Comments 143
Ну и ужасы вы тут рассказываете) Нельзя же такое на ночь!
+28
ну конечно, на флешке в режиме Ready Boost ведь зранится кеш последних запущеных exe'шников…
+3
А вот нефиг работать под админом ещё и с отключенным UAC.
+34
Ну вы поняли.
Каждый месяц появляются статьи «что и ка делать», вы же в разрез с ними пускаете первый же файлик с пиратбея ;-) «Респект», что сказать, смелый человек :) Или вам думалось, что пиратбей это очаг честности? Дык явно же сказано же, бухта, да еще и пиратов.
Каждый месяц появляются статьи «что и ка делать», вы же в разрез с ними пускаете первый же файлик с пиратбея ;-) «Респект», что сказать, смелый человек :) Или вам думалось, что пиратбей это очаг честности? Дык явно же сказано же, бухта, да еще и пиратов.
+2
Вообще-то, автор заразился всего лишь открыв каталог с файлом. Здравомыслящему человеку и в голову бы не пришло, что это опасно.
0
Здравомыслящий человек открывал бы «такие» архивы только в виртуалке, если уж на то пошло.
-2
UFO just landed and posted this here
Не, это уже паранойя. Достаточно чрута или джейла.
Во всех книжках по освоению работы с ПК написано: чтобы активировать вирус (при условии отсутствия уязвимостей), нужно запустить программу, его содержащую. Автор программу не запускал, значит, система содержала критические уязвимости, а при таком раскладе виртуалка не спасёт.
Во всех книжках по освоению работы с ПК написано: чтобы активировать вирус (при условии отсутствия уязвимостей), нужно запустить программу, его содержащую. Автор программу не запускал, значит, система содержала критические уязвимости, а при таком раскладе виртуалка не спасёт.
-2
А вы верите автору? Я например не верю, пусть кинет мне этот файл, я посмотрю на него в проводнике, и более чем полностью уверен, что ничего не произойдет.
+2
более того, здравомыслящему и в голову не пришло бы пользоваться системой, способной заразиться от простого просмотра содержимого каталога :)
+12
Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
это слегка смущает… такое правда существует?..
+2
В виндовс и не такое бывает, хех. Что-то много в последнее время критических уязвимостей в семёрке и висте обнаружилось. Одна дырявая самба чего стоит.
0
«дырявая самба» это не в Windows ;)
+6
Ну перепутал человек термины «samba» и «SMB», суть то от этого не меняется.
g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html
g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html
+1
Как видите :)
0
Что то я ничего не вижу в гугле по этому поводу.
А есть ссылки о подтверждении этой уязвимости для Windows 7? Эта уязвимость (если она существует) уже должна была всплыть и получить статус критической.
Мне, честно говоря, с трудом верится что заражение машины произошло именно так.
А есть ссылки о подтверждении этой уязвимости для Windows 7? Эта уязвимость (если она существует) уже должна была всплыть и получить статус критической.
Мне, честно говоря, с трудом верится что заражение машины произошло именно так.
+4
Извините, не под Vista, а под XP.
+1
Use FAR, Luke!
+1
> Видимо похожую багу и для exe нашли.
Ну и где об этом информация? Вот нашли багу в смб2 — все IT-сми завалены этой новостью, а нашли багу под Windows 7 (!) при которой запуск бинарного кода происходит без запуска самого экзешника (!) и тишина. Хотя сама бага (если она есть) нааамного страшнее, чем эксплоит для смб2.
У меня был вопрос к автору: с чего он решил, что заражение произошло именно тем путём, который он описал? Откуда он это взял? Или просто для красного словца?
Ну и где об этом информация? Вот нашли багу в смб2 — все IT-сми завалены этой новостью, а нашли багу под Windows 7 (!) при которой запуск бинарного кода происходит без запуска самого экзешника (!) и тишина. Хотя сама бага (если она есть) нааамного страшнее, чем эксплоит для смб2.
У меня был вопрос к автору: с чего он решил, что заражение произошло именно тем путём, который он описал? Откуда он это взял? Или просто для красного словца?
+5
Была бага с иконками .ico, здесь же иконка лежала внутри бинарника, как ресурс, полагаю, что при просмотре винда извлекла иконку и наткнулась на эксплойт.
