Не забывайте про ReadyBoost-флешки / Вирусы (и антивирусы) / Хабрахабр

Не забывайте про ReadyBoost-флешки

История произошла не со мной, но при мне — в буквальном смысле, в соседней комнате. Публикуется с позволения виновника/главного участника/а также главного пострадавшего.

Ситуация проста до не хочу. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven. AVG Internet Security смог только лишь промямлить: «Сударь, в системном процессе троян!» Точнее, два трояна: Win32/Virut и Win32/Heur. Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe. При следующем запуске, система отказывается стартовать explorer, как результат — отсутствующий рабочий стол.

Дальше интереснее. Рассматриваем, что пишут интернеты про данные троянцы. Первый (Virut) удаляется с помощью замысловатых remover'ов от различных контор: той же AVG (rmvirut), Symantec, Dr.Web (с их CureIt!). Со вторым сложнее, точнее — никак. Обещают конец света и полный апокалипсис сегодня. Под защищённым режимом была сделана попытка излечиться от Virut'а, cureit нашёл порядка 600+ (sic!) объектов (в основном в системных директориях), которые попытался (и вроде даже) вылечить.

Повторная перезагрузка в обычный режим показала, что действия почти бесполезны. Сайты всех антивирусных программ заблокированными так и остались. SpywareDoctor, который, было, хотел взяться за Heur, просто не смог скачать базы. Как итог, самые важные данные были сохранены на флешке. В тот момент заражёнными были файлы только на системном диске.

Далее идёт загрузка с установочного диска Vista'ы, удаление системного раздела, его ресоздание и форматирование. Ну и установка родной для ноутбука VHP. Далее вроде бы всё успокоилось: шёл обычный процесс переустановки системы — скачивание update'ов, установка драйверов, был поставлен Norton 360, который не хотел работать под Seven (слетала онлайн-защита Sonar из-за отсутствия поддержки новой системы — этот косяк поправили в вышедшей на днях 3.5 версии Norton'а). Вроде бы ничего не предвещало беды…

Но в один момент обновления системы с Microsoft'а скачиваться просто отказались — Центр обновления сетовал на невозможность подключиться к хранилищу заплаток. Последовала попытка открыть сайт какого-нибудь из антивирусов — ноль ответа. В тоже время Norton молчит и «тупит глазки».

Как оказалось, это была не его вина. Он пытался сделать всё что мог… при отсутствии всех своих баз, которые чуть раньше просто не смог слить с официального сайта Symantec'а. В то же время ни в автозагрузке, ни в реестре, ни в процессах ничего вроде бы лишнего не наблюдалось. Троянец сидел, вернее восседал, глубоко и с кривой ухмылкой.

Причиной всех проблем свежевосставшей из пепла системы оказалась SD-шка ReadyBoost, которая торчала в card-reader'е под Windows Seven, а потом продолжила работать и творить зло уже под новой системой. Про неё просто забыли. Как следствие, в подобных ситуациях не забывайте вытаскивать все носители и передатчики информации из заражённой системы.

Update: благодаря активности Хабрапользователей, у меня появилась возможность пригласить на ресурс виновника суматохи и пострадавшего Yurgeno. Я думаю, он с радостью ответит на ваши вопросы и прояснит некоторые неточности, которые я мог допустить во время пересказа событий.

+41

12 сентября 2009, 01:30

DonRamon

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

комментарии (143)

+28

Tails 12 сентября 2009, 01:34 #

Ну и ужасы вы тут рассказываете) Нельзя же такое на ночь!

DonRamon 12 сентября 2009, 01:36 # ↑

Самое обидное, что и у меня и у товарища — достаточный опыт. Всё равное, не сразу же сообразили. Можно было спасти больше информации и избежать второй переустановки системы.

Tails 12 сентября 2009, 01:38 # ↑

Ошибки совершают все, независимо от опыта :)

DonRamon 12 сентября 2009, 01:40 # ↑

Отрицательный результат — тоже результат, да.

wearbo 12 сентября 2009, 22:23 # ↑

И меня дернуло топик прочитать ;) Теперь на пару, Tails, будем до рассвета куковать без сна :)

ad_Wolf 12 сентября 2009, 01:37 #

ну конечно, на флешке в режиме Ready Boost ведь зранится кеш последних запущеных exe'шников…

DonRamon 12 сентября 2009, 01:39 # ↑

То-то и оно, можно было вспомнить. Просто в общем азарте борьбы за данные была допущена неприятная и глупая оплошность и, если угодно, халатность.

