Хабрахабр / Комментарии к посту «Не забывайте про ReadyBoost-флешки» в блоге «Вирусы (и антивирусы)»

Хабрахабр / Комментарии к посту «Не забывайте про ReadyBoost-флешки» в блоге «Вирусы (и антивирусы)» http://habrahabr.ru/rss/post/69403/ ru editor@habrahabr.ru habrahabr.ru Sat, 11 Feb 2012 10:31:00 GMT http://habrahabr.ru/ http://habrahabr.ru/i/logo.gif Хабрахабр 15.09.2009 16:29:19 Auren #comment_1987611 #comment_1987611 этом комментарии, а сейчас мы просто переливаем из пустого в порожнее.]]> Tue, 15 Sep 2009 16:29:19 GMT Auren 15.09.2009 15:16:51 myiworm http://habrahabr.ru/blogs/virus/69403/#comment_1987388 http://habrahabr.ru/blogs/virus/69403/#comment_1987388 Tue, 15 Sep 2009 15:16:51 GMT myiworm 15.09.2009 10:49:49 Auren #comment_1986306 #comment_1986306 Всё-таки возможно, не так ли?
Я имел в виду данный конкретный случай и данный момент времени. Нет никаких данных об уязвимости, нет данных, чтобы такая или подобная этой уязвимость эксплуатировалась на данный момент в сети.

Делаем вывод, что простым листингом сейчас через Windows Explorer в Windows 7 запустить исполняемый файл нельзя. Повторюсь в n-ый раз — я уверен, что было что-то, что автор не заметил, когда скачивал и открывал этот плагин.

«за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.

Еще раз повторяю, я имел в виду листинг .exe-файлов, что соответствует случаю, описанному в статье.

Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?

См. пункт № 1. У вас нет подтверждения, что существует баг, это лишь ваши догадки, которые вы выдаете за существующую уязвимость.]]> Tue, 15 Sep 2009 10:49:49 GMT Auren 15.09.2009 10:29:22 myiworm http://habrahabr.ru/blogs/virus/69403/#comment_1986219 http://habrahabr.ru/blogs/virus/69403/#comment_1986219 Всё-таки возможно, не так ли?

Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?
«за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.
зиродеи для win7 вполне возможны хотя бы потому, что код каждой вынды не переписывается с нуля, а тянет часть кода с родиительских платформ, оттого и наличие общей, но ещё не пропатченной дырки теоретически впоолне возможно.
Суслика не видно, а он есть. Так то.
]]> Tue, 15 Sep 2009 10:29:22 GMT myiworm 15.09.2009 09:12:45 Auren #comment_1985935 #comment_1985935
Вы бы лучше показали эксплуатацию той мифической уязвимости, о которой говорится в посте.]]> Tue, 15 Sep 2009 09:12:45 GMT Auren 15.09.2009 08:15:18 Auren #comment_1985749 #comment_1985749
Мной имелся в виду листинг .exe-файлов. Не было и нет таких уязвимостей, которые бы позволили запустить экзешник без желания на то пользователя простым «взглядом» на него через эксплорер. Ведь потерпевший заявил, что кроме экзешника в папке ничего не было.

0day для Windows 7, как я уже сказал, маловероятен в силу малой распространенности оной.]]> Tue, 15 Sep 2009 08:15:18 GMT Auren 15.09.2009 05:43:52 myiworm http://habrahabr.ru/blogs/virus/69403/#comment_1985306 http://habrahabr.ru/blogs/virus/69403/#comment_1985306 Tue, 15 Sep 2009 05:43:52 GMT myiworm 15.09.2009 05:39:02 myiworm http://habrahabr.ru/blogs/virus/69403/#comment_1985296 http://habrahabr.ru/blogs/virus/69403/#comment_1985296
www.us-cert.gov/cas/techalerts/TA07-089A.html

In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Consequently, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.

И не так это давно было.]]> Tue, 15 Sep 2009 05:39:02 GMT myiworm 15.09.2009 05:35:50 myiworm http://habrahabr.ru/blogs/virus/69403/#comment_1985289 http://habrahabr.ru/blogs/virus/69403/#comment_1985289
Переполнения были и в ICO компонентах, и в длинных именах файлов, и в нестандартных кодировках.
И всё это ломало explorer. Сомневаетесь?

