Всегда считал свой компьютер относительно защищенным: последние обновления системы и антивируса, firewall...
Но несколько дней назад попал в очень неприятную ситуацию... В одном из писем от знакомого адресата запустил файл. Открылось dos окошко и сразу закрылось... Как позже оказалось это была модификация вируса Pinch, умеющая похищать почти все пароли с компьютера и мгновенно отсылать их. Кav c последними базами не среагировал и firewall (Zone Alarm) ей не помеха, автоматом было нажато разрешить доступ и все мои данные ушли: в том числе все пароли из The Bat! (это удалось определить по появившимся разрешениям на доступ в firewall). Куда все это ушло определить не удалось... Позднее проверки утилитами Adaware и AVZ ничего не обнаружили: также ничего не добавилось в загрузку... Модифицированный файл сразу удалил...
Позднее ситация усугубилась: случайно увидел все мои пароли на одном из форумов в открытом виде: в сообщении, написанном от моего же имени... (хорошо хоть пароль от форума не был изменен и самому удалось поменять, как и на остальных форумах) Соответственно, где пароли почты в тот же день не поменял, были кем-то изменены...
На @chtts.ru пароль самостоятельно изменить нельзя, теперь жду подельника: в справочной говорят, что админ почтового сервера по выходным не дежурит
А бывает еще файлы с *.hta расширением - тоже мерзость неприятная . Кстати, как Вы определили, что в автозагрузку ничего не добавилось, знаете, существует кажется 44 способа автозагрузки программ (в т.ч. как драйвера, как dll, как IE Helper и т.д.), думаю, что Все такие способы даже не известны !!!
Есть очень простое решение: принцип минимальных привилегий. Для домашнего компьютера его можно сформулировать так: не сидеть под админскими правами без нужды . Насколько я помню, XP предлагает при инсталляции сделать аккаунт для админа и для обычного пользователя. Однако почему-то большинство предпочитает сидеть под админом, да еще и пароль пустой ставят. Так сделайте, как дяди из Микрософта рекомендуют! Правда, если проги ставить из-под админского логина, то ярлыки-менюшки запишутся в профиль админа. Поэтому лучше поступать так: 1) Логинимся под админским аккоунтом 2) Заносим "обычного пользователя" в группу "администраторы" 3) Перелогиниваемся под "обычным пользователем" 4) Ставим прогу 5) Выносим пользователя из "администраторов" и перегружаемся Несколько хлопотно, но лично я, например, ставлю чо-то новое не чаще раза в месяц. Чтобы не перелогиниваться для вызова панели управления с админскими правами, можно создать ярлык на команду "runas /user:Administrator rundll32 shell32,Control_RunDLL" Еще также хорошо на NTFS диске запретить обычному пользователю запись в каталоги winnt и program files. Также запретить ему управлять файеволлом ( у встроенного виндового это по умолчанию). Можно пойти дальше и для тестирования подозрительных программ создать что-то типа юниксового "chrooted jail" - аккоунт, которому запрещен доступ ко всему, кроме своего домашнего каталога.
Сообщение отредактировал icemanoid - Feb 22 2007, 23:12
Есть очень простое решение: принцип минимальных привилегий........... Еще также хорошо на NTFS диске запретить обычному пользователю запись в каталоги winnt и program files.
создать что-то типа юниксового
Твоими устами, да мёд бы пить А как же в аську файлы принимать? Опять думать, "куда бы сохранить?" Нее, думать - это не для нас, не для пользователей винды.
Правда, если проги ставить из-под админского логина, то ярлыки-менюшки запишутся в профиль админа. Поэтому лучше поступать так: 1) Логинимся под админским аккоунтом 2) Заносим "обычного пользователя" в группу "администраторы" 3) Перелогиниваемся под "обычным пользователем" 4) Ставим прогу 5) Выносим пользователя из "администраторов" и перегружаемся
Это Вам не поможет нисколько - разок запустили трояна (а это может быть что угодно - начиная от документа Word и заканчивая красивым ScreenSaver'ом) под админом вы поплатитесь.
PS. Кроме того, есть понятие "понятие локальных привилегий", вот под Win9x был известный классический пример перехода программы из кольца 3 (уровень пользователя) в кольцо 0 - думаю, что и сейчас такого "добра" навалом, а геморроя работать на WinXP с низкими привилегиями я лично не пожелаю никому...