+34

Paul 12 сентября 2009, 02:27 #

А вот нефиг работать под админом ещё и с отключенным UAC.

Mad_Fish 12 сентября 2009, 14:00 # ↑

Когда я вижу советы для чайников, мол, отключите UAC, хочется взять и уе**ть.
UAC — ваш друг, %username%!

den_rad 12 сентября 2009, 16:16 # ↑

Я понял UAC после того, как поработал с sudo. А до этого думал, что ужастная вещь.

Zharskiy 13 сентября 2009, 10:42 # ↑

UAC курит по сравнению с sudo

alexxxst 13 сентября 2009, 16:28 # ↑

В семерке UAC даже настраивать можно, зря вы так :)

khizhaster 12 сентября 2009, 02:51 #

Ну вы поняли.
Каждый месяц появляются статьи «что и ка делать», вы же в разрез с ними пускаете первый же файлик с пиратбея ;-) «Респект», что сказать, смелый человек :) Или вам думалось, что пиратбей это очаг честности? Дык явно же сказано же, бухта, да еще и пиратов.

FloppyFormator 12 сентября 2009, 14:46 # ↑

Вообще-то, автор заразился всего лишь открыв каталог с файлом. Здравомыслящему человеку и в голову бы не пришло, что это опасно.

–2

khizhaster 12 сентября 2009, 14:50 # ↑

Здравомыслящий человек открывал бы «такие» архивы только в виртуалке, если уж на то пошло.

НЛО прилетело и опубликовало эту надпись здесь

FloppyFormator 12 сентября 2009, 15:23 # ↑

Не, это уже паранойя. _{Достаточно чрута или джейла.}

Во всех книжках по освоению работы с ПК написано: чтобы активировать вирус (при условии отсутствия уязвимостей), нужно запустить программу, его содержащую. Автор программу не запускал, значит, система содержала критические уязвимости, а при таком раскладе виртуалка не спасёт.

microuser 13 сентября 2009, 03:38 # ↑

А вы верите автору? Я например не верю, пусть кинет мне этот файл, я посмотрю на него в проводнике, и более чем полностью уверен, что ничего не произойдет.

Yurgeno 13 сентября 2009, 16:40 # ↑

Вас никто не заставляет верить, смысл поста заключается не в описании уязвимости, а в напоминании о внимательном отношении к системе и о том, что нельзя забывать ни о каких возможностях инфицирования.

+12

me76 12 сентября 2009, 16:16 # ↑

более того, здравомыслящему и в голову не пришло бы пользоваться системой, способной заразиться от простого просмотра содержимого каталога :)

Zharskiy 13 сентября 2009, 13:57 # ↑

эта пять!

liveder 12 сентября 2009, 03:49 #

Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.

это слегка смущает… такое правда существует?..

Boba_Fett 12 сентября 2009, 06:27 # ↑

В виндовс и не такое бывает, хех. Что-то много в последнее время критических уязвимостей в семёрке и висте обнаружилось. Одна дырявая самба чего стоит.

romx 12 сентября 2009, 11:42 # ↑

«дырявая самба» это не в Windows ;)

payalnic 13 сентября 2009, 19:20 # ↑

Ну перепутал человек термины «samba» и «SMB», суть то от этого не меняется.
g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html

DonRamon 12 сентября 2009, 09:25 # ↑

Как видите :)

Bahusss 12 сентября 2009, 10:36 # ↑

Что то я ничего не вижу в гугле по этому поводу.

А есть ссылки о подтверждении этой уязвимости для Windows 7? Эта уязвимость (если она существует) уже должна была всплыть и получить статус критической.

Мне, честно говоря, с трудом верится что заражение машины произошло именно так.

lamaz 12 сентября 2009, 12:00 # ↑

Было такое дело с PDF файлами под Vista. Фишка в том, что система их подгружает для отображения эскизов в проводнике, через это вирусы и пролезали. Видимо похожую багу и для exe нашли.

lamaz 12 сентября 2009, 12:23 # ↑

Извините, не под Vista, а под XP.

Bahusss 12 сентября 2009, 17:49 # ↑

это не бага винды, это бага pdf-хэндлера (для эксплорера), который поставляется Adobe.

zanudische 12 сентября 2009, 12:27 # ↑

Use FAR, Luke!