Нате:

Инфа 100%]]> Tue, 15 Sep 2009 05:35:50 GMT myiworm 14.09.2009 15:19:06 freeAKK http://habrahabr.ru/blogs/virus/69403/#comment_1983503 http://habrahabr.ru/blogs/virus/69403/#comment_1983503 Mon, 14 Sep 2009 15:19:06 GMT freeAKK 14.09.2009 07:13:03 Busla http://habrahabr.ru/blogs/virus/69403/#comment_1981429 http://habrahabr.ru/blogs/virus/69403/#comment_1981429 2) есть шанс заразить этот самый второй компьютер
3) конкретно по этой статье — флешка так бы и осталась непроверенной

Как говорится: у каждой сложной задачи есть масса простых неправильных решений ;-)]]> Mon, 14 Sep 2009 07:13:03 GMT Busla 13.09.2009 19:21:00 AracooL http://habrahabr.ru/blogs/virus/69403/#comment_1980646 http://habrahabr.ru/blogs/virus/69403/#comment_1980646 Sun, 13 Sep 2009 19:21:00 GMT AracooL 13.09.2009 17:55:51 Auren #comment_1980422 #comment_1980422 Sun, 13 Sep 2009 17:55:51 GMT Auren 13.09.2009 17:54:40 Auren #comment_1980418 #comment_1980418
Windows Explorer не может запустить исполняемый файл без вашего ведома. Это невозможно.

Переполнений никаких нет, ваш случай единственный, я слежу за сектором IT-безопасности и с уверенностью могу сказать, что:

а) на данный момент нет никаких Windows 7-specific уязвимостей в силу малой распространенности оной;

б) за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.]]> Sun, 13 Sep 2009 17:54:40 GMT Auren 13.09.2009 15:20:44 payalnic http://habrahabr.ru/blogs/virus/69403/#comment_1980051 http://habrahabr.ru/blogs/virus/69403/#comment_1980051 g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html]]> Sun, 13 Sep 2009 15:20:44 GMT payalnic 13.09.2009 14:22:45 Busla http://habrahabr.ru/blogs/virus/69403/#comment_1979903 http://habrahabr.ru/blogs/virus/69403/#comment_1979903 Sun, 13 Sep 2009 14:22:45 GMT Busla 13.09.2009 13:04:30 Yurgeno http://habrahabr.ru/blogs/virus/69403/#comment_1979719 http://habrahabr.ru/blogs/virus/69403/#comment_1979719 Sun, 13 Sep 2009 13:04:30 GMT Yurgeno 13.09.2009 13:02:32 Yurgeno http://habrahabr.ru/blogs/virus/69403/#comment_1979717 http://habrahabr.ru/blogs/virus/69403/#comment_1979717 Sun, 13 Sep 2009 13:02:32 GMT Yurgeno 13.09.2009 12:53:25 myiworm http://habrahabr.ru/blogs/virus/69403/#comment_1979689 http://habrahabr.ru/blogs/virus/69403/#comment_1979689 Sun, 13 Sep 2009 12:53:25 GMT myiworm 13.09.2009 12:40:27 Yurgeno http://habrahabr.ru/blogs/virus/69403/#comment_1979666 http://habrahabr.ru/blogs/virus/69403/#comment_1979666 Sun, 13 Sep 2009 12:40:27 GMT Yurgeno 13.09.2009 12:28:32 alexxxst http://habrahabr.ru/blogs/virus/69403/#comment_1979649 http://habrahabr.ru/blogs/virus/69403/#comment_1979649 Sun, 13 Sep 2009 12:28:32 GMT alexxxst 13.09.2009 12:04:08 Yurgeno http://habrahabr.ru/blogs/virus/69403/#comment_1979585 http://habrahabr.ru/blogs/virus/69403/#comment_1979585 Sun, 13 Sep 2009 12:04:08 GMT Yurgeno 13.09.2009 12:01:26 dr0fnax http://habrahabr.ru/blogs/virus/69403/#comment_1979577 http://habrahabr.ru/blogs/virus/69403/#comment_1979577 Sun, 13 Sep 2009 12:01:26 GMT dr0fnax 13.09.2009 11:49:40 Yurgeno http://habrahabr.ru/blogs/virus/69403/#comment_1979556 http://habrahabr.ru/blogs/virus/69403/#comment_1979556 Sun, 13 Sep 2009 11:49:40 GMT Yurgeno 13.09.2009 10:52:05 Zharskiy http://habrahabr.ru/blogs/virus/69403/#comment_1979430 http://habrahabr.ru/blogs/virus/69403/#comment_1979430 Sun, 13 Sep 2009 10:52:05 GMT Zharskiy 13.09.2009 10:49:47 Auren #comment_1979429 #comment_1979429
Сам по себе Windows Explorer простым листингом файлов заразить систему ну никак не может.]]> Sun, 13 Sep 2009 10:49:47 GMT Auren 13.09.2009 10:43:50 Zharskiy http://habrahabr.ru/blogs/virus/69403/#comment_1979421 http://habrahabr.ru/blogs/virus/69403/#comment_1979421 и не сиди под админом]]> Sun, 13 Sep 2009 10:43:50 GMT Zharskiy 13.09.2009 10:22:31 Bahusss http://habrahabr.ru/blogs/virus/69403/#comment_1979376 http://habrahabr.ru/blogs/virus/69403/#comment_1979376
«использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом», хотя кроме него эту уязвимость никто не видел. Мне как пользователю 7-ки интересно что это за уязвимость и как я могу её использовать)]]> Sun, 13 Sep 2009 10:22:31 GMT Bahusss 13.09.2009 10:08:38 Auren #comment_1979347 #comment_1979347 Sun, 13 Sep 2009 10:08:38 GMT Auren 13.09.2009 10:06:57 Bahusss http://habrahabr.ru/blogs/virus/69403/#comment_1979341 http://habrahabr.ru/blogs/virus/69403/#comment_1979341 Sun, 13 Sep 2009 10:06:57 GMT Bahusss 13.09.2009 09:58:54 Paul http://habrahabr.ru/blogs/virus/69403/#comment_1979327 http://habrahabr.ru/blogs/virus/69403/#comment_1979327 Ниже уже ответили про VBS.Folder.]]> Sun, 13 Sep 2009 09:58:54 GMT Paul 13.09.2009 09:57:07 Zharskiy http://habrahabr.ru/blogs/virus/69403/#comment_1979320 http://habrahabr.ru/blogs/virus/69403/#comment_1979320 Sun, 13 Sep 2009 09:57:07 GMT Zharskiy 13.09.2009 09:34:38 Auren #comment_1979279 #comment_1979279
Отсюда риторический вопрос-вывод автору: Если научился качать из P2P-сетей, но не научился просматривать содержимое раздачи, скачиваемой из подозрительных источников, то какого хрена выключать UAC?]]> Sun, 13 Sep 2009 09:34:38 GMT Auren 13.09.2009 09:28:53 Auren #comment_1979262 #comment_1979262 daxa.com.ua/vir/num3/

