Комментарии 82
Хотя вредоносная программа использует имя надежного двоичного файла Windows, она запускается из другого расположения. Командная строка выглядит не так, как для исходного двоичного файла. Кроме того, подозрения вызывает сетевой трафик от этого двоичного файла.А пробовали по-человечески переводить? Не автопереводчиком. Кто в русской речи использует словосочетание «двоичный файл» для обозначения экзешника?
Хотя, судя по всему, оригинал тоже написан машиной.
"Антивирусная программа Windows Defenders использует многоуровневый подход"… Ошибиться в названии собственной программы — это надо суметь.
Ну кто, в винде, сидит под обычным пользователем!? Только под локальным админом! ))))
Жаль, что в винде нет атрибута исполняемый
Я где-то читал, что перед внедрением нового дизайна 2007 офиса Микрософт проводил опрос среди пользователей о недостающем функционале в офисном пакете, и в результате опроса выяснилось, что 90% затребованного пользователями функционала давно реализовано. Так вот, сообщаю вам, что в виндовых ACL начиная с Windows NT3.5 имеется отдельное право на запуск файла)
Которое включено по-умолчанию? Ну, и толку от того, что оно есть?
Я так делал. Правда я настроил просто:
- нельзя выполнять оттуда, куда можно писать
- нельзя писать туда, откуда можно выполнить
НО
- есть OneDrive который хотел отбновляться в профиле
- при апгрейде с 8.1 на 10 я в редакторе политик не увидел SRP, а они работали. В реестре пришлось убивать.
- есть программа Атсрал (для связи с налоговой ИП) которая стоит у одного и пользователей и требует вообще админских прав. (она же, кстати, с собой тащит SQL Server 2005)
Похоже есть какой-то баланс между безопасностью и легкостью обновления и совместимостью. Если включить по умолчанию уровень безопасности чтобы нельзя было скачать и выполнить код, то часть ПО отвалится (помните, сколько было воплей, когда вышла виста? Часть из них была именно из-за этого).
Плюс, вряд ли разработчики уитывают возможность такой настройки, так что можно столкнуться с сюрпризами.
Вообще мне было бы интересно почитать статью настоящего админа, про то, как это настроить и админить, и много ли геморроя требуется для поддержки
есть программа Атсрал (для связи с налоговой ИП) которая стоит у одного и пользователей и требует вообще админских прав. (она же, кстати, с собой тащит SQL Server 2005)
А для этого случая существуют утилиты от Sysinternals Procmon/Filemon/Regmon, чтобы посмотреть куда лезет «нетленка» и где она обламывается о запреты. Проанализировав поведение, можно сделать послабление прав для пользователей (группы пользователей), которые работают с этим «поделием».
И еще про «Астрал». У него в ini'шнике можно подправить путь к базе и способ соединения: таким образом базу можно перенести на другой сервер (на тот же SQL2008/SQL2012) и обеспечить нормальную многопользовательскую работу. Делал так у одного клиента, когда он «Астралом» пользовался. Правда давно это было, лет 6-7 назад, поэтому пишу по памяти.
Спасибо! Ну, конечно! Это же элементарно! Так и передам маме — отключи, мол, в ацл выполнение по умолчанию и настрой срп на белые списки (нет, мама, эти ацл и срп — это не ругательства и, даже, не заклинания для призыва нечистой силы). Потом закончи курсы системных администраторов виндовс, чтобы хотя бы понять отчего после этого почти всё сломалось.
Плюс, вряд ли разработчики учитывают возможность такой настройки,Разработчики, в частности отечественные зачастую вообще не подразумевают, что усер может быть без прав, банк-клиенты не учитывают что у кого-то домен, да еще со своими политиками, консультант не знает что такое сервер терминалов, сбис вообще ставиться в юсерпрофиль итд, итп. Но думаю к этому придут, это следствие того, что виндовс очень долго по дефолту давал рута, и разрабы просто ленятся\не умеют это учитывать.
См. например полезное видео MVP Губаревича
www.youtube.com/watch?v=I0bFeL_hvow
Безусловно, что п.0 в компании до таких настроек должен идти подписанный CEO список софта для рабочих станций.
Да собственно все что угодно может быть запущено на ночь, например, рендеринг сложного видео проекта. Это дурацкая практика — перезагружать машину произвольно без подтверждения пользователя.
В любом случае, ценность результатов должна прямо коррелировать с частотой их сохранения. Если эта корреляция отсутствует, то надо что-то в консерватории править, а не жаловаться постфактум.
P.S. Разве у проф версии 10-ки нельзя отключить автоматическую перезагрузку?
У меня открыто 2-3 сервиса под дебагом, 2 браузера с разными сессиями. Все сервисы находятся в каком-то отпределенном состоянии. Плюс еще несколько различных вспомогательных софтин. Все это запущено неделю в попытках разобраться с хитрым багом.
Это вы просто ничего сложнее текста в ворде не делали. Потому у вас и «ценность результатов должна прямо коррелировать с частотой их сохранения».
P.S. Оправдания такому идиотскому поведению винды нет никакого.
Все это запущено неделю в попытках разобраться с хитрым багом.
Т.е. вы запускаете недельные процессы на системе, которая по определению не гарантирует недельную бесперебойную работу (либо не настроена правильным образом)? Ну, ок.
Это вы просто ничего сложнее текста в ворде не делали.
