Как минимум один троян из обнаруженных эксплуатирует фоновую интеллектуальную службу передачи (Background Intelligent Transfer Service, BITS), встроенную в операционную систему Windows. Эксперты Франк Болдуин (Frank Boldewin ) и Элия Флорио (Elia Florio) исследовали троянскую программу TrojanDownloader:Win32/Jowspry, распространявшуюся в Германии, и выяснили, что она загружает на компьютеры вредоносные файлы с помощью BITS. Эти файлы успешно обходят встроенный в ОС брандмауэр, который их не детектируют.
Таким образом, хакеры изобрели новый способ обхода межсетевых экранов, добавив его к уже существующим методам, таким как туннелирование в HTTP- и SMTP-трафике, использование скрытых незащищенных каналов и атаки на брандмауэры. Используя компонент самой операционной системы в качестве средства стеганографии, TrojanDownloader:Win32/Jowspry реализовал новую концепцию в хакинге.
BITS использует каналы передачи данных, не занятые другими приложениями, и регулирует свой трафик, чтобы он не мешал их работе. После восстановления разорванного соединения служба продолжает свою работу. С версии 1.5 BITS выполняет загрузки на рабочую станцию, и с нее. BITS поддерживает HTTP и HTTPS, применяется для передачи данных в Windows Update, Windows Server Update Services, Systems Management Server, а также средствах мгновенного обмена сообщениями от Microsoft. Наиболее широко технология реализована в Windows Update для доставки обновлений программного обеспечения.
В настоящее время надежной защиты от загрузки вредоносного ПО с помощью BITS нет. Пользователям рекомендовано проверить свои машины на наличие троянского ПО.
Так как все работают под админом, любой троян прописывает себя в доверенные приложения. Вот и весь обход брандмауэра виндос
| QUOTE |
| успешно обходят встроенный в ОС брандмауэр, который их не детектируют |
Имеется в виду Брандмауэр Windows? О, да это супер-надёжный файрвол, как раз на нем и надо тестировать новые вирусные технологии :)
| CODE |
| для загрузки вредоносного ПО на компьютеры ничего не подозревающих пользователей может успешно использоваться служба обновления Windows. |
Хоть здесь пользователи нелицензионной Windows выигрывают, бо обновлениями не пользуются...
| QUOTE |
| Эти файлы успешно обходят встроенный в ОС брандмауэр, который их не детектируют. |
Странно было бы, если брандмауэр Windows их детектировал...
| QUOTE |
| Хоть здесь пользователи нелицензионной Windows выигрывают, бо обновлениями не пользуются... |
Что ерунда? Польуются, и спокойно обновляются. Валидация нужна только для загрузки расширений/дополнений
| QUOTE (vertigo1 @ 19.05.2007 - время: 10:34) |
| Хоть здесь пользователи нелицензионной Windows выигрывают, бо обновлениями не пользуются... |
Ну как-же не пользуются? Очень даже пользуются, причем почти официально получая автоматические обновления с Виндоус Апдейт.
Для этого уже давно сделан патч, посредством которого Майкрософт распознает тыою версию как лицензионную.
А в корпоративных сетях это необходимое и обязательное условие - своевременное обновление ОС и ПО.
| QUOTE (Rambus @ 20.05.2007 - время: 17:11) |
| Ну и что ж за корпоративщик пользуется драным брэндмауэром Винды? Опять таки обновления можно ведь и просто скачивать и ставить, просто дольше, но тем не менее... |
И я об этом...
| QUOTE (Rambus @ 20.05.2007 - время: 18:11) |
| Ну и что ж за корпоративщик пользуется драным брэндмауэром Винды? Опять таки обновления можно ведь и просто скачивать и ставить, просто дольше, но тем не менее... |
Да с чего вы взяли, что брандмауэр винды "драный"?
Обычная стенка, исправно рубит все непрошенные входящие соединения, контролирует исходящий трафик приложений. Если юзер с ограниченной учеткой, не админ - норм
| QUOTE (Kessoron @ 19.05.2007 - время: 14:18) |
| Что ерунда? Польуются, и спокойно обновляются. Валидация нужна только для загрузки расширений/дополнений |
Заплатки, да, пожалуйста - скачивай, а автоматическое обновление - хрен тебе
Мою копию сразу запалили и любезно предложили заказать диск с "настоящей" виндой.
| QUOTE (barrakuda @ 21.05.2007 - время: 05:25) | ||
Да с чего вы взяли, что брандмауэр винды "драный"? Обычная стенка, исправно рубит все непрошенные входящие соединения, контролирует исходящий трафик приложений. Если юзер с ограниченной учеткой, не админ - норм |
Не понял, это шутка?
И, кстати, если бы юзеры не сидели под админом, многие незатейливые трояны, которые лезут скидывать пароли отдельным процессом, были бы им остановлены.
В unix системах по традиции с этим строго - минимум прав у пользователя для его же безопасности.
И не зря в ХР pro ввели разграничение прав, очень гибкое, кстати.
Проблема в разработчиках стороннего софта, игр, благодаря которым и приходиться во избежания гемора сидеть дома под админом.
Из справки виндоус:
Почему не следует работать на компьютере с учетной записью администратора
Работа в Windows 2000 или Windows XP в качестве администратора делает систему уязвимой (я бы сказал, более уязвимой
)для троянских коней и других программ, угрожающих безопасности. Простое посещение веб-узла может очень сильно повредить систему. На незнакомом веб-узле может находиться троянская программа, которая будет загружена в систему и выполнена. Если в это время находиться в системе с правами администратора, такая программа может переформатировать жесткий диск, стереть все файлы, создать новую учетную запись пользователя с административным доступом и т. д.Необходимо добавить себя в группу «Пользователи» или «Опытные пользователи». Войдя в систему в качестве члена группы «Пользователи», можно выполнять обычные задачи, в том числе выполнение программ и посещение узлов в Интернете, не подвергая компьютер излишнему риску. Члены группы «Опытные пользователи» могут, кроме того, устанавливать программы, добавлять принтеры и использовать большинство компонентов панели управления. Если необходимо выполнить такие задачи администрирования, как обновление операционной системы или настройка системных параметров, выйдите из системы и войдите в нее как администратор.
