Комментарии на: Вирусная эпидемия в ритме Нового года – Win32.Conflicker

От: zulya

zulya — Sun, 27 Mar 2011 10:53:57 +0000

некоторые пишут : пуск-выполнить – написать msconfig – служба-убрать галочку с сервер и раочая станция – ок – перезагрузить -после перезагрузки в появившемся окне отметить галочкой и ок
( правда мне это не помогло)

От: zulya

zulya — Sun, 27 Mar 2011 10:45:18 +0000

а полегче как нибудь нельзя ?

От: Артём Синицын

Артём Синицын — Wed, 15 Jul 2009 08:22:34 +0000

@Слонег К Вашему сведению, уважаемый Слонег, функционал sudo в ОС семейства Windows выполняет команда runas, которая была включена в поставку ОС ещё со времён Windows 2000. Так что они "придумали" это уже ооочень давно :)

От: Слонег

Слонег — Wed, 15 Jul 2009 07:09:07 +0000

@Артём [d.raven] Синицын О боже! Они придумали sudo!

От: Централизованная защита от W32.Conficker | Artyom Sinitsyn Blog

Централизованная защита от W32.Conficker | Artyom Sinitsyn Blog — Tue, 10 Mar 2009 14:16:21 +0000

[...] писал о самом популярном сетевом черве последних лет W32.Conficker. В продолжение долгосрочной баталии с этим вредоносом [...]

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Tue, 10 Mar 2009 11:54:55 +0000

@Neandertalets
Не совсем понял, что означает процесс “передачи функции администратора самом системе”.
И с чего Вы решили, что пользователь, не имеющий административных полномочий, может удалить свою учетную запись?
А насчет управления правами доступа, то NTFS обладает очень гибким механизмом назначения прав. Так что можете удалить у пользователей право выполнения программ на определенном системном разделе или директории.

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Tue, 10 Mar 2009 11:48:58 +0000

@Павел Насчет административных прав по умолчанию. При установке Windows Vista обязательно указание хотя бы одной учетной записи пользователя, отличной от встроенной учетной записи "Администратор". Да, это учетная запись входит в группу администраторов системы. НО! По умолчанию в Windows Vista включен User Account Control, благодаря которому пользователь, даже имеющий административные полномочия, должен явно разрешить выполнения административных действий. При чем это разрешения выполняется, таким образом, что ни одна программа не может вмешаться в этот процесс. Так что вирусное приложение не сможет сделать что-то с системой без ведома пользователя. Я считаю создание административной учетной записи в рамках процесса установки ОС вполне нормальным явлением. Иначе как пользователь сможет провеизветси первоначальную конфигурацию системы? При этом система всячески уведомляет пользователя, что для выполнения обычной работы рекомендуется создать отдельную учетную запись, урезанную в правах. Вообще, все нормальные люди работают под учетной записью обычного пользователя. А административные задачи выполняют от другой учетной записи, входящей в группу администраторов системы. При этом User Account Control позволяет сделать этот процесс более удобным. UAC при выполнении какого-либо административного действия в системе предлагает ввести верительные данные отдельной административной учетной записи в рамках защищенного системного процесса.

От: Neandertalets

Neandertalets — Mon, 09 Mar 2009 10:59:06 +0000

@Артём [d.raven] Синицын
Сложно ждать от системы, дающей даже самому зажатому в правах пользователю возможность себя “убить”, качественной защищённости. Кроме описанного Павлом можно добавить, что в случае с Unix/Linux можно несколько усилить защищённость путём грамотной установки и настройки. Например, при установке выделить отдельный раздел на слайсе, который смонтировать как /home, но с правами noexec. Можно ещё подкрутить.
А ещё можно запустить некоторые процессы в chroot для пущей закрытости.
А в мс как решают этот вопрос? “Закручивают гайки”, передавая функции администратора самом системе. Не меняя систему, а делая её ещё более закрытым “чёрным ящиком”. Вирям только на руку, если подумать. :(

От: Павел

Павел — Fri, 06 Mar 2009 20:52:45 +0000

Запущенный с правами пользователя в Linux-системе, вирус сможет максимум удалить настройки и документы пользователя. Повышение привилегий в Linux-системах задача нетривиальная. В Windows пользователь по умолчанию работает с правами администратора. Вирусы писать полное раздолье. Даже элементарный bat-ник может убить систему. Это я понимаю под изначальной “дырявостью” системы.

