Текущий архив: 2011.07.31;
Скачать: CL | DM;
Вниз
Как они загружают EXE в temporary internet file и запускают их? Найти похожие ветки
← →
OW © (2011-04-11 10:11) [0]Чистя очередную систему от отправки смс для разблокирования компа, заинтересовался этим. Ведь все одно и тоже - файл аля readme[1].exe в соотв. папке прописывается as Shell. Неужели до сих пор MS, антивирусники не запомнят эту фишку и не начнут кричать..
← →
antonn © (2011-04-11 14:53) [1]У меня пролезал через акробат_ридер, когда у них была уязвимость, специально сформированный на странице pdf пытался загрузиться в акробат, и дальше на диске появлялся ЕХЕ который еще и запускался. Подобная "атака" до сих пор, спустя года, висит на винграде (это к слову о непосещении порносайтов).
← →
Игорь Шевченко © (2011-04-11 14:53) [2]установи антивирус и обновляй его
← →
OW © (2011-04-11 15:06) [3]Да стоит антивирус, и обновляется, вроде. Какой именно - не помню, не мой комп, но не NOD и не Касперский.
Просто вот ведь в чем суть - запуск из папок временных файлов - это должно быть настолько подозрительно, что отлавливаться вообще всеми, и, возможно на уровне ОС пора бы запретить.
И главное - как?
> специально сформированный на странице
(ну, тут, думаю, и pdf/mp3 и еще чего, что у юзера не грузится AsFile, а проигрывается соотв. приложением)
И? Каков механизм? Хоть на одном примере..
> и дальше на диске появлялся ЕХЕ
← →
antonn © (2011-04-11 15:15) [4]
> Просто вот ведь в чем суть - запуск из папок временных файлов
> - это должно быть настолько подозрительно, что отлавливаться
> вообще всеми, и, возможно на уровне ОС пора бы запретить.
>
>
и как винрар себя будет вести? очень много софта "распаковывается" в темпы, инстралляторы
> И? Каков механизм? Хоть на одном примере..
почти у всех svchost имеет полное доверие в фаерволах, этим можно воспользоваться
← →
Inovet © (2011-04-11 15:16) [5]> [3] OW © (11.04.11 15:06)
> И? Каков механизм? Хоть на одном примере..
Так через переполнение буфера скорее всего.
← →
Smile (2011-04-11 15:18) [6]
> Просто вот ведь в чем суть - запуск из папок временных файлов - это должно быть настолько подозрительно
А что тут подозрительного?
Многие Setup-ы "распаковываются" именно во временные папки, а оттуда уже запускаются ...
← →
QAZ (2011-04-11 15:21) [7]
> antonn © (11.04.11 14:53) [1]
эта уязвимость отключается в опциях акробата в любых версиях (это к слову о умении пользоваться софтом).
← →
antonn © (2011-04-11 15:23) [8]там есть галка "отключить уязвимость" в настройках?
с какой версии?
← →
OW © (2011-04-11 15:24) [9]
> Так через переполнение буфера скорее всего.
ок, почитаю..
> А что тут подозрительного?
> Многие Setup-ы "распаковываются" именно во временные папки,
> а оттуда уже запускаются ...
> очень много софта "распаковывается" в темпы, инстралляторы
согласен..
не подумал.
Все равно, надо спрашиваться перед их запуском. Принудительно. Имхо, так.
← →
QAZ (2011-04-11 15:35) [10]
> antonn © (11.04.11 15:23) [8]
> там есть галка "отключить уязвимость" в настройках?
> с какой версии?
бгг, тебе для любого действия нужна специальная кнопка?
есть галка "показывать в браузере"
есть галка "использовать яваскрипт"
есть галка "открывать прикрепленки во внешних прогах"
есть галка "блокировать доступ ко всем сайтам"
догадываешся?
версии эдак с 7й
← →
cwl © (2011-04-11 15:36) [11]> Игорь Шевченко © (11.04.11 14:53) [2]
по-моему лучше - "дубовый" firewall - который по первости будет задавать часто вопросы, зато правильно настроенный будет рассказывать - кто и куда ломится :>
← →
antonn © (2011-04-11 15:48) [12]
> бгг, тебе для любого действия нужна специальная кнопка?
>
> есть галка "показывать в браузере"
> есть галка "использовать яваскрипт"
> есть галка "открывать прикрепленки во внешних прогах"
> есть галка "блокировать доступ ко всем сайтам"
>
> догадываешся?
Нет, все эти действия используемы.
У подавляющего большинства стоят настройки по умолчанию.
Просил дать пример как появляется ЕХЕ - я дал.
> по-моему лучше - "дубовый" firewall - который по первости
> будет задавать часто вопросы, зато правильно настроенный
> будет рассказывать - кто и куда ломится :>
если действие уже произошло - поздно пить боржоми :)
← →
cwl © (2011-04-11 15:55) [13]> если действие уже произошло - поздно пить боржоми :)
таки защищаться нужно до, а не после нападения %>
← →
antonn © (2011-04-11 16:00) [14]ой, я прочитал как "ломился" :)
← →
KilkennyCat © (2011-04-11 16:03) [15]А мне вот пофиг на вирусы. Во-первых, бэкап данных, а на систему наплевать.
Во-вторых, не лазить по помойкам в костюме.
← →
antonn © (2011-04-11 16:39) [16]
> Во-вторых, не лазить по помойкам в костюме.
писатель :)
← →
Игорь Шевченко © (2011-04-11 17:29) [17]KilkennyCat © (11.04.11 16:03) [15]
> Во-вторых, не лазить по помойкам в костюме.
месье эстет
cwl © (11.04.11 15:36) [11]
Файрволл - это тоже хорошо. Стоит у меня Comodo, спрашивает каждый раз, когда я новый проект в Delphi из-под среды запускаю. Беспокоится...
← →
Smile (2011-04-11 17:36) [18]
> Стоит у меня Comodo, спрашивает каждый раз, когда я новый
> проект в Delphi из-под среды запускаю. Беспокоится...
А у меня OutPost этим обеспокоен ...
:)
← →
Германн © (2011-04-11 17:47) [19]
>
> А у меня OutPost этим обеспокоен ...
>
Обещали подумать и может быть сделают возможность выборочно выключать такой контроль.
← →
brother © (2011-04-12 05:28) [20]> А у меня OutPost этим обеспокоен ...
По этой причине отключил контроль компонентов (имхо можно и без него)...
Страницы: 1 вся ветка
Текущий архив: 2011.07.31;
Скачать: CL | DM;
Память: 0.52 MB
Время: 0.007 c
