Comments 88
Интересно, что это за партнёры?
Посылаю в сторону этих партнёров лучи поноса, ибо флешки с авторанным вирьём задолбали.
Посылаю в сторону этих партнёров лучи поноса, ибо флешки с авторанным вирьём задолбали.
Разработчики антивирусов вестимо =)
Блин! А это идея!
Или разработчики Stuxnet…
Я на своей флехе для себя сам autorun делал. Удобно, когда приходишь к чужому компу, воткнул и сразу нужную программу в автозапуске уже тыкаешь, не нужно лезть в папки. И иконку диска менял, чтобы сразу видеть, под какой буквой мой, плюс индикатор заражённости — если иконка отвалилась, то, скорее всего, вирусня напала на флешку.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
и пускай задобывают других
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
и пускай задобывают других
Кстати, те, кто еще не избавился от авторана своими силами, тот и апдейтами не всегда интересуется :) хотя вероятность, конечно, больше.
Как правило, пациент попадает ко мне уже после заражения. Конечно где могу, там авторан вырубаю сразу.
Аналогичное решение стоит у меня, плюс Comodo Firewall (не пользуюсь антивирусом, раз в пару месяцев прогоняю CureIt!-сканирование для страховки — всегда всё чисто). Но авторан на дисках иногда бывает полезен, а заплатка майкрософта, как я понял, распространяется только на флешки, что не может не радовать.
Антивирусом по религиозным соображениям не пользуетесь что ли? MSSE очень доступный, бесплатный и работать не мешает. Why the hell not?
кхм, и на старую снимают порнуху — сам всем подряд и всюду ставлю этот антивирь, НО уже раза два-три сталкивался с вирями, которые клали на него свой прибор одной левой. Например некоторые винлоки, то же dino (блокировщик скайпа) и т.п. — антивирус обновляется, не убит, делаешь полный скан — «суслика не видно, а он есть!»
ЗЫ убиваю ручками и/или при помощи combofix
ЗЫ убиваю ручками и/или при помощи combofix
Не пользуюсь по той же причине, почему я не пользуюсь линуксом. Да — линукс хорошая система, я не спорю. И, если бы у меня дома стоял локальный сервак для личных нужд, я бы выбрал именно его. Но для моих задач, как десктопная система, больше подходит винда (к тому же, у меня видяха от ATI).
Так и здесь — зачем мне программа, необходимости в которой я не испытываю? Если у моих от вирусни полетит десктоп — восстанавливать буду я, поэтому там я себя обезопасил Авастом, а здесь сам слежу за порядком.
Так и здесь — зачем мне программа, необходимости в которой я не испытываю? Если у моих от вирусни полетит десктоп — восстанавливать буду я, поэтому там я себя обезопасил Авастом, а здесь сам слежу за порядком.
UFO just landed and posted this here
А я для уверенности сложнее прописывал:
А вообще — ещё до того, как узнал про апдейт, пользовал отличную утилиту от Uwe Sieber.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"NoDriveAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ShellHWDetection\]
"Start"=dword:00000004
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF
"NoDriveAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\]
"HonorAutorunSetting"=dword:00000001
А вообще — ещё до того, как узнал про апдейт, пользовал отличную утилиту от Uwe Sieber.
Вообще, таким партнерам можно было и не устанавливать это обновление. У действительно крупных партнеров обновление происходит не через автоапдейт, а через предварительное тестирование.
Думаю что эти партнеры заинтересованы в том чтобы у обычных пользователей был не отключен авторан, а у самих в сети стоит линукс авторан отключен ;)
Это, например, могут быть какие-то создатели игр.
Это, например, могут быть какие-то создатели игр.
парсер, классически лох, съел тег s, и не перечеркнул слова «стоит линукс»
habrahabr.ru/info/help/karma/
Вы — классический лох, который не умеет читать и не пользуется кнопкой «предпросмотр».
Вы — классический лох, который не умеет читать и не пользуется кнопкой «предпросмотр».
Возможно имелись в виду производители оборудования типа usb модемов или, скажем, телефонов/камер, которые «притворяются» флэшкой для установки драйверов?
Autorun появился 20 лет назад и прекрасно работал многие годы, когда флешек еще и в помине не было.
вы про авторан с дисков?