+1
UFO just landed and posted this here
Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe.
А как оно смогло? Или UAC был отключен?
А как оно смогло? Или UAC был отключен?
+3
Да, выключенный UAC и администратор. Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
0
Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
Да не, я это не с целью укора, а просто для понимания происходящего.
Просто рассказывают много историй про злобных вирусов, обходящих UAC и т.п., а в итоге оказывается, что юзер сам все отключил (ну или не сам, а какой-нибудь «знакомый программист»).
Да не, я это не с целью укора, а просто для понимания происходящего.
Просто рассказывают много историй про злобных вирусов, обходящих UAC и т.п., а в итоге оказывается, что юзер сам все отключил (ну или не сам, а какой-нибудь «знакомый программист»).
+2
Другое дело, что суть топика не в том, что вирус погробил кучу информации — а про напоминание о ReadyBoost. Именно с этой целью он и писался.
0
Хехе — в следуйщий раз свой варез будете вначале под вмварей запускать.
+3
В конце концов, да было желание посмотреть, как оно будет вести себя в «закрытой» территории, но учитывая количество заморочек — товарищ плюнул, его право.
0
Хехе, умные вирусы под wmware не запустятся :)
+4
почему?
0
Чтобы их сложнее было отлавливать.
0
не совсем корректно спросил: я хотел узнать — как wmware это делает?
0
Не wmware, а вирус. Практически всегда можно узнать под виртуалкой запущена система или нет. Так вот вирусы это проверяют и сидят тихо.
+1
К сожалению, использование VMWare или других средств виртуализации не спасает от вирусов — не все такие «умные», чтобы отказываться работать под виртуальной виндой :). К тому же, виртуальная винда — всё равно винда, а значит она тоже может стать хорошим узлом для какого-нибудь ботнета.
0
Отличный пример реализации принципа — Зло (воровство) должно быть наказано.
-1
Интересно, что нужно сделать MS, чтобы отучить своих юзеров сидеть под админом? Если только встроить в комп биту и бить по голове за каждый час под админом =)
Начинающие *nix юзеры обычно быстро отучаются «непечатающей» строчкой. :)
Начинающие *nix юзеры обычно быстро отучаются «непечатающей» строчкой. :)
+8
Есть в винде такая скрытая фича — автозапуск со сменных носителей можно отключить через реестр.
Но Microsoft-у уже давно нужно было внедрить другую фичу — возможность _включить_ автозапуск со сменных носителей, отключенный по умолчанию. Сколько людей пострадало от «вирусов на флешке», никто не знает.
И не столько, пожалуй, жаль системы, сколько впустую потраченного времени.
Но Microsoft-у уже давно нужно было внедрить другую фичу — возможность _включить_ автозапуск со сменных носителей, отключенный по умолчанию. Сколько людей пострадало от «вирусов на флешке», никто не знает.
И не столько, пожалуй, жаль системы, сколько впустую потраченного времени.
-1
Вы несколько не поняли ситуацию — дело не в обычной флешке, файлы с которых я уже давным давно не открываю из проводника, дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
-1
Они вроде недавно выпускали патч, отключающий авторан по-умолчанию.
0
А как же тогда «пользователи» будут программы будут устанавливать?
Ведь привыкли же — вставил диск, нажал Install и пошло-поехало. А вручную это ж надо знать ещё, какой из файлов на диске запускать.
Ведь привыкли же — вставил диск, нажал Install и пошло-поехало. А вручную это ж надо знать ещё, какой из файлов на диске запускать.
0
да ещё с Висты не там никакого «авторана по умолчанию»
0
UFO just landed and posted this here
Зачем вы троллите? Проблема ведь не в ОС, а в людях, которые можно сказать вручную заражают себе машины, отключив предварительно все системы защиты от «выстрелов себе в ногу».
+1
Если бы у людей была полезная привычка проверять антивирем всё скачанное сразу после скачивания — у них было бы гораздо меньше геморроя даже под админом без UAC.
0
Согласен лишь частично. Антивирус тоже не панацея от зловредов. Наверное, вам доводилось читать о последней истерии по поводу угонов номеров ICQ через файл Frogs.exe. Так вот — зловред в том файле (Hoax.Win32.IMPass.am по терминологии Касперского) у меня определился только 8 сентября (стащил себе из чистого интереса, зная, что там зловред). Сам же вирус к этому моменту уже пару дней по Сети гулял. Потому — только ограниченная учетная запись вместе с UAC.