Вы несколько самонадеянны.
Оправдания такому идиотскому поведению винды нет никакого.
А вы лицензионное соглашение win10 читали? ЕМНИП, там это «оправдание» прописано в явном виде. И вы с ним, вероятно, согласились.
Очень уж хочется цитировать, что windows не гарантирует бесперебойную работу в течении недели…
Я имею ввиду, что я официальный представитель.
А про то, что «обычная» win10 ничего не гарантирует, можете смело цитировать — ничего нового в этом утверждении нет, интернет полон стонов пострадавших.
За проф версию ничего не могу сказать, её я снёс меньше чем через неделю использования.
У меня открыто 2-3 сервиса под дебагом, 2 браузера с разными сессиями. Все сервисы находятся в каком-то отпределенном состоянии. Плюс еще несколько различных вспомогательных софтин.
******
У меня нет проблем рассказать о деталях, я веду дебаггинг служебных приложений hadoop с целью их перевода на java-9. Начал я ч хива ( hive ) а сейчас внедрился в сам Hadoop. Этот служебный код весьма кривой, к тому же моя java весьма «проржавела», в последний раз писал продакшн код в 2000-м году.
Мои «вспомогательные софтин это в основном несколько окошек notepad ( колеблется от 2-х до 6-ти ) хранящих контекстную информацию с метаданными из различных файлов и два — три окошка браузера ( IE ).
Я вообще не жаловаться хотел, а напомнить, что у „спасения“ есть стороны, о которых Microsoft привычно забывает. А в случае с этим „спасительным“ рестартом системы видимо из — за рисков связанных с информацией в кэши все само — восстановительные указатели сессий были очищены, и когда машина вышла из рестарта, вместо уже привычной попытки восстановить то, что было на экране перед выключением, на меня смотрел голый экран.
Я вообще человек к этим вещам привычный, так что где-то даже иронизировал. Честно говоря столь горячая реакция комментирующей публики настораживает. Поскольку сам большой патриот Microsoft, но позвольте, когда свои ошибаются, друзья обязаны одернуть. Это „подельники“ „прикрывают“. Подобные глупые невосстановимые потери во время рестарта это просто непозволительно для зрелой операционной системы. И честно говоря, вообще, пора бы что — то сделать с этими всеми рестартами. В конце концов даже выстраивание дубликата ядра и перенос указателей на новый процесс не должны быть запредельно невозможными ( если уж придется грызть броню ), при условии успешной идентификации корневого сертификата UEFI.
Подобные глупые невосстановимые потери во время рестарта это просто непозволительно для зрелой операционной системы.Проблема в том, что сразу после появления способа «не терять нужную работу» найдётся возможность у вредоносных программ избегать обнаружения/уничтожения, используя этот способ.
Вам дико повезло, что это был всего лишь Майнер, а не шифровальщик… Тогда вы бы сейчас не ругали Майкрософт в какой то там перезагрузке...
И тут внезапно бросилась хостовый антивирус развивать, придавливая попутно других разрабов.
Tmg умел ещё Тогда, что многие сегодняшние utm только освоили.
Но пока им не удалось зарегистрироваться на портале Госуслуг
-Боря, что ты делаешь?
-Белых тигров отгоняю.
-Так нет же никаких тигров!
-Так потому и нет, что отгоняю.
Как мило, создать проблему, потом героически и с рекламной помпой (и без возможности проверить объем вранья) ее преодолевать. А по существу, у меня слегка подкрученный неапдейтящийся RHEL сервер 3 года круглосуточно торчал в Интернете. Правда вел лог «странностей».
Но:
без всяких антивирусов,
без всяких «многочисленных облачных моделей машинного обучения на основе метаданных»,
без всяких «моделей машинного обучения на основе анализа образцов и детонации»,
без всяких «моделей на основе детонации»,
без всяких «служб обнаружения аномалий».
Что я делал не так, чтобы вся эта лабуда мне была нужна?
Что я делал не так, чтобы вся эта лабуда мне была нужна?Вы ведь не запускали на нём старый браузер, не открывали в нём сомнительные сайты, не искали очень редкие торрент-раздачи и т.п.
Не надо сравнивать сервер (который по своей сути не должен работать с юзерами) и десктоп.
Windows defeater пропустил локер. И это при обычном серфинге. Заменил на платный антивирус.
В самом начале атаки с помощью поведенческого мониторинга антивирус Windows Defender выявил необычный механизм стойкости и устойчивости атаки.
Вот тут если можно поподробнее. Поведенческий анализатор это грубо говоря набор правил, контролирующий обращения к определенным ресурсам/модели поведения. Как можно с помощью поведенческого анализатора выявить устойчивость атаки? И чем отличается стойкость и устойчивость?
Еще через пару секунд наши модели машинного обучения на основе анализа образцов и детонации подтвердили, что программа обоснованно отнесена к вредоносным. Через несколько минут подключились модели на основе детонации...
Два раза подрывали вредоносную программу? Или все же один?
в самом начале компании пользователи получали предупреждение о блокировке этой угрозы, в котором она фигурировала под названиями, присвоенными системами машинного обучения (например, Fuery, Fuerboos, Cloxer или Azden).
Тоесть единой системы анализа (частью которой является автонаименование) у вас нет?
Срыв масштабной хакерской атаки на пользователей Windows в России