Zharskiy 13 сентября 2009, 14:43 # ↑

+1
и не сиди под админом

Bahusss 12 сентября 2009, 17:43 # ↑

> Видимо похожую багу и для exe нашли.

Ну и где об этом информация? Вот нашли багу в смб2 — все IT-сми завалены этой новостью, а нашли багу под Windows 7 (!) при которой запуск бинарного кода происходит без запуска самого экзешника (!) и тишина. Хотя сама бага (если она есть) нааамного страшнее, чем эксплоит для смб2.

У меня был вопрос к автору: с чего он решил, что заражение произошло именно тем путём, который он описал? Откуда он это взял? Или просто для красного словца?

lamaz 12 сентября 2009, 19:07 # ↑

Возможно ещё услышим, вполне может быть, что автор попал в первую волну заражённых через ещё неизвестную уязвимость. И опять же не факт, что виновата Windows 7. Точной картины нет, гадать бесполезно, может автор прояснит, мне самому интересно стало.

khizhaster 12 сентября 2009, 14:58 # ↑

Была бага с иконками .ico, здесь же иконка лежала внутри бинарника, как ресурс, полагаю, что при просмотре винда извлекла иконку и наткнулась на эксплойт.

Bahusss 12 сентября 2009, 17:36 # ↑

Бага с иконками заключалась в том, что GDI неправильно обрабатывала файлы курсоров в формате .ani при наведении на них мышкой, и иконка приложения здесь вообще не причем.

aik 12 сентября 2009, 04:52 #

Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe.
А как оно смогло? Или UAC был отключен?

DonRamon 12 сентября 2009, 09:24 # ↑

Да, выключенный UAC и администратор. Но это на совести пострадавшего, да и поздно после драки кулаками трясти.

aik 12 сентября 2009, 09:48 # ↑

Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
Да не, я это не с целью укора, а просто для понимания происходящего.
Просто рассказывают много историй про злобных вирусов, обходящих UAC и т.п., а в итоге оказывается, что юзер сам все отключил (ну или не сам, а какой-нибудь «знакомый программист»).

DonRamon 12 сентября 2009, 09:58 # ↑

Другое дело, что суть топика не в том, что вирус погробил кучу информации — а про напоминание о ReadyBoost. Именно с этой целью он и писался.

Paul 12 сентября 2009, 11:47 # ↑

Если бы не пренебрежение элементарными правилами безопасности — вы бы про ReadyBoost и не вспомнили. Так что топик нужно было назвать «Не забывайте про UAC — он защитит вашу ReadyBoost-флешку».

Silverstorm 12 сентября 2009, 05:28 #

Хехе — в следуйщий раз свой варез будете вначале под вмварей запускать.

DonRamon 12 сентября 2009, 09:26 # ↑

В конце концов, да было желание посмотреть, как оно будет вести себя в «закрытой» территории, но учитывая количество заморочек — товарищ плюнул, его право.

ivlis 12 сентября 2009, 10:57 # ↑

Хехе, умные вирусы под wmware не запустятся :)

snch 12 сентября 2009, 14:46 # ↑

почему?

ivlis 12 сентября 2009, 14:47 # ↑

Чтобы их сложнее было отлавливать.

snch 12 сентября 2009, 14:55 # ↑

не совсем корректно спросил: я хотел узнать — как wmware это делает?

ivlis 12 сентября 2009, 14:57 # ↑

Не wmware, а вирус. Практически всегда можно узнать под виртуалкой запущена система или нет. Так вот вирусы это проверяют и сидят тихо.

youROCK 12 сентября 2009, 15:09 # ↑

К сожалению, использование VMWare или других средств виртуализации не спасает от вирусов — не все такие «умные», чтобы отказываться работать под виртуальной виндой :). К тому же, виртуальная винда — всё равно винда, а значит она тоже может стать хорошим узлом для какого-нибудь ботнета.

Odes 12 сентября 2009, 15:42 # ↑

Зато легко отключается и откатывается.