0
Я ж не говорил, что «совсем не будет геморроя» :))
Понятно, что без админских прав безопаснее, так и это не панацея… Снесет зловредина %HOME%, и много вам будет радости от того, что не под админом сидели?
Понятно, что без админских прав безопаснее, так и это не панацея… Снесет зловредина %HOME%, и много вам будет радости от того, что не под админом сидели?
0
Ну, лично мне — много. потому что в %Home% хранятся только настройки программ, которые особой ценности не представляют. Все документы вне профиля лежат, старая привычка ;).
Но это я, а вот в тех же компаниях несколько иначе, тут вы правы…
Но это я, а вот в тех же компаниях несколько иначе, тут вы правы…
0
Хе. Достаточно того, что они доступны на запись/удаление с правами вашего аккаунта. ЕМНИМС, были какие-то заразы, шифровавшие файло везде, где дотянутся, и просившие денег за расшифровку.
0
UFO just landed and posted this here
UFO just landed and posted this here
Проблема не в ОС, а в людях, которые её пишут ;)
0
на заметку — в 90% заблокированные сайты разблокируются удалением строк с их упоминанием из файлика hosts (не помню, где он в виндовс, поиск по файла в папке виндовс даст что нужно)
0
также — простейшие фишинг-атаки лечатся — когда в этом файле прописаны какие-нибудь одноклассники или вконтакте — при попытке зайти на эти сайты — в лучшем случае — ваши кукизы улетают к злоумышленнику, в худшем — ваши не столь продвинутые юзеры отправляют СМС за 300-500 рублей для «разблокирования» аккаунта. ну и пароль от ресурса улетает.
+1
на заметку — в 90% антивирусы которые вирус не дает запускать, начинают запускатся после переименовывания экзешника антивируса.
+1
windows/system32/drivers/etc/hosts
но это как бы самый простой для вирусов способо, но не самый надежный — «лучшие представители» действуют иначе.
но это как бы самый простой для вирусов способо, но не самый надежный — «лучшие представители» действуют иначе.
0
CureIt! — не «замысловатый remover», а полноценный сканер. Запускать антивирусные утилиты на заражённой системе — верх наивности, надо бы загрузить чистую систему. Например, с того же установочного диска Vista или Windows 7.
+1
UFO just landed and posted this here
Для ноутов можно LiveCD или LiveFlashUSB использовать :)
0
Ну да — мы простых путей не ищем ;-)
0
UFO just landed and posted this here
1) если это компьютер того же хозяина — там скорее всего тот же вирус; если другого — так вообще боязно — сколько там заразы среди вареза накачано.
2) есть шанс заразить этот самый второй компьютер
3) конкретно по этой статье — флешка так бы и осталась непроверенной
Как говорится: у каждой сложной задачи есть масса простых неправильных решений ;-)
2) есть шанс заразить этот самый второй компьютер
3) конкретно по этой статье — флешка так бы и осталась непроверенной
Как говорится: у каждой сложной задачи есть масса простых неправильных решений ;-)
0
>>Сайты всех антивирусных программ заблокированными так и остались.
Знаю я эту блокировку. %WINDIR%\system32\driver\etc\hosts — туда не смотрели?
Знаю я эту блокировку. %WINDIR%\system32\driver\etc\hosts — туда не смотрели?
0
Напомнило анекдот про парня который сломал сервер, но был не хакер.
+4
Да сами и виноваты.
Используете експлорер, не отключаете авторан, сидите под админом? — Ну дык и не жалуйтесь что заразились, сами себе злобные буратины.
// Вот не лень систему и программы потом переустанавливать.
Используете експлорер, не отключаете авторан, сидите под админом? — Ну дык и не жалуйтесь что заразились, сами себе злобные буратины.
// Вот не лень систему и программы потом переустанавливать.
+1
А чего вы не написали «пользуете виндовс»? По-моему вы это забыли.
+2
Семёрка — достаточно неплохая ОСь. Я лично фанат линукса, но не могу не признать это. Просто не нужно давать чему попало права на исполнение, а тем более отключать UAC.