Лечится бдительностью при скачивании из P2P-сетей (клиенты позволяют просматривать содержимое раздачи), включением UAC (он бы сработал, когда человек зашел бы в папку со специально сформированными файлами desktop.ini и folder.htt), тем более, что это семерка и UAC там не такой навязчивый как в Висте.]]> Sun, 13 Sep 2009 09:28:53 GMT Auren 13.09.2009 09:11:32 Auren #comment_1979232 #comment_1979232
Я на 90% уверен, что рядом с экзешниками лежал зараженный pdf-файл, а в системе был установлен уязвимый и не обновленный Adobe Reader.]]> Sun, 13 Sep 2009 09:11:32 GMT Auren 13.09.2009 07:02:29 freeAKK http://habrahabr.ru/blogs/virus/69403/#comment_1978970 http://habrahabr.ru/blogs/virus/69403/#comment_1978970 Плюс, можно удалить руками, если знаешь как (например, нашёл hawto по удалению в интернете)]]> Sun, 13 Sep 2009 07:02:29 GMT freeAKK 13.09.2009 06:54:31 Busla http://habrahabr.ru/blogs/virus/69403/#comment_1978955 http://habrahabr.ru/blogs/virus/69403/#comment_1978955 Sun, 13 Sep 2009 06:54:31 GMT Busla 13.09.2009 06:42:14 Zharskiy http://habrahabr.ru/blogs/virus/69403/#comment_1978938 http://habrahabr.ru/blogs/virus/69403/#comment_1978938 Sun, 13 Sep 2009 06:42:14 GMT Zharskiy 13.09.2009 06:10:42 analytic http://habrahabr.ru/blogs/virus/69403/#comment_1978889 http://habrahabr.ru/blogs/virus/69403/#comment_1978889 Давайте детский сад не будем устраивать.]]> Sun, 13 Sep 2009 06:10:42 GMT analytic 13.09.2009 05:31:59 Hikedaya http://habrahabr.ru/blogs/virus/69403/#comment_1978831 http://habrahabr.ru/blogs/virus/69403/#comment_1978831 Sun, 13 Sep 2009 05:31:59 GMT Hikedaya