Это Вам не поможет нисколько - разок запустили трояна (а это может быть что угодно - начиная от документа Word и заканчивая красивым ScreenSaver'ом) под админом вы поплатитесь.
Может быть я неточно выразился в первом письме, но под "не сидеть под админскими правами без нужды" я подразумевал также следствие "а когда сидишь под админом - не запускай что попало". Это касается и красивых ScreenSaverов тоже, а особенно всяких скачанных из инета крякеров. Теоретически троян может прописаться в автозагрузку и ждать пока админ залогинится, но без админских привилегий и запрете записи в /winnt и /program files это практически невозможно. Конечно, абсолютной защиты не бывает, проблема "щит и меч" - вечна. Но данный способ значительно уменьшает вероятность пострадать при вирусной атаке. По крайней мере у меня не было ни одного случая. Единственное что я помню - в локалке завелся MsBlaster, бомбил комп кривыми пакетами, отчего у компа падали сетевые службы, но заразить комп ему не удалось.
Цитата(mVlad @ Feb 24 2007, 11:02)
PS. Кроме того, есть понятие "понятие локальных привилегий", вот под Win9x был известный классический пример перехода программы из кольца 3 (уровень пользователя) в кольцо 0 - думаю, что и сейчас такого "добра" навалом,
Этот пример неудачный. Во-первых, сейчас уже далеко не 9х год. Во-вторых, Win9x - однопользовательские системы. Их ядра вообще вообще не поддерживают управление доступом. Для процессов, файлов и объектов ядра отсутствует понятие "владелец", соответственно нет и списков контроля доступа. Поэтому в 9x любой пользователь может сделать с системой что угодно. В-третих, он из другой области - защищенный режим работы процессора x86 и особенности управления памятью в Win9x.
Цитата(mVlad @ Feb 24 2007, 11:02)
а геморроя работать на WinXP с низкими привилегиями я лично не пожелаю никому...
А в чем геморрой-то? Для 90% задач админские права не нужны.
Давайте теорию написания троянов здесь не обсуждать.... Для этого есть другие места... всего кажется насчитывается 54 способа автозагрузки приложений при старте Windows...
Ваше толкование про Win9x посмешило - и в Win9x и в WinNT и в WinXP и в WinVista используется один принцип работы - основанный на архитектуре x86 процессоров. В том примере использовался некорректно подготовленный ей же самой шлюз прерывания - к списку пользователей это вообще НЕ ИМЕЕТ никакого отношения. Такой прием в настоящее время запросто может сработать (например, если сделать специальный драйвер) - только с тех пор Win стала более огромной - такой сложный (и гениальный) способ для захвата привелегий уже не нужен.
PS. Запись файлов в системные каталоги Windows реализована в WinVista - и в ней работает большая половина всех тех троянов, что написаны для WinXP - это не тот путь и ведет он в никуда !!! А работать в Vista - вообще пока стремно !!!, когда нужно бесконечно что-то подтверждать. А быть бесправным user'ом - на своей машине - это столкнуться с кучей проблем с программами, очень многие из которых просто будут неработоспособными. Так домашний комп превратится просто в гору плохо работающего железа - такой подход применим в организациях, где нет другого софта.
PPS. Лицензионная винда, регулярные обновления, отсутствие игр, ворованного софта и краков - это сделает жизнь Windows пользователям простой и великолепной.
Давайте теорию написания троянов здесь не обсуждать.... Для этого есть другие места... всего кажется насчитывается 54 способа автозагрузки приложений при старте Windows...
"огласите весь список, пожалуйста". Хотя нет, спрошу по другому - сколько способов автозагрузки останется, если запись в реестр, в каталог винды, program files, и профили других пользователей запрещена? Ну хотя бы один?
Цитата(mVlad @ Feb 26 2007, 10:44)
Ваше толкование про Win9x посмешило - и в Win9x и в WinNT и в WinXP и в WinVista используется один принцип работы - основанный на архитектуре x86 процессоров.
Архитектура ядер семейства Win9x/Me и семейства NT/2000/XP/Vista отличается радикально. Последние работают не только на x86, но и на других процессорах - Alpha, PPC.
