Ответить Создать тему

Вирусные модификации... , Или как утекают пароли

Tessey
post Feb 22 2007, 21:12 
Отправлено #1


Активный

Сообщений: 2 262
Из: UnknowN



Всегда считал свой компьютер относительно защищенным: последние обновления системы и антивируса, firewall...

Но несколько дней назад попал в очень неприятную ситуацию... В одном из писем от знакомого адресата запустил файл. Открылось dos окошко и сразу закрылось... Как позже оказалось это была модификация вируса Pinch, умеющая похищать почти все пароли с компьютера и мгновенно отсылать их. Кav c последними базами не среагировал и firewall (Zone Alarm) ей не помеха, автоматом было нажато разрешить доступ и все мои данные ушли: в том числе все пароли из The Bat! (это удалось определить по появившимся разрешениям на доступ в firewall). Куда все это ушло определить не удалось... Позднее проверки утилитами Adaware и AVZ ничего не обнаружили: также ничего не добавилось в загрузку... Модифицированный файл сразу удалил...

Позднее ситация усугубилась: случайно увидел все мои пароли на одном из форумов в открытом виде: в сообщении, написанном от моего же имени... (хорошо хоть пароль от форума не был изменен и самому удалось поменять, как и на остальных форумах) sad.gif
Соответственно, где пароли почты в тот же день не поменял, были кем-то изменены...

На @chtts.ru пароль самостоятельно изменить нельзя, теперь жду подельника: в справочной говорят, что админ почтового сервера по выходным не дежурит sad.gif

Прочитать об этом вирусе можно здесь:

http://pinch3.com/static/update.html
http://forum.kaspersky.com/?showtopic=29671

Желаю остальным не попадать в подобные ситуации...

Сообщение отредактировал Tessey - Feb 22 2007, 21:13
Profile CardPM
  0/0  
yaghtn
post Feb 22 2007, 22:19 
Отправлено #2


Активный

Сообщений: 1 280



Цитата(Tessey @ Feb 22 2007, 21:12)
В одном из писем от знакомого адресата запустил файл. Открылось dos окошко и сразу закрылось...

Желаю остальным не попадать в подобные ситуации...
*



Бувает жо.

"Четайте почту отключившись от инета" smile.gif
Profile CardPM
  0/0  
mVlad
post Feb 22 2007, 23:02 
Отправлено #3


Активный

Сообщений: 2 827



А бывает еще файлы с *.hta расширением - тоже мерзость неприятная smile.gif. Кстати, как Вы определили, что в автозагрузку ничего не добавилось, знаете, существует кажется 44 способа автозагрузки программ (в т.ч. как драйвера, как dll, как IE Helper и т.д.), думаю, что Все такие способы даже не известны !!!
Profile CardPM
  0/0  
icemanoid
post Feb 22 2007, 23:11 
Отправлено #4


Постоялец

Сообщений: 328



Есть очень простое решение: принцип минимальных привилегий. Для домашнего компьютера его можно сформулировать так: не сидеть под админскими правами без нужды . Насколько я помню, XP предлагает при инсталляции сделать аккаунт для админа и для обычного пользователя.
Однако почему-то большинство предпочитает сидеть под админом, да еще и пароль пустой ставят. Так сделайте, как дяди из Микрософта рекомендуют!
Правда, если проги ставить из-под админского логина, то ярлыки-менюшки запишутся в профиль админа. Поэтому лучше поступать так:
1) Логинимся под админским аккоунтом
2) Заносим "обычного пользователя" в группу "администраторы"
3) Перелогиниваемся под "обычным пользователем"
4) Ставим прогу
5) Выносим пользователя из "администраторов" и перегружаемся
Несколько хлопотно, но лично я, например, ставлю чо-то новое не чаще раза в месяц.
Чтобы не перелогиниваться для вызова панели управления с админскими правами, можно создать ярлык на команду "runas /user:Administrator rundll32 shell32,Control_RunDLL"
Еще также хорошо на NTFS диске запретить обычному пользователю запись в каталоги winnt и program files. Также запретить ему управлять файеволлом ( у встроенного виндового это по умолчанию).
Можно пойти дальше и для тестирования подозрительных программ создать что-то типа юниксового "chrooted jail" - аккоунт, которому запрещен доступ ко всему, кроме своего домашнего каталога.

