Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2011.07.31;
Скачать: CL | DM;

Вниз

Как они загружают EXE в temporary internet file и запускают их?   Найти похожие ветки 

 
OW ©   (2011-04-11 10:11) [0]

Чистя очередную систему от отправки смс для разблокирования компа, заинтересовался этим. Ведь все одно и тоже - файл аля readme[1].exe в соотв. папке прописывается as Shell. Неужели до сих пор MS, антивирусники не запомнят эту фишку и не начнут кричать..


 
antonn ©   (2011-04-11 14:53) [1]

У меня пролезал через акробат_ридер, когда у них была уязвимость, специально сформированный на странице pdf пытался загрузиться в акробат, и дальше на диске появлялся ЕХЕ который еще и запускался. Подобная "атака" до сих пор, спустя года, висит на винграде (это к слову о непосещении порносайтов).


 
Игорь Шевченко ©   (2011-04-11 14:53) [2]

установи антивирус и обновляй его


 
OW ©   (2011-04-11 15:06) [3]

Да стоит антивирус, и обновляется, вроде. Какой именно - не помню, не мой комп, но не NOD и не Касперский.

Просто вот ведь в чем суть - запуск из папок временных файлов - это должно быть настолько подозрительно, что отлавливаться вообще всеми, и, возможно на уровне ОС пора бы запретить.

И главное - как?

> специально сформированный на странице
(ну, тут, думаю, и pdf/mp3 и еще чего, что у юзера не грузится AsFile, а проигрывается соотв. приложением)

И? Каков механизм? Хоть на одном примере..

> и дальше на диске появлялся ЕХЕ


 
antonn ©   (2011-04-11 15:15) [4]


> Просто вот ведь в чем суть - запуск из папок временных файлов
> - это должно быть настолько подозрительно, что отлавливаться
> вообще всеми, и, возможно на уровне ОС пора бы запретить.
>
>

и как винрар себя будет вести? очень много софта "распаковывается" в темпы, инстралляторы


> И? Каков механизм? Хоть на одном примере..

почти у всех svchost имеет полное доверие в фаерволах, этим можно воспользоваться


 
Inovet ©   (2011-04-11 15:16) [5]

> [3] OW ©   (11.04.11 15:06)
> И? Каков механизм? Хоть на одном примере..

Так через переполнение буфера скорее всего.


 
Smile   (2011-04-11 15:18) [6]


> Просто вот ведь в чем суть - запуск из папок временных файлов - это должно быть настолько подозрительно


А что тут подозрительного?
Многие Setup-ы "распаковываются" именно во временные папки, а оттуда уже запускаются ...


 
QAZ   (2011-04-11 15:21) [7]


> antonn ©   (11.04.11 14:53) [1]

эта уязвимость отключается в опциях акробата в любых версиях (это к слову о умении пользоваться софтом).


 
antonn ©   (2011-04-11 15:23) [8]

там есть галка "отключить уязвимость" в настройках?
с какой версии?


 
OW ©   (2011-04-11 15:24) [9]


> Так через переполнение буфера скорее всего.

ок, почитаю..


> А что тут подозрительного?
> Многие Setup-ы "распаковываются" именно во временные папки,
>  а оттуда уже запускаются ...


> очень много софта "распаковывается" в темпы, инстралляторы

согласен..
не подумал.

Все равно, надо спрашиваться перед их запуском. Принудительно. Имхо, так.


 
QAZ   (2011-04-11 15:35) [10]


> antonn ©   (11.04.11 15:23) [8]
> там есть галка "отключить уязвимость" в настройках?
> с какой версии?

бгг, тебе для любого действия нужна специальная кнопка?

есть галка "показывать в браузере"
есть галка "использовать яваскрипт"
есть галка "открывать прикрепленки во внешних прогах"
есть галка "блокировать доступ ко всем сайтам"

догадываешся?
версии эдак с 7й


 
cwl ©   (2011-04-11 15:36) [11]

> Игорь Шевченко ©   (11.04.11 14:53) [2]
по-моему лучше - "дубовый" firewall - который по первости будет задавать часто вопросы, зато правильно настроенный будет рассказывать - кто и куда ломится :>


 
antonn ©   (2011-04-11 15:48) [12]


> бгг, тебе для любого действия нужна специальная кнопка?
>
> есть галка "показывать в браузере"
> есть галка "использовать яваскрипт"
> есть галка "открывать прикрепленки во внешних прогах"
> есть галка "блокировать доступ ко всем сайтам"
>
> догадываешся?

Нет, все эти действия используемы.
У подавляющего большинства стоят настройки по умолчанию.
Просил дать пример как появляется ЕХЕ - я дал.


> по-моему лучше - "дубовый" firewall - который по первости
> будет задавать часто вопросы, зато правильно настроенный
> будет рассказывать - кто и куда ломится :>

если действие уже произошло - поздно пить боржоми :)


 
cwl ©   (2011-04-11 15:55) [13]

> если действие уже произошло - поздно пить боржоми :)
таки защищаться нужно до, а не после нападения %>


 
antonn ©   (2011-04-11 16:00) [14]

ой, я прочитал как "ломился" :)


 
KilkennyCat ©   (2011-04-11 16:03) [15]

А мне вот пофиг на вирусы. Во-первых, бэкап данных, а на систему наплевать.
Во-вторых, не лазить по помойкам в костюме.


 
antonn ©   (2011-04-11 16:39) [16]


> Во-вторых, не лазить по помойкам в костюме.

писатель :)


 
Игорь Шевченко ©   (2011-04-11 17:29) [17]

KilkennyCat ©   (11.04.11 16:03) [15]


> Во-вторых, не лазить по помойкам в костюме.


месье эстет

cwl ©   (11.04.11 15:36) [11]

Файрволл - это тоже хорошо. Стоит у меня Comodo, спрашивает каждый раз, когда я новый проект в Delphi из-под среды запускаю. Беспокоится...


 
Smile   (2011-04-11 17:36) [18]


> Стоит у меня Comodo, спрашивает каждый раз, когда я новый
> проект в Delphi из-под среды запускаю. Беспокоится...

А у меня OutPost этим обеспокоен ...
:)


 
Германн ©   (2011-04-11 17:47) [19]


>
> А у меня OutPost этим обеспокоен ...
>

Обещали подумать и может быть сделают возможность выборочно выключать такой контроль.


 
brother ©   (2011-04-12 05:28) [20]

> А у меня OutPost этим обеспокоен ...

По этой причине отключил контроль компонентов (имхо можно и без него)...



Страницы: 1 вся ветка

Текущий архив: 2011.07.31;
Скачать: CL | DM;

Наверх




Память: 0.52 MB
Время: 0.008 c
2-1303704832
petvv
2011-04-25 08:13
2011.07.31
Целая и дробная часть из двух полей


6-1240235052
kotyara
2009-04-20 17:44
2011.07.31
Скорость передачи строк через TTcpServer - TTcpClient


3-1262078102
ocean
2009-12-29 12:15
2011.07.31
Как правильно создавать таблицу?


15-1302553798
Юрий
2011-04-12 00:29
2011.07.31
С днем рождения ! 12 апреля 2011 вторник


2-1303835617
Vasja123
2011-04-26 20:33
2011.07.31
Как сделать OnClick на Label если Enabled=false