–1

analytic 12 сентября 2009, 10:54 #

Отличный пример реализации принципа — Зло (воровство) должно быть наказано.

freeAKK 12 сентября 2009, 22:56 # ↑

plug-in для Photoshop'а, и не факт, что ворованный

analytic 13 сентября 2009, 10:10 # ↑

Ага, ну чего же у автора плагина не был скачан :), а с варезного ресурса.
Давайте детский сад не будем устраивать.

ivlis 12 сентября 2009, 11:00 #

Интересно, что нужно сделать MS, чтобы отучить своих юзеров сидеть под админом? Если только встроить в комп биту и бить по голове за каждый час под админом =)

Начинающие *nix юзеры обычно быстро отучаются «непечатающей» строчкой. :)

ivlis 12 сентября 2009, 15:27 # ↑

echo "test... test... test..." | perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'

FloppyFormator 12 сентября 2009, 15:27 # ↑

lurkmore.ru/Патч_Бармина

WiseLord 12 сентября 2009, 11:08 #

Есть в винде такая скрытая фича — автозапуск со сменных носителей можно отключить через реестр.
Но Microsoft-у уже давно нужно было внедрить другую фичу — возможность _включить_ автозапуск со сменных носителей, отключенный по умолчанию. Сколько людей пострадало от «вирусов на флешке», никто не знает.

И не столько, пожалуй, жаль системы, сколько впустую потраченного времени.

DonRamon 12 сентября 2009, 11:14 # ↑

Вы несколько не поняли ситуацию — дело не в обычной флешке, файлы с которых я уже давным давно не открываю из проводника, дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.

ivlis 12 сентября 2009, 11:59 # ↑

Да, ну допустим экзешники остались. И с чего это они запустились? Или вы редибуст опять включили?

A1lfeG 12 сентября 2009, 12:49 # ↑

Сомневаюсь я, что readyBoost не проверяет хотя бы таймстампы exe'шников. Иначе при обновлении программ была бы такая каша что ппц.

Paul 12 сентября 2009, 11:50 # ↑

Они вроде недавно выпускали патч, отключающий авторан по-умолчанию.

WiseLord 12 сентября 2009, 12:20 # ↑

А как же тогда «пользователи» будут программы будут устанавливать?
Ведь привыкли же — вставил диск, нажал Install и пошло-поехало. А вручную это ж надо знать ещё, какой из файлов на диске запускать.

IGHOR 12 сентября 2009, 22:02 # ↑

Говорят что Microsoft выпустит обновление для XP,Vista,7 что отключит авторан именно Съемных носителей. CD-DVD авторан остается на месте.

Busla 12 сентября 2009, 12:27 # ↑

да ещё с Висты не там никакого «авторана по умолчанию»

Zharskiy 13 сентября 2009, 14:52 # ↑

ждем звонков «DVD не работает, наверное поломался!»

Busla 13 сентября 2009, 18:22 # ↑

Не надо сарказма: система предлагает выбор, что делать с обнаруженным носителем: запускать setup.exe (или что там прописано), открыть в проводнике или ничего не делать. По умолчанию ничего не запускается.

Paul 12 сентября 2009, 11:52 # ↑

Зачем вы троллите? Проблема ведь не в ОС, а в людях, которые можно сказать вручную заражают себе машины, отключив предварительно все системы защиты от «выстрелов себе в ногу».

zanudische 12 сентября 2009, 12:36 # ↑

Если бы у людей была полезная привычка проверять антивирем всё скачанное сразу после скачивания — у них было бы гораздо меньше геморроя даже под админом без UAC.

Hikedaya 12 сентября 2009, 21:09 # ↑

Согласен лишь частично. Антивирус тоже не панацея от зловредов. Наверное, вам доводилось читать о последней истерии по поводу угонов номеров ICQ через файл Frogs.exe. Так вот — зловред в том файле (Hoax.Win32.IMPass.am по терминологии Касперского) у меня определился только 8 сентября (стащил себе из чистого интереса, зная, что там зловред). Сам же вирус к этому моменту уже пару дней по Сети гулял. Потому — только ограниченная учетная запись вместе с UAC.

zanudische 12 сентября 2009, 21:26 # ↑

Я ж не говорил, что «совсем не будет геморроя» :))
Понятно, что без админских прав безопаснее, так и это не панацея… Снесет зловредина %HOME%, и много вам будет радости от того, что не под админом сидели?

Hikedaya 12 сентября 2009, 22:28 # ↑

Ну, лично мне — много. потому что в %Home% хранятся только настройки программ, которые особой ценности не представляют. Все документы вне профиля лежат, старая привычка ;).
Но это я, а вот в тех же компаниях несколько иначе, тут вы правы…

zanudische 12 сентября 2009, 23:16 # ↑

Хе. Достаточно того, что они доступны на запись/удаление с правами вашего аккаунта. ЕМНИМС, были какие-то заразы, шифровавшие файло везде, где дотянутся, и просившие денег за расшифровку.

