Хакеры начали использовать тактику объединения ZIP-файлов, чтобы избежать обнаружения системами ИБ в Windows

[Vcoderlab]

Отсюда вывод: для архивов используйте 7zip вместо проводника.

Интересно, а можно ли настроить винду таким образом?

[RoasterToaster]

Это пока завтра не расскажут об эксплойте в 7zip:)))

Реально удобно работать под юзером, когда для исполнения всплывает запрос админских данных

[AiR_WiZArD]

когда для исполнения всплывает запрос админских данных

И сильно помогает? Если ПО из надёжного источника, то как-то без разницы, есть это предупреждение, или нет, все равно запускаешь. Если из не надёжного - то тут либо предупреждения не будет (не думаю, что UAC сложно обойти), либо ПО по умолчанию требует админку, вне зависимости от наличия вредоносного кода. В итоге получается просто бесполезное бесячее окно, обычный пользователь всегда нажмёт "да", продвинутый и не будет запускать что-то.pdf.exe. Если хочется большей защиты - есть сторонние антивирусы, ибо встроенный в шинду является первоочередной целью для любого зловреда, ну или иметь мозг и ничего не качать с не доверенных источников

[Bagatur]

Эммм... А что, пользователь таки имеет админские права на компе?

[AiR_WiZArD]

Речь про персональные устройства, естественно на корпоративной технике все зависит от настроек админа.

[RoasterToaster]

ну в данном случае поможет : если в запаре запустил этот pdfexe из подобного архива, появится не акробат ридер а запрос уставновки чего то. я не про сферических пользователей, я про себя.

[Vcoderlab]

Не удобно.

Чтобы избежать случайного запуска какого-нибудь мусора из архива, нужно снять права на запуск с каталога, в который распаковывается содержимое архивов. Однако при этом ломается автоматическое обновление вполне нормального ПО типа Firefox.

Кроме того, когда ты не-админ, это помешает вирусу только обновить тебе драйвер. Но абсолютно не помешает например зашифровать файлы в домашнем каталоге.

[saboteur_kiev]

Чтобы винду так настроить, сперва надо решить вопрос лицензирования, там вроде unrar алгоритм с лимитами

[R0bur]

Отсюда вывод: для архивов используйте 7zip вместо проводника.

Интересно, а можно ли настроить винду таким образом?

Насколько я понимаю, достаточно ассоциировать приложение 7zFM.exe с файлами с расширениями zip, rar, 7z, ... . Можно сделать через меню 7zFM.exe: Сервис - Настройки - Система - Ассоциировать 7-Zip с файлами ...

[lkik]

если far ой открыть?

[YMA]

Те, кто открывает архивы FAR - не купятся на файлик SHIPPINGINVPLBLpdf.exe, он еще и подсвечен как исполняемый будет. :)

[Vcoderlab]

far ой

Кстати интересный вопрос: а какого FAR рода?

• Мужского - потому что файловый менеджер;

• женского - потому что программа;

• или среднего - потому что приложение?

[StSav012]

Мужского, поскольку он называется “Far Manager”. Остальные причины несостоятельны в русском языке.

[Vindicar]

Не, ну т.е. опять атака уровня x.pdf.exe?

UPD: не, серьёзно. Пользователь же должен активировать полезную нагрузку.

А это возможно только в одном сценарии: в одном архиве чистый x.pdf, в другом x.pdf.exe, и надеемся, что антивирус увидит первый архив, а проводник пользователя - второй.

[ImagineTables]

7zip считывает только первый ZIP-архив (который может быть безвредным) и выдаёт предупреждение о дополнительных данных, которое пользователи могут пропустить;
WinRAR считывает и отображает обе ZIP-структуры, раскрывая все файлы, включая скрытую вредоносную полезную нагрузку;
Windows File Explorer может не открыть объединённый файл или, если переименовать его с расширением .RAR, может отобразить только второй ZIP-архив.

А когда я говорил, что по моему личному опыту в любой мало-мальски нестандартной ситуации встроенный в Эксплорер архиватор склонен творить дичь, и поэтому всегда надо иметь WinRAR/7zip, надо мной смеялись.

[ReTaX]

Исходя из статьи видно Zip in Zip, не помогло, на их месте, проще было бы сделать Zip IP Zip для удаления в распаковки.

[Germanjon]

Вангую доработку вложенных zip-файлов в сторону добавления zip-бомб, чтобы архиватор и антивирус не сильно пытались разобраться с содержимым