Цитата(mVlad @ Feb 26 2007, 10:44)
В том примере использовался некорректно подготовленный ей же самой шлюз прерывания - к списку пользователей это вообще НЕ ИМЕЕТ никакого отношения. Такой прием в настоящее время запросто может сработать (например, если сделать специальный драйвер) - только с тех пор Win стала более огромной - такой сложный (и гениальный) способ для захвата привелегий уже не нужен.
Да? А можно ссылку хоть на один работающий на XP SP2 эксплойт? Такой, чтоб просто запустил экзешник - и вуаля - шелл с админскими правами. Последнее, что я помню - debploit, но это было в 2002 году.
Цитата(mVlad @ Feb 26 2007, 10:44)
PS. Запись файлов в системные каталоги Windows реализована в WinVista - и в ней работает большая половина всех тех троянов, что написаны для WinXP - это не тот путь и ведет он в никуда !!! А работать в Vista - вообще пока стремно !!!, когда нужно бесконечно что-то подтверждать.
Простите, что Вы имеете ввиду? Я не знаком с Vista. А управление доступом к файлам было реализовано еще 14 лет назад в NT3.1
Цитата(mVlad @ Feb 26 2007, 10:44)
А быть бесправным user'ом - на своей машине - это столкнуться с кучей проблем с программами, очень многие из которых просто будут неработоспособными. Так домашний комп превратится просто в гору плохо работающего железа - такой подход применим в организациях, где нет другого софта. PPS. Лицензионная винда, регулярные обновления, отсутствие игр, ворованного софта и краков - это сделает жизнь Windows пользователям простой и великолепной.
Назовите хотя бы одну программу, которой Вы пользуютесь постоянно, которая не работает без админских прав? Я еще раз утверждаю: 1) Не надо сидеть под админскими правами, когда без них можно обойтись. 2) Если обойтись нельзя, то их надо применять только на короткое время, и только для решения конкретной задачи ( установка, удаление, настройка программы).
"огласите весь список, пожалуйста". Хотя нет, спрошу по другому - сколько способов автозагрузки останется, если запись в реестр, в каталог винды, program files, и профили других пользователей запрещена? Ну хотя бы один?
А знаете, зачем вообще тогда комп нужен, если там работать ничего не будет ? А снять винчестер - и все проблемы вообще пропадут - трояну просто некуда будет писать и "прятать тело жирное в утесах". Полный список мест автозагрузки программ попробуйте узнать через Google.
Цитата
Архитектура ядер семейства Win9x/Me и семейства NT/2000/XP/Vista отличается радикально. Последние работают не только на x86, но и на других процессорах - Alpha, PPC.
О первом речь вообще не шла, вот второе - вообще вранье. Microsoft давным давно отказалась от поддержки иных систем команд, кроме x86. Если интересно, то даже Intel вынуждена была купить систему команд AMD64, потому, что MS просто сказала, что ДВУХ x86-64 систем команд не будет. Кстати, Intel в обмен на это отдала кажется SSE3.
Цитата
Да? А можно ссылку хоть на один работающий на XP SP2 эксплойт? Такой, чтоб просто запустил экзешник - и вуаля - шелл с админскими правами. Последнее, что я помню - debploit, но это было в 2002 году.
Это не ко мне, я этим не увлекаюсь... посмотрите на http://www.secblog.info, а в сводках частенько проскакивают ...
PS. Почему сидение на бесправной машине Вас от троянов не спасет, читайте выше - спорить с Вами бесполезно. Купите ворованный диск (накачаете кряков с инета) - и поставите программу с трояном под правами администратора - и НАФИГ тогда весь геморрой с добровольным лишением себя администраторских прав ? Если даже свойства экрана будут через одно место вызываться...
Ну вот сегодня еще одна локальная уязвимость найдена http://www.securitylab.ru/vulnerability/291581.php и так - несколько раз в месяц... я даже не читаю уже, пусть в MS читают, а я лишь обновления вовремя качаю... и сплю немножко спокойнее.
Троянские проги как правило криптуют и наши касперы и норды их не видят никак! В порниках лазать надо поменьше, да и не надо открывать письма типа "посмотри на меня голенькую или халявный инет и подобное этому" ! а удалить троя почти нереально, если не шаришь в компе-надо тупо переустановить ОС , далее создать "виртуальную машину" и вот на ней можно лазать в порники и открывать "голых баб" далее нажимаете удалить вирт машину и все в паряде комп не заражен!!!