Hikedaya 13 сентября 2009, 09:31 # ↑

Были, GPCode тому пример. И этим, правда, совершенно пофиг, в домашней папке файл лежит или на сетевом диске :(

freeAKK 12 сентября 2009, 22:59 # ↑

не всегда помогает. увы, можно такое скачать, чего ещё в текущих базах вирей не будет

Paul 13 сентября 2009, 13:58 # ↑

Ниже уже ответили про VBS.Folder.

Zert 12 сентября 2009, 17:45 # ↑

Проблема не в ОС, а в людях, которые её пишут ;)

Fragster 12 сентября 2009, 12:14 #

на заметку — в 90% заблокированные сайты разблокируются удалением строк с их упоминанием из файлика hosts (не помню, где он в виндовс, поиск по файла в папке виндовс даст что нужно)

Fragster 12 сентября 2009, 12:16 # ↑

также — простейшие фишинг-атаки лечатся — когда в этом файле прописаны какие-нибудь одноклассники или вконтакте — при попытке зайти на эти сайты — в лучшем случае — ваши кукизы улетают к злоумышленнику, в худшем — ваши не столь продвинутые юзеры отправляют СМС за 300-500 рублей для «разблокирования» аккаунта. ну и пароль от ресурса улетает.

sshz 12 сентября 2009, 14:40 # ↑

на заметку — в 90% антивирусы которые вирус не дает запускать, начинают запускатся после переименовывания экзешника антивируса.

hubhito 12 сентября 2009, 17:36 # ↑

windows/system32/drivers/etc/hosts
но это как бы самый простой для вирусов способо, но не самый надежный — «лучшие представители» действуют иначе.

Busla 12 сентября 2009, 12:37 #

CureIt! — не «замысловатый remover», а полноценный сканер. Запускать антивирусные утилиты на заражённой системе — верх наивности, надо бы загрузить чистую систему. Например, с того же установочного диска Vista или Windows 7.

freeAKK 12 сентября 2009, 23:02 # ↑

или снять винт и поставить на другую машину и на ней проверить… но для ноутов, например, не сильно подходит

Inskin 12 сентября 2009, 23:22 # ↑

Для ноутов можно LiveCD или LiveFlashUSB использовать :)

Busla 13 сентября 2009, 10:54 # ↑

Ну да — мы простых путей не ищем ;-)

freeAKK 13 сентября 2009, 11:02 # ↑

ну, это как раз простой, т.к. на собственном компе уже есть антивирус с новенькими базами.
Плюс, можно удалить руками, если знаешь как (например, нашёл hawto по удалению в интернете)

Busla 14 сентября 2009, 11:13 # ↑

1) если это компьютер того же хозяина — там скорее всего тот же вирус; если другого — так вообще боязно — сколько там заразы среди вареза накачано.
2) есть шанс заразить этот самый второй компьютер
3) конкретно по этой статье — флешка так бы и осталась непроверенной

Как говорится: у каждой сложной задачи есть масса простых неправильных решений ;-)

freeAKK 14 сентября 2009, 19:19 # ↑

2) ну, это надо постараться ещё =) главное не загрузиться случаем с него

shahbazyan 12 сентября 2009, 12:42 #

>>Сайты всех антивирусных программ заблокированными так и остались.

Знаю я эту блокировку. %WINDIR%\system32\driver\etc\hosts — туда не смотрели?

DonRamon 12 сентября 2009, 12:44 # ↑

В первую очередь — пусто. Троянец умело перехватывал запросы.

selfdepend 12 сентября 2009, 12:45 #

Напомнило анекдот про парня который сломал сервер, но был не хакер.

egorinsk 12 сентября 2009, 12:51 #

Да сами и виноваты.

Используете експлорер, не отключаете авторан, сидите под админом? — Ну дык и не жалуйтесь что заразились, сами себе злобные буратины.

// Вот не лень систему и программы потом переустанавливать.

MAD_Kolia 12 сентября 2009, 13:15 # ↑

А чего вы не написали «пользуете виндовс»? По-моему вы это забыли.

