Перейти к содержимому


Фотография

Результаты теста антивирусов на лечение активного заражения (февраль 2010)

Внимание!

Счетчик сообщений и начисление баллов в разделе отключены.


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 93

#61 OFF   strat

strat

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 192

Отправлено 10 Февраль 2010 - 11:56

Доверенность не подхватывается, подхватывается только недоверенность и ограничение. То есть вредонос, не важно откуда запущенный, просто не стартанет.

Это я прекрасно знаю потому и написал что будет использован эксплойт который исполнит код в процессе браузера и соответственно с его правами. Так что ответьте пожалуйста именно про эту возможность. Т.е. шелл код исполнился в браузере, ЧТО будет блокировать КИС? Я думаю - ничего, вывод - защита не 100%
  • 0
Эксперт - это человек, который совершил все возможные ошибки в очень узкой специальности.
Нильс Бор

#62 OFF   rabbit

rabbit

    neptun team

  • Участники
  • PipPipPipPipPip
  • Cообщений: 532

Отправлено 10 Февраль 2010 - 12:00

Не думаешь, а знаешь. Он ничего не сделает из-за того, что у него нет прав запуститься.

если он хорошо захочет, то ему по барабану твоя не доверенность, возьмёт да и запустится.
  • 0
- Sincerely yours, rabbit.

#63 OFF   Umnik

Umnik

    Корифей

  • Совет фан-клуба
  • Команда ЛК
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 000

Отправлено 10 Февраль 2010 - 12:08

Это я прекрасно знаю потому и написал что будет использован эксплойт который исполнит код в процессе браузера и соответственно с его правами. Так что ответьте пожалуйста именно про эту возможность. Т.е. шелл код исполнился в браузере, ЧТО будет блокировать КИС? Я думаю - ничего, вывод - защита не 100%

Песочница ;)
EzzO/M
Остроумно. Чтобы ему хоть что-то сделать, нужно стартануть. Прав на запуск нет.
  • 0

#64 OFF   Lacoste

Lacoste

    ...

  • Команда ЛК
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 948

Отправлено 10 Февраль 2010 - 12:08

EzzO/M

Такого бреда я еще не читал.... Лучше не пиши...

Сообщение отредактировал Danilka: 10 Февраль 2010 - 12:09

  • 0

#65 OFF   пользователь

пользователь

    Постоялец

  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 764

Отправлено 10 Февраль 2010 - 12:13

если он хорошо захочет, то ему по барабану твоя не доверенность, возьмёт да и запустится.

EzzO/M жжешь напалмом ;) (написано с соблюдением правил русского языка)
Чтобы выгрузить антивирус руткит должен сначала запуститься, а антивирус ему не дает запуститься, следовательно - руткит не может выгрузить антивирус чтобы запуститься...

EzzO/M

Такого бреда я еще не читал.... Лучше не пиши...

Точно. Позорище.

Сообщение отредактировал пользователь: 10 Февраль 2010 - 12:32

  • 0

#66 OFF   strat

strat

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 192

Отправлено 10 Февраль 2010 - 12:29

Песочница

Т.е. от этой напасти только песочница должна спасти. Ну тогда если уж развить тему дальше.
1) Уже давно известны способы обхода виртуальных машин vmware, отсюда следует что песочница тоже имеет свои дыры но пока необнаруженные. Значит теоретически, мега шеллкод сначала пробивает браузер запущенный в песочнице а потом вылезает из песочницы, прибивает защиту кис.
2) Шелл код пробил браузер в песочнице и прочитал файлы с паролями на ftp, прочел пароли аськи и т.д и т.п. и сразу отправил их на сервер злоумышленника.

Я думаю что подобные методы атаки реальны, но вряд ли это кто станет реализовывать но ведь и спорим мы о 100% защиты а здесь любой шанс для виря = уже не100%

Ого, как по заказу, МС опубликовала сегодня новый бюллетень об именно такой угрозе о которой говорилось

http://www.securityl...lity/390587.php

10 february, 2010
Microsoft Security Bulletin MS10-007 - Critical
Vulnerability in Windows Shell Handler Could Allow Remote Code Execution (975713)
Published: February 09, 2010

Version: 1.0

General Information
Executive Summary
This security update resolves a privately reported vulnerability in Microsoft Windows 2000, Windows XP, and Windows Server 2003. Other versions of Windows are not impacted by this security update. The vulnerability could allow remote code execution if an application, such as a Web browser, passes specially crafted data to the ShellExecute API function through the Windows Shell Handler.