При необходимости часто входить в систему и запускать программы с правами администратора можно использовать для этого команду runas.
===============
Разграничение прав вещь нужная.
Да и, Брандмауэр в винде такой простой, чтобы юзеры с ума не сошли от его настроек. Я тут попробовал хвалёный Комодо, так он меня заколебал своими сообщениями
Это сообщение отредактировал Rambus - 21-05-2007 - 17:57
А все потому что любая прога, запущенная тобой будет иметь права данного пользователя со всеми привилегиями.
И причем тут каспер? Он у юзера спрашивает, а не у админа.
А если Вася Пупкин залезет на мой комп, то ничего ценного он там грохнуть не сможет-бэкапиться надо, господа. Да и с чего вы взяли, что на ваши компы кто-то покушается? Ну есть вири, это пакость, но хакерам-то вы на кой сдались? Им это неинтересно, им скорее сетку какой-нибудь организации взломать захочется.
| QUOTE |
| на обновление Picasa2 с помощью автообновления Каспер реагирует как на заражение Трояном |
Видимо, это как раз пример той цепочки, которую я привёл: скачал -> скопировал -> запустил. Результат - имидж компании подмочен, а всё из-за необдуманных действий эвристика - ведь такая цепочка характерна не только для вирусов, но и для авто-обновления.
Можно лишить вирус возможности автозапуска, выставив запрет на запись в соответствующих местах реестра, писать в ситемные папки запрещено по-умолчанию, и даже лишить его возможности запуска на выполнение, выставив запрет на исполнение файлов в тех местах, где бинарники не нужны(кэш браузера и тд) В такой среде вирусу вообще не возможно будет развернуться, а тем более праказничать, устанавливая драйвера-перехватчики, которые так любят писать молодые программеры
Групповые политики в ХР вещь, которая может сделать систему практически не уязвимой, а вы говорите винда дырявая, винда глупа...
Есть в этом что-то такое... люблю порядок!
| QUOTE |
| Рамбус, то ты не любишь когда винда сама хозяйничает, то требуешь от неё чтобы она сама всё сделала |
Потому и не люблю, что хозяйничает она хреново
| QUOTE (Rambus @ 21.05.2007 - время: 23:12) |
| Если б Винда не была дырява, то Сервис Пак 2 не тянул бы на 300 метров. А глупа потому что на автомате правильно делает далеко не всё. Да и настройки, делающие её неуязвимой, могли бы свести в специальный готовый профиль чтобы не ковыряться каждый раз после установки. |
За несколько лет накапливается приличное количество обновлений для любой ОС. В чем проблема?
Касательно "готового профиля" - "центр безопасности" создан специально для этого.
зы про фаер и права доступа конечно радует - так, на всякий случай: из-под админа любой троянчег спокойно вылезет, благо аутпост и парочку ему подобных вещей обходть не сложно
| QUOTE (barrakuda @ 21.05.2007 - время: 23:28) |
| А мне всё-таки нравится дух unix, с её строгой традицией прав доступа - владелец, группа, другие, выполнение, запись, чтение - 755, 644... Есть в этом что-то такое... люблю порядок! |
Уважаемый да мы все поняли шо вы рекламируете unix системы но вынужден вас огорчить каждый сходит с ума по своему и когда unix системы станут более ну назовем это так расположены к обычному пользователю тогда возможно и они и получат большее распространение чем Винда ну а пока хотябы например установка новой проги в unix системах будет таким гемороем которым она является сейчас то и пользоваться ей будут только небольшая група людей уважающая трах мозгов
В этом топике я скорее восхвалял политику доступа виндоус хр-про
| QUOTE |
| За несколько лет накапливается приличное количество обновлений для любой ОС. В чем проблема? |
Проблема в том, что недырявой системе ну никак не может требоваться такое гигантское количество критических заплаток, неустановка которых подвергает систему опасности.
| QUOTE |
| Касательно "готового профиля" - "центр безопасности" создан специально для этого. |
Ага, и эта пакость только и умела, что ныть, что мой Каспер почему-то не включен (ой, глупая пользователя забыла...) да обновляться до нежизнеспособного состояния, периодически в качестве обновления предлагая провериться на лицензионность... Слава богу, что хоть бесчисленные уведомления смог в администрировании прихлопнуть, а то ещё и назойливостью своей достал бы.
| QUOTE |
| фаер и права доступа конечно радует - так, на всякий случай: из-под админа любой троянчег спокойно вылезет, благо аутпост и парочку ему подобных вещей обходть не сложно |
Троянчеги не запускаются просто таг. Им по природе своей положено маскироваться под полезный софт дабы юзер сам их сдуру запустил. Если проверять программы до их установки, вероятность подцепить трояна существенно снизится. А словлю-ну и чёрт с ним, зато до этого поработаю спокойно... Помнится, в колледже мы из-под юзеров даже часы поставить не можем-так и смотрим на какое-то пакистанское время. Оно мне дома надо?
Это сообщение отредактировал Rambus - 23-05-2007 - 01:17
!
А вообще в про версии есть встроенный IIS(web, mail - сервера плюс доп. штуки) нужные для разработчиков/учащихся.