Pull to refresh

Comments 43

А откуда они знают? Они что, отсылают данные на сервер?! А как же приватность?!!!

(требую картинку «белки-истерички» в топик)
Возможно, используется галочка, поставленная в одном из приложений MS (например в Security Essentials) об участии в User Experience Improvement Programme (или как она там называется). В том плане, что например договор об анонимной отправке статистики использования покрывает действия Malicious Software Removal Tool.
www.microsoft.com/downloads/en/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en

Also, please be aware that this tool reports anonymous information back to Microsoft in the event that an infection is found or an error is encountered.

Другое дело, что я не могу припомнить, чтобы об этом сообщалось при установке из Windows Update. Возможно когда-то давно, при первой установке Malicious Software Removal Tool и выскакивало окошко с просьбой принять условия, но при повторных загруках новых версий никаких предупреждений нет.
>при первой установке Malicious Software Removal Tool и выскакивало окошко с просьбой принять условия
Да, а в WSUSe я обязательно с каждым обновлением с ЕУЛОй соглашаюсь

>но при повторных загруках новых версий никаких предупреждений нет.
Так вы же один раз согласились…

>281 491 копий трояна Zeus с 274 873

скопировали, а потом опять удалили
Лучше бы объяснили как попал или откуда взялся этот троян на этих машинах. Подобное масштабное заражение неспроста.
С момента появления первой версии ZeuS и по настоящее время зафиксировано более сорока тысяч разновидностей этой троянской программы. Отсюда

Удалили почти 300 тысяч. Несложными вычислениями легко подсчитать что удалено всего в среднем по 7-8(!) троянов каждой разновидности.
Подозреваю что они гораздо более распространены и данная достигнутая цифра должна не радовать, а удручать.
Билл Гейтс в детстве очень плохо учился в школе. Все дети как дети, сидят, программировать учатся, а Билл Гейтс весь урок в окно смотрит. Очень уж окна любил.


ну как-то так ZEUS начинался…
Это давным-давно успешный «коммерческий продукт», который покупается, обновляется, поддерживается, продается. — вот вам и откуда взялся.
Как попал? Это еще более простой вопрос. Достаточно посмотреть компьютер среднестатистической советской семьи: Windows XP, дай бог не ZverCD и что-то большее чем sp2, пачка вирусов разных мастей, необновлявшийся пол года NOD32 и его пользователи бездумно кликающие «Ок» в очередном диалоге браузера с примерным содержимым:«Для просмотра этого видеоролика необходимо установить Abobe Fllash Playa 10.2. Вы согласны?»
Более хитрый способ — вообще не вмешивать пользователя в этот процесс воспользовавшись мохнатой уязвимостью ОС, не обновлявшей дыры с самого момента установки.
Да обновления ОС не спасают, вчера лечили на Win2k3 Standard Server актуально обновленном по полной программе старый добрый HLLW.Shadow.based. Гаду уже 2 года почти, первые патчи для винды от него датируются ноябрем 2008 года и все равно как-то пролез ведь! Причем на сервере нету открытых шар (разве что системные админские) и кроме функции DC + DNS он не выполняет вообще никаких ролей, USB/CD так же не доступны, а Вы «обновления», «обновления»…
Достаточно логина с правами доменного администратора на заражённую машину. Дальше там офицальное долбообство майкрософта — \\dc.domain\c$ — и пиши что хочешь. С правами администратора домена (domain administrator, enterprise administrator и т.д.).
Кто говорил не работать из под админских прав?
В рамках идеологии MS некоторые операции нельзя сделать через runas (например, запустить эксплорер).