Сообщение отредактировал strat: 10 Февраль 2010 - 12:41

  • 0
Эксперт - это человек, который совершил все возможные ошибки в очень узкой специальности.
Нильс Бор

#67 OFF   rabbit

rabbit

    neptun team

  • Участники
  • PipPipPipPipPip
  • Cообщений: 532

Отправлено 10 Февраль 2010 - 12:35

это ваш антивирь позорище!

не забывайте про explorer.exe
  • 0
- Sincerely yours, rabbit.

#68 OFF   пользователь

пользователь

    Постоялец

  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 764

Отправлено 10 Февраль 2010 - 12:53

не забывайте про explorer.exe

А что explorer.exe?
  • 0

#69 OFF   rabbit

rabbit

    neptun team

  • Участники
  • PipPipPipPipPip
  • Cообщений: 532

Отправлено 10 Февраль 2010 - 12:56

А что explorer.exe?

вы все сами прекрасно знаете, я все сказал, спасибо ;)
  • 0
- Sincerely yours, rabbit.

#70 OFF   пользователь

пользователь

    Постоялец

  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 764

Отправлено 10 Февраль 2010 - 13:04

вы все сами прекрасно знаете, я все сказал, спасибо ;)

Я вас не понимаю. Уважаемый, вы говорите загадками.
  • 0

#71 OFF   Lacoste

Lacoste

    ...

  • Команда ЛК
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 2 948

Отправлено 10 Февраль 2010 - 13:15

пользователь

Забей...
  • 0

#72 OFF   Umnik

Umnik

    Корифей

  • Совет фан-клуба
  • Команда ЛК
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 000

Отправлено 10 Февраль 2010 - 13:19

strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию. ;) Теоретически, некоторое время после выключения компьютера пароли можно прочитать не откуда-нибудь, а из оперативной памяти (особенность архитектурная планок ОЗУ), и это даже демонстрировали на практике. Но перенесем это в реальность. :lool:
  • 1

#73 OFF   strat

strat

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 192

Отправлено 10 Февраль 2010 - 13:42

понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию.

Ну собственно я и хотел резюмировать, кис обеспечит 100% защиты в совершенно определенных условиях, в текущей ситуации, на текущий момент. Сейчас нет зловредов которые пробьют песочницу и т.д.
  • 0
Эксперт - это человек, который совершил все возможные ошибки в очень узкой специальности.
Нильс Бор

#74 OFF   EAlekseev

EAlekseev

    Ветеран

  • Участники
  • PipPipPipPipPipPipPip
  • Cообщений: 1 069

Отправлено 10 Февраль 2010 - 13:59

strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию.

Жуть! Как далека команда ЛК от реальности. Предлагается внести ВСЕ приложения в недоверенные. Т.е. пользователь скачивает некую фриварную программку. Она не работает, т.к. антивирус будет блокировать её активность. Получается её нужно либо внести в доверенные, либо не использовать (выполняем негласный лозунг Касперского "Компьютер - для антивируса"). Если внесли в доверенные, то вся ваша защита идет лесом.
  • 0

#75 OFF   Umnik

Umnik

    Корифей

  • Совет фан-клуба
  • Команда ЛК
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 000

Отправлено 10 Февраль 2010 - 14:06

EAlekseev, спасибо, ты меня улыбнул. ;) Не мысли категориями Доктора, ЛК значительно ушла вперед. И та настройка, которую я показал второй, прекрасно добавляет программы в Доверенные по ЭЦП и по KSN. У меня на рабочей машине 180 доверенных программ, из них в Недоверенные по этой настройке улетело бы 8. Из этих 8-ми штук 6 - внутреннее специализированное ПО, а две - бета-версии программ, релизы которых в Доверенных (Миранда и Анриал Коммандер).

Изображение
Собственно, динамика.
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных