Результаты теста антивирусов на лечение активного заражения (февраль 2010)

[strat]

Доверенность не подхватывается, подхватывается только недоверенность и ограничение. То есть вредонос, не важно откуда запущенный, просто не стартанет.

Это я прекрасно знаю потому и написал что будет использован эксплойт который исполнит код в процессе браузера и соответственно с его правами. Так что ответьте пожалуйста именно про эту возможность. Т.е. шелл код исполнился в браузере, ЧТО будет блокировать КИС? Я думаю - ничего, вывод - защита не 100%

[rabbit]

Не думаешь, а знаешь. Он ничего не сделает из-за того, что у него нет прав запуститься.

если он хорошо захочет, то ему по барабану твоя не доверенность, возьмёт да и запустится.

[Umnik]

Это я прекрасно знаю потому и написал что будет использован эксплойт который исполнит код в процессе браузера и соответственно с его правами. Так что ответьте пожалуйста именно про эту возможность. Т.е. шелл код исполнился в браузере, ЧТО будет блокировать КИС? Я думаю - ничего, вывод - защита не 100%

Песочница

EzzO/M

Остроумно. Чтобы ему хоть что-то сделать, нужно стартануть. Прав на запуск нет.

[Lacoste]

EzzO/M

 

Такого бреда я еще не читал.... Лучше не пиши...

Изменено 10 февраля, 2010 пользователем Danilka

[пользователь]

если он хорошо захочет, то ему по барабану твоя не доверенность, возьмёт да и запустится.

EzzO/M жжешь напалмом (написано с соблюдением правил русского языка)

Чтобы выгрузить антивирус руткит должен сначала запуститься, а антивирус ему не дает запуститься, следовательно - руткит не может выгрузить антивирус чтобы запуститься...

 

EzzO/M

 

Такого бреда я еще не читал.... Лучше не пиши...

Точно. Позорище.

Изменено 10 февраля, 2010 пользователем пользователь

[strat]

Песочница

Т.е. от этой напасти только песочница должна спасти. Ну тогда если уж развить тему дальше.

1) Уже давно известны способы обхода виртуальных машин vmware, отсюда следует что песочница тоже имеет свои дыры но пока необнаруженные. Значит теоретически, мега шеллкод сначала пробивает браузер запущенный в песочнице а потом вылезает из песочницы, прибивает защиту кис.

2) Шелл код пробил браузер в песочнице и прочитал файлы с паролями на ftp, прочел пароли аськи и т.д и т.п. и сразу отправил их на сервер злоумышленника.

 

Я думаю что подобные методы атаки реальны, но вряд ли это кто станет реализовывать но ведь и спорим мы о 100% защиты а здесь любой шанс для виря = уже не100%

 

Ого, как по заказу, МС опубликовала сегодня новый бюллетень об именно такой угрозе о которой говорилось

 

http://www.securitylab.ru/vulnerability/390587.php

 

10 february, 2010

Microsoft Security Bulletin MS10-007 - Critical

Vulnerability in Windows Shell Handler Could Allow Remote Code Execution (975713)

Published: February 09, 2010

 

Version: 1.0

 

General Information

Executive Summary

This security update resolves a privately reported vulnerability in Microsoft Windows 2000, Windows XP, and Windows Server 2003. Other versions of Windows are not impacted by this security update. The vulnerability could allow remote code execution if an application, such as a Web browser, passes specially crafted data to the ShellExecute API function through the Windows Shell Handler.

Изменено 10 февраля, 2010 пользователем strat

[rabbit]

это ваш антивирь позорище!

 

не забывайте про explorer.exe

[пользователь]

не забывайте про explorer.exe

А что explorer.exe?

[rabbit]

А что explorer.exe?

вы все сами прекрасно знаете, я все сказал, спасибо

[пользователь]

вы все сами прекрасно знаете, я все сказал, спасибо

Я вас не понимаю. Уважаемый, вы говорите загадками.

[Lacoste]

пользователь

 

Забей...

[Umnik]

strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию. Теоретически, некоторое время после выключения компьютера пароли можно прочитать не откуда-нибудь, а из оперативной памяти (особенность архитектурная планок ОЗУ), и это даже демонстрировали на практике. Но перенесем это в реальность.

[strat]

понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию.

Ну собственно я и хотел резюмировать, кис обеспечит 100% защиты в совершенно определенных условиях, в текущей ситуации, на текущий момент. Сейчас нет зловредов которые пробьют песочницу и т.д.

[EAlekseev]

strat, понимаешь какая штука, мы обсуждаем реальность, а не вымышленную ситуацию.

Жуть! Как далека команда ЛК от реальности. Предлагается внести ВСЕ приложения в недоверенные. Т.е. пользователь скачивает некую фриварную программку. Она не работает, т.к. антивирус будет блокировать её активность. Получается её нужно либо внести в доверенные, либо не использовать (выполняем негласный лозунг Касперского "Компьютер - для антивируса"). Если внесли в доверенные, то вся ваша защита идет лесом.

[Umnik]

EAlekseev, спасибо, ты меня улыбнул. Не мысли категориями Доктора, ЛК значительно ушла вперед. И та настройка, которую я показал второй, прекрасно добавляет программы в Доверенные по ЭЦП и по KSN. У меня на рабочей машине 180 доверенных программ, из них в Недоверенные по этой настройке улетело бы 8. Из этих 8-ми штук 6 - внутреннее специализированное ПО, а две - бета-версии программ, релизы которых в Доверенных (Миранда и Анриал Коммандер).

 

Собственно, динамика.