК значительно ушла вперед. И та настройка, которую я показал второй, прекрасно добавляет программы в Доверенные по ЭЦП и по KSN. У меня на рабочей машине 180 доверенных программ, из них в Недоверенные по этой настройке улетело бы 8. Из этих 8-ми штук 6 - внутреннее специализированное ПО, а две - бета-версии программ, релизы которых в Доверенных (Миранда и Анриал Коммандер).

 

act_inf_1_1.gif

Собственно, динамика.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...