-
Похожий контент
-
Автор KL FC Bot
Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
View the full article
-
Автор Игорь11
Здравствуйте.
Внезапно появилась проблема с KIS. В первой половине этого (2023) года KIS стал блокировать любые сайти, открываемые с помощью браузеров Яндекс, Атом и Хромиум-ГОСТ.
В Яндекс-браузере открывается и работает только поиск яндекса. Переход на любой сайт:
Не удаётся установить соединение с сайтом.
Соединение сброшено.
В Атом и Хромиум-ГОСТ блокируется всё.
Попытка поставить в исключение не помогла.
Помогает только приостановка защиты KIS.
Другие браузеры (Edge, Хром, Firefox, Опера) работают без проблем.
Подскажите, если знаете, в чём тут дело?
ОС - Виндовс10проф
KIS 21.3.10.391
Всё официально и с последними обновлениями.
-
Автор Камиль Махмутянов
Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
CollectionLog-2024.11.13-14.42.zip
-
Автор LordKunsaid
При сканировании выскочило окно уведомления о найденной проблеме. Но я не хочу лечить этот файл. Я хочу добавить его в исключения. Но там нет такого пункта. Почему? Это первый вопрос.
Второй вопрос, как удалить это окно? Оно висит и висит на рабочем столе, мешает.
-
Автор Paulmann
Win10 64 + KIS 18.0.0.495 (g): каждый сайт открывается минут по 10, т.к. перед открытием висит попытка коннекта к gc.kis.v2.scr.kaspersky-labs.com и пока соединение не сбросится, сайты не открываются.
Выключение и выгрузка KIS не помогает.
проблема, именно, в запросах к домену gc.kis.v2.scr.kaspersky-labs.com
с любых провайдеров, с VPN, без VPN, данный домен не доступен.
[root@localhost ~]# ping gc.kis.v2.scr.kaspersky-labs.com PING gc.kis.v2.scr.kaspersky-labs.com (185.85.13.155) 56(84) bytes of data. ^C --- gc.kis.v2.scr.kaspersky-labs.com ping statistics --- 346 packets transmitted, 0 received, 100% packet loss, time 344999ms [root@localhost ~]# traceroute gc.kis.v2.scr.kaspersky-labs.com -m100 traceroute to gc.kis.v2.scr.kaspersky-labs.com (185.85.13.155), 100 hops max, 60 byte packets 1 * * * 2 * * * 3 188.42.148.10 (188.42.148.10) 10.468 ms 10.274 ms 10.647 ms 4 87.226.168.141 (87.226.168.141) 0.584 ms 0.644 ms 0.598 ms 5 * * * 6 * * * 7 * * * traceroute:
Как решить без сноса KIS?
-
Рекомендуемые сообщения