Сообщение отредактировал icemanoid - Feb 22 2007, 23:12
Profile CardPM
  0/0  
yaghtn
post Feb 22 2007, 23:27 
Отправлено #5


Активный

Сообщений: 1 280



Цитата(icemanoid @ Feb 22 2007, 23:11)
Есть очень простое решение: принцип минимальных привилегий...........
Еще также хорошо на NTFS диске запретить обычному пользователю запись в каталоги winnt и program files.

создать что-то типа юниксового
*


Твоими устами, да мёд бы пить smile.gif
А как же в аську файлы принимать?
Опять думать, "куда бы сохранить?"
Нее, думать - это не для нас, не для пользователей винды.

Profile CardPM
  0/0  
icemanoid
post Feb 23 2007, 00:26 
Отправлено #6


Постоялец

Сообщений: 328



Цитата(yaghtn @ Feb 22 2007, 23:27)
Твоими устами, да мёд бы пить smile.gif
А как же в аську файлы принимать?
Опять думать, "куда бы сохранить?"
*


А какая необходимость сохранять файлы из аськи в \winnt ? Заведи отдельное файлогноилище.

Цитата(yaghtn @ Feb 22 2007, 23:27)
Нее, думать - это не для нас, не для пользователей винды.


Эээ... а я тогда кто?
Profile CardPM
  0/0  
slon3
post Feb 23 2007, 16:53 
Отправлено #7


Завсегдатай

Сообщений: 464
Из: МСК-ЧЕБ



хеее люди тока ща проснулись laugh.gif такие штукенцие уже жавным давно есть
Profile CardPM
  0/0  
mVlad
post Feb 24 2007, 11:02 
Отправлено #8


Активный

Сообщений: 2 827



Цитата
Правда, если проги ставить из-под админского логина, то ярлыки-менюшки запишутся в профиль админа. Поэтому лучше поступать так:
1) Логинимся под админским аккоунтом
2) Заносим "обычного пользователя" в группу "администраторы"
3) Перелогиниваемся под "обычным пользователем"
4) Ставим прогу
5) Выносим пользователя из "администраторов" и перегружаемся


Это Вам не поможет нисколько - разок запустили трояна (а это может быть что угодно - начиная от документа Word и заканчивая красивым ScreenSaver'ом) под админом вы поплатитесь.

PS. Кроме того, есть понятие "понятие локальных привилегий", вот под Win9x был известный классический пример перехода программы из кольца 3 (уровень пользователя) в кольцо 0 - думаю, что и сейчас такого "добра" навалом, а геморроя работать на WinXP с низкими привилегиями я лично не пожелаю никому...
Profile CardPM
  0/0  
icemanoid
post Feb 25 2007, 20:30 
Отправлено #9


Постоялец

Сообщений: 328



Цитата(mVlad @ Feb 24 2007, 11:02)
Это Вам не поможет нисколько - разок запустили трояна (а это может быть что угодно - начиная от документа Word и заканчивая красивым ScreenSaver'ом) под админом вы поплатитесь.

Может быть я неточно выразился в первом письме, но под "не сидеть под админскими правами без нужды" я подразумевал также следствие "а когда сидишь под админом - не запускай что попало".
Это касается и красивых ScreenSaverов тоже, а особенно всяких скачанных из инета крякеров.
Теоретически троян может прописаться в автозагрузку и ждать пока админ залогинится, но без админских привилегий и запрете записи в /winnt и /program files это практически невозможно.
Конечно, абсолютной защиты не бывает, проблема "щит и меч" - вечна. Но данный способ значительно уменьшает вероятность пострадать при вирусной атаке. По крайней мере у меня не было ни одного случая. Единственное что я помню - в локалке завелся MsBlaster, бомбил комп кривыми пакетами, отчего у компа падали сетевые службы, но заразить комп ему не удалось.
Цитата(mVlad @ Feb 24 2007, 11:02)
PS. Кроме того, есть понятие "понятие локальных привилегий", вот под Win9x был известный классический пример перехода программы из кольца 3 (уровень пользователя) в кольцо 0 - думаю, что и сейчас такого "добра" навалом,

Этот пример неудачный.
Во-первых, сейчас уже далеко не 9х год.
Во-вторых, Win9x - однопользовательские системы. Их ядра вообще вообще не поддерживают управление доступом. Для процессов, файлов и объектов ядра отсутствует понятие "владелец", соответственно нет и списков контроля доступа. Поэтому в 9x любой пользователь может сделать с системой что угодно.
В-третих, он из другой области - защищенный режим работы процессора x86 и особенности управления памятью в Win9x.
Цитата(mVlad @ Feb 24 2007, 11:02)
а геморроя работать на WinXP с низкими привилегиями я лично не пожелаю никому...