Хотя лучший вариант — не качать подозрительные файлы, сканировать их сразу после закачки (даже не глядя) или хотя бы проверять комменты на том же «пиратбее», там обычно пишут про вирусы в раздаче. Тем более такие, гробящие систему намертво.
Хотя лучший вариант — не качать подозрительные файлы, сканировать их сразу после закачки (даже не глядя) или хотя бы проверять комменты на том же «пиратбее», там обычно пишут про вирусы в раздаче. Тем более такие, гробящие систему намертво.
+2
Тут один чудак откомпилил питон и установил новую версию в /usr вопреки желанию пакетного менаджера, естественно система практически умерла. Не винде дело, любую систему можно загубить.
0
UFO just landed and posted this here
понимаю, что речь не о USB, но всёравно напомню про программу USBVaccine которая херит autorun.inf на флешке, делая невозможным его удаление или изменение, легко, просто и полезно.
+1
Да-да, во всём виноваты эти ReadyBoost-флэшки, а не запуск непонятно откуда взятых файлов под рутом да ещё и с отключённым UAC…
PS Это я к тому, что корень проблемы — не ReadyBoost.
PS Это я к тому, что корень проблемы — не ReadyBoost.
0
UFO just landed and posted this here
Kaspersky пробовали? ИМХО помог бы…
-1
UFO just landed and posted this here
может. Инфа 100%
0
UFO just landed and posted this here
теоретически может. Например переполнение в каком-либо компоненте, связанном с просмотром иконок файлов.
0
UFO just landed and posted this here
Хреново вы следите за сектором безопасности IT, я вам так скажу.
Переполнения были и в ICO компонентах, и в длинных именах файлов, и в нестандартных кодировках.
И всё это ломало explorer. Сомневаетесь?
Нате:
Инфа 100%
Переполнения были и в ICO компонентах, и в длинных именах файлов, и в нестандартных кодировках.
И всё это ломало explorer. Сомневаетесь?
Нате:
Инфа 100%
0
хабр съел линки.
www.us-cert.gov/cas/techalerts/TA07-089A.html
In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Consequently, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.
И не так это давно было.
www.us-cert.gov/cas/techalerts/TA07-089A.html
In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Consequently, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.
И не так это давно было.
0
как будет время. я вам эксплуатацию покажу на vmware.
0
UFO just landed and posted this here
Начнем с того, что «Windows Explorer не может запустить исполняемый файл без вашего ведома. Это невозможно.»
Всё-таки возможно, не так ли?
Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?
«за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.
зиродеи для win7 вполне возможны хотя бы потому, что код каждой вынды не переписывается с нуля, а тянет часть кода с родиительских платформ, оттого и наличие общей, но ещё не пропатченной дырки теоретически впоолне возможно.
Суслика не видно, а он есть. Так то.
Всё-таки возможно, не так ли?
Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?
«за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.
зиродеи для win7 вполне возможны хотя бы потому, что код каждой вынды не переписывается с нуля, а тянет часть кода с родиительских платформ, оттого и наличие общей, но ещё не пропатченной дырки теоретически впоолне возможно.
Суслика не видно, а он есть. Так то.
0
й папке был только .exe файл
0
В системе установлен Acrobat Pro 9.1.3 c последними обновлениями, в скачанной папке был только .exe файл.
0
Прочитал весь пост, все комментарии. Вопрос к автору.
1. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
2. дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
Ключевые слова — кэш запущенных экзешников. Если данный плагин не запускался, то, исходя из всей предоставлнной информации, система была поражена еще ДО скачивания с пиратбэй. Вы не рассматривали такую возможность?
1. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
2. дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
Ключевые слова — кэш запущенных экзешников. Если данный плагин не запускался, то, исходя из всей предоставлнной информации, система была поражена еще ДО скачивания с пиратбэй. Вы не рассматривали такую возможность?
+1
UAC это хорошо. В нем только «мерцание скрина» (затемнение) глаза раздражает, могли бы сделать плавные затухания, было бы лучше, и вреда глазам (если он есть) было бы меньше.
0
По пункту 2 — я так понял, что вирус заразил системные файлы, а уже они закэшировались на SD, и там и остались. То есть там плагина заражённого не было, на карте.