почему-то в 2000 никакого авторана с флэшек нету и никто не жалуется, наоборот — эти операционки до сих пор самые чистые
почему-то в 2000 никакого авторана с флэшек нету и никто не жалуется, наоборот — эти операционки до сих пор самые чистые
Под них уже не пишутся вирусы :)
А вообще неоднократно встречал вирусы которые специально не заражали машину под управлением Windows версии ниже XP.
А вообще неоднократно встречал вирусы которые специально не заражали машину под управлением Windows версии ниже XP.
Так же, как Линукс, MacOS и Неуловимый Джо — с таким количеством рынка они просто никому не нужны ^_^
Не то чтобы не нужны (почти 7% макюзеров и полтора процента linux — вполне достойный куш), просто пользователе-зависимые уязвимости там максимально прикрыты, легких путей нет. По-умолчанию в этих осях пользователь не является суперпользователем.
И по крайней мере убедить пользователя сделать chmod +x или sudo запуск программы гораздо трудней, чем просто написать «запусти эту клевую программку с котятами».
И по крайней мере убедить пользователя сделать chmod +x или sudo запуск программы гораздо трудней, чем просто написать «запусти эту клевую программку с котятами».
It's all the same shit. В винде начиная с висты пользователь по-умолчанию так же не является суперпользователем. А в линуксе уже вкарячивают аналоги UAC, которые интерактивно спрашивают у пользователя разрешение на поднятие полномочий или пароль при запуске чегонить важного, после чего услужливо сами сделают sudo.
Станет значимым % пользователей — появятся вирусы. Вкладывать силы в «почти 7%», когда можно вложить в 90% просто не выгодно и никакой не «достойный куш».
Станет значимым % пользователей — появятся вирусы. Вкладывать силы в «почти 7%», когда можно вложить в 90% просто не выгодно и никакой не «достойный куш».
Львиная доля народу до сих пор используют XP, на которой присвоение прав суперпользователя идет по-умолчанию.
А в семерке вирусы на основе autorun.inf особой угрозы и распространения и не получили.
Зато внезапно появилась куча программ, которая ставится в пользовательскую директорию.
А в семерке вирусы на основе autorun.inf особой угрозы и распространения и не получили.
Зато внезапно появилась куча программ, которая ставится в пользовательскую директорию.
>>>Львиная доля народу до сих пор используют XP
Абсолютно верно замечено. Знакомый админ рассказывал, как недавно был очень удивлен размерами ботнета, который он когда-то собрал. Туча людей уже 5 лет использует дистр с XP SP2, в который он вложил небольшой «секрет».
Абсолютно верно замечено. Знакомый админ рассказывал, как недавно был очень удивлен размерами ботнета, который он когда-то собрал. Туча людей уже 5 лет использует дистр с XP SP2, в который он вложил небольшой «секрет».
Да, быдлокодеров, которые не могут договориться с UAC, хватает.
Ещё забавный примерчик со сборкой Total Commander от SamLab — это чудо при установке скриптом вырубает UAC.
Ещё забавный примерчик со сборкой Total Commander от SamLab — это чудо при установке скриптом вырубает UAC.
А еще в win2k нельзя устанавливать права доступа на ветки в реестре, что тоже несомненный плюс для борьбы с живностью. А вот в ХР недавно чуть шляпу не съел пока чистил остатки от одного нехорошего. Спасибо Марку Руссиновичу, одна из его утилит помогла.
Ну, не 20 лет, а только в windows 95. Тогда проблемы не было, потому что распространять вирусы на cd было не очень удобно. Тогда вместо флешек были дискетки, а на дискетках autorun был отключен по-умолчанию. Почему это правило не распространилось на все removable drives — это большой вопрос к Microsoft и за это стоит кому-то вбить в голову большой ржавый гвоздь.
Ведь по уму сделали только в windows 7, где autorun запускает программы только с cd/dvd, а для остальных дисков валидны только поля label и icon.
Ведь по уму сделали только в windows 7, где autorun запускает программы только с cd/dvd, а для остальных дисков валидны только поля label и icon.
В Windows 95 autorun мог запускаться с системного диска. До сих пор помню нашего админа, у которого при включении компа все содержимое диска было стерто командой DEL /S *.*
Очнулись называется.
И ещё какие-то мутные партнёры.
И ещё какие-то мутные партнёры.
FYI: в winxp prof edition есть функция отключения autorun для флешек и дисков. В home edition тот же эффект может быть достигнут правкой реестра.
За чтоооооооо!?
UFO just landed and posted this here
>Autorun под Linux
улыбнулся, безопасный линукс такой безопасный.