JadeSpirit 12 сентября 2009, 13:39 # ↑

Семёрка — достаточно неплохая ОСь. Я лично фанат линукса, но не могу не признать это. Просто не нужно давать чему попало права на исполнение, а тем более отключать UAC.
Хотя лучший вариант — не качать подозрительные файлы, сканировать их сразу после закачки (даже не глядя) или хотя бы проверять комменты на том же «пиратбее», там обычно пишут про вирусы в раздаче. Тем более такие, гробящие систему намертво.

ivlis 12 сентября 2009, 14:50 # ↑

Тут один чудак откомпилил питон и установил новую версию в /usr вопреки желанию пакетного менаджера, естественно система практически умерла. Не винде дело, любую систему можно загубить.

Zert 12 сентября 2009, 17:48 # ↑

В «нормальных операционных системах» хотя бы можно понять, почему что-то не работает. Это не различные подземные стуки в винде, лечащиеся переустановкой системы.

ivlis 12 сентября 2009, 21:39 # ↑

С этим тяжело не согласится :)

freeAKK 12 сентября 2009, 23:03 # ↑

ага. а ещё пользуетесь компьютером. сами виноваты!

Kapun 12 сентября 2009, 13:32 #

понимаю, что речь не о USB, но всёравно напомню про программу USBVaccine которая херит autorun.inf на флешке, делая невозможным его удаление или изменение, легко, просто и полезно.

recni4ka 13 сентября 2009, 01:52 # ↑

Только с NTFS «вакцина» не дружит. =\

Glow 12 сентября 2009, 13:45 #

Да-да, во всём виноваты эти ReadyBoost-флэшки, а не запуск непонятно откуда взятых файлов под рутом да ещё и с отключённым UAC…
PS Это я к тому, что корень проблемы — не ReadyBoost.

DonRamon 12 сентября 2009, 16:04 # ↑

В раздаче было порядка 100 сидеров.

Denai 12 сентября 2009, 18:30 #

Kaspersky пробовали? ИМХО помог бы…

myiworm 12 сентября 2009, 20:00 # ↑

может. Инфа 100%

myiworm 13 сентября 2009, 16:53 # ↑

теоретически может. Например переполнение в каком-либо компоненте, связанном с просмотром иконок файлов.

myiworm 15 сентября 2009, 09:35 # ↑

Хреново вы следите за сектором безопасности IT, я вам так скажу.

Переполнения были и в ICO компонентах, и в длинных именах файлов, и в нестандартных кодировках.
И всё это ломало explorer. Сомневаетесь?

Нате:

Инфа 100%

myiworm 15 сентября 2009, 09:39 # ↑

хабр съел линки.

www.us-cert.gov/cas/techalerts/TA07-089A.html

In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Consequently, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.

И не так это давно было.

myiworm 15 сентября 2009, 09:43 # ↑

как будет время. я вам эксплуатацию покажу на vmware.

myiworm 15 сентября 2009, 14:29 # ↑

Начнем с того, что «Windows Explorer не может запустить исполняемый файл без вашего ведома. Это невозможно.»
Всё-таки возможно, не так ли?

Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?
«за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.
зиродеи для win7 вполне возможны хотя бы потому, что код каждой вынды не переписывается с нуля, а тянет часть кода с родиительских платформ, оттого и наличие общей, но ещё не пропатченной дырки теоретически впоолне возможно.
Суслика не видно, а он есть. Так то.

myiworm 15 сентября 2009, 19:16 # ↑

закончим на этом.

Yurgeno 13 сентября 2009, 17:02 # ↑

й папке был только .exe файл

Yurgeno 13 сентября 2009, 17:04 # ↑

В системе установлен Acrobat Pro 9.1.3 c последними обновлениями, в скачанной папке был только .exe файл.

Hikedaya 12 сентября 2009, 20:51 #

Прочитал весь пост, все комментарии. Вопрос к автору.
1. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
2. дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
Ключевые слова — кэш запущенных экзешников. Если данный плагин не запускался, то, исходя из всей предоставлнной информации, система была поражена еще ДО скачивания с пиратбэй. Вы не рассматривали такую возможность?

IGHOR 12 сентября 2009, 22:09 # ↑

UAC это хорошо. В нем только «мерцание скрина» (затемнение) глаза раздражает, могли бы сделать плавные затухания, было бы лучше, и вреда глазам (если он есть) было бы меньше.

IGHOR 12 сентября 2009, 22:15 # ↑

Извиняюсь, случайно в офтоп попал :)
Сообщение направлялось к общей теме.

EternityMan 12 сентября 2009, 23:52 # ↑

Не помню, как в Висте, но в 7-ке затемнение отключается сдвиганием ползунка вниз на 1 деление. На эффективности реагирования UAC это не сказывается.