0
Прокомментирую как непосредственный участник процесса инфицирования (мой ноутбук был). Экcплоит в зараженном вышеописанными вирусами файле использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом. Подробную информацию о уязвимости на безграничных просторах интернета обнаружить не удалось. Есть информация о возможности инъекции в данный процесс в WinXP в некоторых случаях обращения к зараженному файлу или папке, но эта уязвимость была полностью устранена специалистами Microsoft в накопительном обновлении безопасности, вошедшим в SP2 для WinXP. Далее процесс выглядел следующим образом, инфицирование tacsmgr и большинства запущенных процессов. Экплоит сканировал менеджер задач и инфицировал исполняемые файлы. Затем инфицировал все найденные .exe в системных папках. Смысл работы до классического прост. Внедрение вредноносного кода, мутация (изменение) сигнатур, создание себе подобной мутированной копии, дальнейшее инфицирование. Поскольку первый зараженный процесс explorer, при обращении пользователя к папке, содержащей .exe файлы, следовало немедленное инфицирование всех этих файлов в папке. Дальнейшую работу вируса не имеет смысла описывать, принцип их работы всем известен. Моя ошибка, как пользователя, состояла не в самом факте заражения, и не в беспомощности перед такой заразой, а в простой ошибке с флешкой. Поскольку система использовала данную карту памяти как ReadyBoost, в ходе работы на ней происходило кэширование .exe файлов, которые уже были заражены. После форматирования диска С, и установки свежей системы, я совершенно забыл про флешку, которая была в слоте, и к которой, разумеется, сразу стала обращаться свежеустановленная система. Поскольку процесс инфицирования практически незаметный, я, ничего не заметив, продолжал работать в системе и обращался к различным системным дискам, сам того не понимая, заражая их. Когда опомнился, были инфицированы почти все диски.
Смысл данного поста выше в следующем. При обнаружении вирусной атаки, относитесь с максимальным вниманием к системе и к своим действиям, взвешивайте каждое действие и оценивайте возможные последствия. И до тех пор, пока все механизмы действия вируса вам неизвестны, старайтесь осноситься к нему с особой серьезностью. Если нужно детальное подробное описание работы данного полиморфной заразы, могу описать, но, по имеющейся информации, радикального универсального средства борьбы с данной связкой Virut/Heur не существует и система остается макимально к ней уязвимой даже при включенном UAC и отсутствии прав администратора у пользователя. Описанный выше случай единичный, но не стсоит забывать о элементарных средствах безопасности в сети.
Смысл данного поста выше в следующем. При обнаружении вирусной атаки, относитесь с максимальным вниманием к системе и к своим действиям, взвешивайте каждое действие и оценивайте возможные последствия. И до тех пор, пока все механизмы действия вируса вам неизвестны, старайтесь осноситься к нему с особой серьезностью. Если нужно детальное подробное описание работы данного полиморфной заразы, могу описать, но, по имеющейся информации, радикального универсального средства борьбы с данной связкой Virut/Heur не существует и система остается макимально к ней уязвимой даже при включенном UAC и отсутствии прав администратора у пользователя. Описанный выше случай единичный, но не стсоит забывать о элементарных средствах безопасности в сети.
0
UFO just landed and posted this here
Дело в том, что этот метод не работает для Vista и 7, т.к. active desktop был оттуда убран.
0
UFO just landed and posted this here
Конечно он остался, только запустить бинарный код с помощью него нельзя (хотя гипотетически при наличии мегабаги в эксплорере оттуда можно сделать все что угодно, но это «нановероятность»). А вот человек выше утверждает что:
«использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом», хотя кроме него эту уязвимость никто не видел. Мне как пользователю 7-ки интересно что это за уязвимость и как я могу её использовать)
«использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом», хотя кроме него эту уязвимость никто не видел. Мне как пользователю 7-ки интересно что это за уязвимость и как я могу её использовать)
0
Было включено отображение скрытых файлов и папок, в скачанных файлах desktop.ini и folder.htt не было
0
Еще не стоит забывать про System Volume Information в корневых папках NTFS разделов. Доступ туда по-умолчанию имеет только сама система и разного рода нечисть очень неплохо там гнездится.
0
UFO just landed and posted this here
Sign up to leave a comment.
Не забывайте про ReadyBoost-флешки