улыбнулся, безопасный линукс такой безопасный.
> улыбнулся
Хорошо бы ещё по ссылке сходить. Autorun в Windows и Linux в корне отличались до сегодняшнего дня. С сегодняшнего дня они будут одинаковые — никаких автоматических действий без команды от пользователя.
> безопасный линукс такой безопасный.
Не беспокойтесь — уязвимости, о которой шла речь на конференции, была закрыта больше месяца назад.
Хорошо бы ещё по ссылке сходить. Autorun в Windows и Linux в корне отличались до сегодняшнего дня. С сегодняшнего дня они будут одинаковые — никаких автоматических действий без команды от пользователя.
> безопасный линукс такой безопасный.
Не беспокойтесь — уязвимости, о которой шла речь на конференции, была закрыта больше месяца назад.
Ты улыбнулся, а я презентацию посмотрел. Исследователь из IBM для успешной демонстрации отключил технологии повышения безопасности в Linux: ASLR (и AppArrmor).
Т.е. в докладе очень правильно отмечены недостатки энтропии в ASLR, но блин это совсем не та уязвимость, которую реально эксплуатировать.
Т.е. в докладе очень правильно отмечены недостатки энтропии в ASLR, но блин это совсем не та уязвимость, которую реально эксплуатировать.
AppArmor отключен не был. Он был обойден простым созданием симлинка (хаха), ASLR был отключен только для демонстрации, но все работает и с ним. Те 4 уязвимости была найдены ВРУЧНУЮ. Причем уязвимости, которые были бы запросто обнаружены статическим анализом.
Пара вопросов: какого хрена thumbnailer запускается даже если компьютер заблокирован и какого хрена для разблокировки экрана достаточно убить один процесс?
Пара вопросов: какого хрена thumbnailer запускается даже если компьютер заблокирован и какого хрена для разблокировки экрана достаточно убить один процесс?
>> какого хрена для разблокировки экрана достаточно убить один процесс?
Я тоже задался подобным вопросом, но потом подумал, что оно так и должно быть.
Не верите, смотрите сами — если система заблокирована, то каким образом, злоумышленник не зная пароля сможет разблокировать экран?
— Виртуальные терминалы — отпадают(опять-таки из-за пароля), НО только при условии если они не использовались, или использовались, но была завершена сессия
— Удаленный доступ через уязвимость. Спрашивается, зачем вообще убивать хранитель экрана если у злоумышленника есть доступ к системе
Я тоже задался подобным вопросом, но потом подумал, что оно так и должно быть.
Не верите, смотрите сами — если система заблокирована, то каким образом, злоумышленник не зная пароля сможет разблокировать экран?
— Виртуальные терминалы — отпадают(опять-таки из-за пароля), НО только при условии если они не использовались, или использовались, но была завершена сессия
— Удаленный доступ через уязвимость. Спрашивается, зачем вообще убивать хранитель экрана если у злоумышленника есть доступ к системе
Я правильно понял, что тебе нечего ответить в соседней ветке (http://habrahabr.ru/blogs/infosecurity/113091/#comment_3639068 и habrahabr.ru/blogs/infosecurity/113091/#comment_3637839), потому что ты уперся в факты и ты пришел попытать счастья сюда?
Парень говорит, что _теоретически_ можно эксплуатировать и обойти все защиты, но сам он этого сделать _не_смог_.
ASLR был отключен, цитирую: «мое демо достаточно ламерское, простите, я вынужден был отключить оба и Apparrmor и ASLR, потому что с ASLR это занимало слишком много времени и было не настолько reliable(надежно), как мне бы хотелось. А мне бы хотелось, чтобы демо все-таки работало» (48ая минута, 5ая секунда).
Короче опять до практической эксплуатации уязвимость не дотягивает. Когда энтропию ASLR улучшат, эту флешку нужно будет вставить 100.000 раз, чтобы эксплойт сработал. Т.е. то о чем я и писал. В итоге все, как и в прошлом топике ты кричишь «Посмотрите! Теоретически Linux уязвим! Windows надежен, просто 30% пользователей идиоты и отключили автоапдейт!», а на практике массовые заражения винды, а Linux просто работает.
При чем тут 4ре уязвимости, найденные ВРУЧНУЮ, вобще не понял. Там же все взято из базы CVE. Остальное no comments.