Inskin 12 сентября 2009, 23:24 # ↑

По пункту 2 — я так понял, что вирус заразил системные файлы, а уже они закэшировались на SD, и там и остались. То есть там плагина заражённого не было, на карте.

Yurgeno 12 сентября 2009, 23:39 # ↑

Прокомментирую как непосредственный участник процесса инфицирования (мой ноутбук был). Экcплоит в зараженном вышеописанными вирусами файле использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом. Подробную информацию о уязвимости на безграничных просторах интернета обнаружить не удалось. Есть информация о возможности инъекции в данный процесс в WinXP в некоторых случаях обращения к зараженному файлу или папке, но эта уязвимость была полностью устранена специалистами Microsoft в накопительном обновлении безопасности, вошедшим в SP2 для WinXP. Далее процесс выглядел следующим образом, инфицирование tacsmgr и большинства запущенных процессов. Экплоит сканировал менеджер задач и инфицировал исполняемые файлы. Затем инфицировал все найденные .exe в системных папках. Смысл работы до классического прост. Внедрение вредноносного кода, мутация (изменение) сигнатур, создание себе подобной мутированной копии, дальнейшее инфицирование. Поскольку первый зараженный процесс explorer, при обращении пользователя к папке, содержащей .exe файлы, следовало немедленное инфицирование всех этих файлов в папке. Дальнейшую работу вируса не имеет смысла описывать, принцип их работы всем известен. Моя ошибка, как пользователя, состояла не в самом факте заражения, и не в беспомощности перед такой заразой, а в простой ошибке с флешкой. Поскольку система использовала данную карту памяти как ReadyBoost, в ходе работы на ней происходило кэширование .exe файлов, которые уже были заражены. После форматирования диска С, и установки свежей системы, я совершенно забыл про флешку, которая была в слоте, и к которой, разумеется, сразу стала обращаться свежеустановленная система. Поскольку процесс инфицирования практически незаметный, я, ничего не заметив, продолжал работать в системе и обращался к различным системным дискам, сам того не понимая, заражая их. Когда опомнился, были инфицированы почти все диски.
Смысл данного поста выше в следующем. При обнаружении вирусной атаки, относитесь с максимальным вниманием к системе и к своим действиям, взвешивайте каждое действие и оценивайте возможные последствия. И до тех пор, пока все механизмы действия вируса вам неизвестны, старайтесь осноситься к нему с особой серьезностью. Если нужно детальное подробное описание работы данного полиморфной заразы, могу описать, но, по имеющейся информации, радикального универсального средства борьбы с данной связкой Virut/Heur не существует и система остается макимально к ней уязвимой даже при включенном UAC и отсутствии прав администратора у пользователя. Описанный выше случай единичный, но не стсоит забывать о элементарных средствах безопасности в сети.

Bahusss 13 сентября 2009, 14:06 # ↑

Дело в том, что этот метод не работает для Vista и 7, т.к. active desktop был оттуда убран.

Bahusss 13 сентября 2009, 14:22 # ↑

Конечно он остался, только запустить бинарный код с помощью него нельзя (хотя гипотетически при наличии мегабаги в эксплорере оттуда можно сделать все что угодно, но это «нановероятность»). А вот человек выше утверждает что:

«использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом», хотя кроме него эту уязвимость никто не видел. Мне как пользователю 7-ки интересно что это за уязвимость и как я могу её использовать)

Yurgeno 13 сентября 2009, 15:49 # ↑

Было включено отображение скрытых файлов и папок, в скачанных файлах desktop.ini и folder.htt не было

dr0fnax 13 сентября 2009, 16:01 # ↑

А можно линк на раздачу? В образовательных целях

Yurgeno 13 сентября 2009, 16:04 # ↑

Линк, к сожалению, был удален с «Thepiratebay» через несколько часов после начала раздачи.

drone 13 сентября 2009, 00:17 #

Еще не стоит забывать про System Volume Information в корневых папках NTFS разделов. Доступ туда по-умолчанию имеет только сама система и разного рода нечисть очень неплохо там гнездится.

AracooL 13 сентября 2009, 23:21 #

Например я к вирусам отношусь немножечко проще, даже иногда запускаю, в целях «анука поприкалываемся». Использую антивирус с прекраснейшим названием Linux :)

Вирусы (и антивирусы)