А вот то, что это приводит к бо-бо на соседних серверах для многих неожиданность. Ещё большая неожиданность в том, что бо-бо будет даже при runas (если библиотека с вирусом загрузится), и даже при логине с правами локального администратора, если пароли на машины совпадают.
>> через runas (например, запустить эксплорер).
Простите, какой эксплорер?
Просто отдельное окно проводника? Запросто.
Полностью как шелл? Неудобно, но можно, taskkill /im explorer.exe /f && runas…

>>А вот то, что это приводит к бо-бо на соседних серверах для многих неожиданность.
SSO, так что логично.
>>Ещё большая неожиданность в том, что бо-бо будет даже при runas (если библиотека с вирусом загрузится),
Ну лично для меня непонятно, откуда возьмется дллка со зловредом
>>и даже при логине с правами локального администратора, если пароли на машины совпадают.
Ну да, и один пароль на все форумы и прочее…

В общем, да, есть недостатки, которые логично вытекают из фич, а раздолбаи не лечатся.
Запросто? Вы пробовали? Я лично знаю, что нет. Раньше был баг с запуском IE, но его пофиксили. explorer/control не запускается через runas. Увы.

dll'ка с зловредом возьмётся через дырку.
>>Запросто?
Да
>>Вы пробовали?
Да
>>Я лично знаю, что нет
Плохо знаете
Taskkill /im explorer.exe /f (если терминал — то по PID или проще через taskmgr)
runas /user:v.pupkin explorer.exe
>>explorer/control не запускается через runas.
explorer — выше написал
большая часть апплетов пркрасно запускается напрямую, остальные через убийство эксплорера запускаются

И да, я проверил, работает.
И да, я согласен, это через жопу.
С другой стороны, в обычной жизни и не должно быть необходимости лазить в CP, за исключением форс-мажора, когда можно и потерпеть.

>>dll'ка с зловредом возьмётся через дырку.
В обычной, обWSUSенной жизни, дырки редко попадаются, а зловреды бегающие по административным шарам появляются только если кто-то сидит из под админа.
А как это групповой политикой выключить? Вроде ведь можно.
Групповой политикой? Никак. Чтобы скачать групповую политику нужно иметь включённой виндовую сетку (групповые политики домена скачиваются с DFC-шары домена). А как только виндовая сеть (SMB) включена, всё, c$ — ваш друг и помощник.
ОК, неправ. Интересно, там написано, что IPC$ не отключается — это означает, что можно по-прежнему добавлять задания в планировщик удалённо?
Учитывая, сколько уже существует версий этого Zeus — далеко не факт, что удалилось все, на тех же уже почищенных компьютерах вполне могли остаться более новые версии, которые просто существовали параллельно со старыми.

Вообще Zeus очень любопытная штуковина.
Zeus кстати уже прекратил свое существование как продукт… автор отказался от него и больше не будет выпускать обновлений.
Ну вот, расстроил линуксоидов… :)
Теперь линуксоиды будут требовать открыть исходники чтобы сделать форк %)
Как продукт он как раз не прекратил, просто теперь им будет заниматься другой программист(автор SpyEYE), наверно для автора запахло жареным и он решил сваливать пока не поздно ))
ну как сказать будет заниматься… исходники удалил… ничего автора спайя не передал ) Славику лень просто стало… или в глубокий приват ушел.
Мнда… Нашли чем хвастаться. Другое дело, если бы Microsoft предотвратили заражение 274 873 систем…
Я имел в виду, что лучше было бы предотвратить такую эпидемию, чем бороться с последствиями.
Сначала они сделали систему, дырявую чуть менее, чем полностью, и в которой могут невозбранно резвиться зеусы и прочие телепузики, а теперь героически с этим борятся.
281 491 — четыреста девяносто один троян.
Периодически замечаю, что вместе с обновлениями приходит этот MSRT. Интересно, где можно посмотреть его лог, вдруг он что-то находит, но удаляет это «по тихому»?
НЕ сказал бы что по тихому, система «призадумалась» минут на 15 при обновлении, я тогда и не понял что это было. Но теперь все ок.
Это был фееричный ппц. На ноуте он схавал все иопсы харда, очередь диска была в районе 20. Это безобразие продолжалось полчаса, за это время система вообще не отвечала.
www.microsoft.com/security/malwareremove/default.aspx
Note The version of the tool delivered by Microsoft Update and Windows Update runs in the background and then reports if an infection is found. To run this tool more than once a month, use the version on this Web page or install the version that is available in the Download Center.
Если отчеты не выскакивали, то, по идее, ничего она не находила и не удаляла.
Там же где остальные логи в системе — в Event Log.
UFO just landed and posted this here
так бы почаще, смотри и привели бы системы в нормальное состояние
Столько же сколько сидит с отключенными автообновлением
Sign up to leave a comment.

Articles