Парень говорит, что _теоретически_ можно эксплуатировать и обойти все защиты, но сам он этого сделать _не_смог_.
ASLR был отключен, цитирую: «мое демо достаточно ламерское, простите, я вынужден был отключить оба и Apparrmor и ASLR, потому что с ASLR это занимало слишком много времени и было не настолько reliable(надежно), как мне бы хотелось. А мне бы хотелось, чтобы демо все-таки работало» (48ая минута, 5ая секунда).
Короче опять до практической эксплуатации уязвимость не дотягивает. Когда энтропию ASLR улучшат, эту флешку нужно будет вставить 100.000 раз, чтобы эксплойт сработал. Т.е. то о чем я и писал. В итоге все, как и в прошлом топике ты кричишь «Посмотрите! Теоретически Linux уязвим! Windows надежен, просто 30% пользователей идиоты и отключили автоапдейт!», а на практике массовые заражения винды, а Linux просто работает.
При чем тут 4ре уязвимости, найденные ВРУЧНУЮ, вобще не понял. Там же все взято из базы CVE. Остальное no comments.
А лично мне авторан очень даже нравился — это когда я работал на 2-х работах + домашний комп. У меня была флешка с диким набором портабельного софта и очень удобной утилитой для их запуска.
Правда стоит заметить, что чужие флешки я запускал только с шифтом.
А сейчас я перешел на дропбокс.
Правда стоит заметить, что чужие флешки я запускал только с шифтом.
А сейчас я перешел на дропбокс.
Хотела бы я взглянуть в глаза этим партнерам…
И да, свои флешки всегда обрабатываю утилиткой, про которую писали тут: habrahabr.ru/blogs/infosecurity/54187/ дабы не становиться переносчиком заболеваний)
И да, свои флешки всегда обрабатываю утилиткой, про которую писали тут: habrahabr.ru/blogs/infosecurity/54187/ дабы не становиться переносчиком заболеваний)
вот, например: u3.sandisk.com/
Особо продвинутые вирусы научились и это обходить
Дорога ложка к обеду. Этот бы апдейт, да пару лет назад. С другой, стороны, лучше поздно, чем никогда!
Разумеется, во всем виноваты ZOG партнеры.
То же самое и с зарядками (решили использовать один разъем у всех производителей телефонов), могли бы и раньше но что то все ни как…
А немного жалко что такое невозможно:
О боже, на хабрахабре плохая статья про нас! Нас ждёт луч поноса Аааа! *убегает в сортир*
Хабралуч поносова xD
О боже, на хабрахабре плохая статья про нас! Нас ждёт луч поноса Аааа! *убегает в сортир*
Хабралуч поносова xD
Не пойму в чем смысл этого «критического», юзер всеравно рано или поздно всеравно сделает заветный даблклик.
У MS как всегда все «вовремя». Все уже давно научились игнорировать и отключать его с помощью всяких Panda USB Vaccine, avz и других твикеров-патчеров. Было бы правильным оперативно среагировать на угрозу, связанную с появлением autorun-вирусов и поместить патч в список критических обновлений, многоуважаемые партнеры могли бы просто его не устанавливать.
Поздно. Я уже на Ubuntu!
Читал из другого источника, очень порадовало:
Теперь, благодаря новому официальному обновлению, распространяемому по каналам Windows Update, миллионы пользователей смогут почувствовать себя более защищенными.
Теперь, благодаря новому официальному обновлению, распространяемому по каналам Windows Update, миллионы пользователей смогут почувствовать себя более защищенными.
Интересно, если бы патч вместо вырубания авторана сначала спрашивал у пользователя «хотите, его вырублю?», как бы это помешало жить партнерам?
Большое спасибо партнёрам за приближение вендекапца. %)
А я так автораном антивирусы на ХР запускаю. В принципе помогает.
О партнерах заботятся, а на юзеров много лет хуй ложили.
Автор Ализар — где подвох в тексте?
В абзаце про Линукс. Опять уязвимость разряда ССЗД
Хм… А разве на Win7 не спрашивается что вы хотите сделать, типа посмотреть фотки на флешке, видео или запустить файл autorun.inf? Мне, почему-то казалось что сейчас именно так, проверять лень.
Дык оно же отключается/настраивается встроенными средствами винды.
Опять шум на пустом месте…
Опять шум на пустом месте…
UFO just landed and posted this here
Sign up to leave a comment.
Microsoft наконец-то избавляется от Autorun