А в чем геморрой-то? Для 90% задач админские права не нужны.
Profile CardPM
  0/0  
mVlad
post Feb 26 2007, 10:44 
Отправлено #10


Активный

Сообщений: 2 827



Давайте теорию написания троянов здесь не обсуждать.... Для этого есть другие места... всего кажется насчитывается 54 способа автозагрузки приложений при старте Windows...

Ваше толкование про Win9x посмешило - и в Win9x и в WinNT и в WinXP и в WinVista используется один принцип работы - основанный на архитектуре x86 процессоров. В том примере использовался некорректно подготовленный ей же самой шлюз прерывания - к списку пользователей это вообще НЕ ИМЕЕТ никакого отношения.
Такой прием в настоящее время запросто может сработать (например, если сделать специальный драйвер) - только с тех пор Win стала более огромной - такой сложный (и гениальный) способ для захвата привелегий уже не нужен.

PS. Запись файлов в системные каталоги Windows реализована в WinVista - и в ней работает большая половина всех тех троянов, что написаны для WinXP - это не тот путь и ведет он в никуда !!! А работать в Vista - вообще пока стремно !!!, когда нужно бесконечно что-то подтверждать. А быть бесправным user'ом - на своей машине - это столкнуться с кучей проблем с программами, очень многие из которых просто будут неработоспособными. Так домашний комп превратится просто в гору плохо работающего железа - такой подход применим в организациях, где нет другого софта.

PPS. Лицензионная винда, регулярные обновления, отсутствие игр, ворованного софта и краков - это сделает жизнь Windows пользователям простой и великолепной.
Profile CardPM
  0/0  
icemanoid
post Feb 26 2007, 15:30 
Отправлено #11


Постоялец

Сообщений: 328



Цитата(mVlad @ Feb 26 2007, 10:44)
Давайте теорию написания троянов здесь не обсуждать.... Для этого есть другие места...  всего кажется насчитывается 54 способа автозагрузки приложений при старте Windows...

"огласите весь список, пожалуйста". Хотя нет, спрошу по другому - сколько способов автозагрузки останется, если запись в реестр, в каталог винды, program files, и профили других пользователей запрещена? Ну хотя бы один?

Цитата(mVlad @ Feb 26 2007, 10:44)
Ваше толкование про Win9x посмешило - и в Win9x и в WinNT и в WinXP и в WinVista используется один принцип работы - основанный на архитектуре x86 процессоров.

Архитектура ядер семейства Win9x/Me и семейства NT/2000/XP/Vista отличается радикально. Последние работают не только на x86, но и на других процессорах - Alpha, PPC.

Цитата(mVlad @ Feb 26 2007, 10:44)
В том примере использовался некорректно подготовленный ей же самой шлюз прерывания - к списку пользователей это вообще НЕ ИМЕЕТ никакого отношения. Такой прием в настоящее время запросто может сработать (например, если сделать специальный драйвер) - только с тех пор Win стала более огромной - такой сложный (и гениальный) способ для захвата привелегий уже не нужен.

Да? А можно ссылку хоть на один работающий на XP SP2 эксплойт? Такой, чтоб просто запустил экзешник - и вуаля - шелл с админскими правами. Последнее, что я помню - debploit, но это было в 2002 году.

Цитата(mVlad @ Feb 26 2007, 10:44)
PS. Запись файлов в системные каталоги Windows реализована в WinVista - и в ней работает большая половина всех тех троянов, что написаны для WinXP - это не тот путь и ведет он в никуда !!! А работать в Vista - вообще пока стремно !!!, когда нужно бесконечно что-то подтверждать.

Простите, что Вы имеете ввиду? Я не знаком с Vista. А управление доступом к файлам было реализовано еще 14 лет назад в NT3.1

Цитата(mVlad @ Feb 26 2007, 10:44)
А быть бесправным user'ом - на своей машине - это столкнуться с кучей проблем с программами, очень многие из которых просто будут неработоспособными.
Так домашний комп превратится просто в гору плохо работающего железа - такой подход применим в организациях, где нет другого софта.
PPS. Лицензионная винда, регулярные обновления, отсутствие игр, ворованного софта и краков - это сделает жизнь Windows пользователям простой и великолепной.

Назовите хотя бы одну программу, которой Вы пользуютесь постоянно, которая не работает без админских прав?
Я еще раз утверждаю:
1) Не надо сидеть под админскими правами, когда без них можно обойтись.
2) Если обойтись нельзя, то их надо применять только на короткое время, и только для решения конкретной задачи ( установка, удаление, настройка программы).

Profile CardPM
  0/0  
mVlad
post Feb 26 2007, 19:43 
Отправлено #12


Активный

Сообщений: 2 827



Цитата
"огласите весь список, пожалуйста". Хотя нет, спрошу по другому - сколько способов автозагрузки останется, если запись в реестр, в каталог винды, program files, и профили других пользователей запрещена? Ну хотя бы один?

А знаете, зачем вообще тогда комп нужен, если там работать ничего не будет ? А снять винчестер - и все проблемы вообще пропадут - трояну просто некуда будет писать и "прятать тело жирное в утесах". Полный список мест автозагрузки программ попробуйте узнать через Google.

Цитата
Архитектура ядер семейства Win9x/Me и семейства NT/2000/XP/Vista отличается радикально. Последние работают не только на x86, но и на других процессорах - Alpha, PPC.

О первом речь вообще не шла, вот второе - вообще вранье. Microsoft давным давно отказалась от поддержки иных систем команд, кроме x86. Если интересно, то даже Intel вынуждена была купить систему команд AMD64, потому, что MS просто сказала, что ДВУХ x86-64 систем команд не будет. Кстати, Intel в обмен на это отдала кажется SSE3.

Цитата
Да? А можно ссылку хоть на один работающий на XP SP2 эксплойт? Такой, чтоб просто запустил экзешник - и вуаля - шелл с админскими правами. Последнее, что я помню - debploit, но это было в 2002 году.

Это не ко мне, я этим не увлекаюсь... посмотрите на http://www.secblog.info, а в сводках частенько проскакивают ...

PS. Почему сидение на бесправной машине Вас от троянов не спасет, читайте выше - спорить с Вами бесполезно. Купите ворованный диск (накачаете кряков с инета) - и поставите программу с трояном под правами администратора - и НАФИГ тогда весь геморрой с добровольным лишением себя администраторских прав ? Если даже свойства экрана будут через одно место вызываться...
Profile CardPM
  0/0  
mVlad
post Feb 27 2007, 09:22 
Отправлено #13


Активный

Сообщений: 2 827



Ну вот сегодня еще одна локальная уязвимость найдена
http://www.securitylab.ru/vulnerability/291581.php
и так - несколько раз в месяц... я даже не читаю уже, пусть в MS читают, а я лишь обновления вовремя качаю... и сплю немножко спокойнее.
Profile CardPM
  0/0  
voron
post Mar 15 2007, 03:03 
Отправлено #14


Птица Вольная

Сообщений: 323
Из: Россия



Троянские проги как правило криптуют и наши касперы и норды их не видят никак!
В порниках лазать надо поменьше, да и не надо открывать письма типа "посмотри на меня голенькую или халявный инет и подобное этому" ! а удалить троя почти нереально, если не шаришь в компе-надо тупо переустановить ОС , далее создать "виртуальную машину" и вот на ней можно лазать в порники и открывать "голых баб" далее нажимаете удалить вирт машину и все в паряде комп не заражен!!!

--------------------
Люди делают то, что им нравится!
Profile CardPM
  0/0  

ОтветитьTopic Options
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
Быстрый ответ
Кнопки кодов
 Расширенный режим
 Нормальный режим
    Закрыть все тэги


Открытых тэгов: 
Введите сообщение
Смайлики
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
smilie  smilie  smilie  smilie  smilie 
         
Показать все

Опции сообщения