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Thu, 05 Mar 2009 08:17:32 +0000

Павел, а Вы не думали о том, что как только свершится чудо и все c платформы Windows перейдут на *nix-системы (или любые другие) ситуация ничуть не измениться. Суть в том, что большинство уязвимостей и вирусов находится/пишется под Windows лишь потому, что система эта широко распространена. Глупо писать червя под малораспространенную систему.
А насчет “дырявости” по умолчанию – это неоправданно смелое замечание =) Повторюсь, что уязвимость, используемая Conflicker для распространения была пропатчена задолго ДО появления самого Conflicker. А то, что у пользователей не устанавливаются критические обновления безопасности для их ОС – это проблема скорее пользователей, нежели компании Майкрософт. Опять же всё субъективно, и вышеизложенное является лишь моей точкой зрения, ни коим образом не претендующей на истину в последней инстанции ;)

От: Павел

Павел — Wed, 04 Mar 2009 18:16:46 +0000

Разработчики Snort утверждают, что их IDS отслеживала Conficker еще до его появления. Вот статья: http://www.snortgroup.ru/node/36. Собственно похоже, что так и есть. Штука интересная, правда в настройке не тривиальна. Хотя системы на основе Windows дырявы по определению. Надо от них отказываться, если есть возможность.

От: Новая модификация сетевого червя Conficker | Artyom Sinitsyn Blog

Новая модификация сетевого червя Conficker | Artyom Sinitsyn Blog — Tue, 24 Feb 2009 13:44:08 +0000

[...] не раз на страницах этого блога я писал о вирусном триумфаторе 2009 года — сетевом черве [...]

От: profy

profy — Mon, 16 Feb 2009 15:42:13 +0000

С касперским был прикол нашел трояна. Проверил каспером – ноль. Отправил исходник в контору. Говорят это не вирус. Хе-хе. После 3-го письма посмотрели более внимательно и проверили. Ну таки да, вирус. Угу.

От: Праздники продолжаются или окончательная победа над Win32.Conficker | Artyom Sinitsyn Blog

Tue, 03 Feb 2009 07:12:31 +0000

[...] ещё 21 ноября 2008 года, а также широко известного Worm:Win32/Conficker.B, ставшего причиной недавней глобальной [...]

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Wed, 28 Jan 2009 11:08:30 +0000

@member
Начнем с того, что в первую очередь Вам необходимо обновить систему. Лучше обновиться до уровня Windows XP Service Pack 3 (http://www.microsoft.com/downloads/info.aspx?na=22&p=1&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=&u=%2fdownloads%2fdetails.aspx%3fFamilyID%3d5b33b5a8-5e76-401f-be08-1e1555d4f3d4%26DisplayLang%3den).

Если же по каким-либо причинам Вы не желаете устанавливать SP3, обновитесь до уровня Windows XP Service Pack 2 (http://www.microsoft.com/downloads/info.aspx?na=22&p=3&SrcDisplayLang=en&SrcCategoryId=&SrcFamilyId=&u=%2fdownloads%2fdetails.aspx%3fFamilyID%3d049c9dbe-3b8e-4f30-8245-9e368d3cdb5a%26DisplayLang%3den).

После чего установите в системе обновление безопасности Security Update for Windows XP (KB958644) по адресу http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=en.

Обновления для WinXP SP1 отсутствует по причине того, что использовать Windows XP уровня ниже SP2 просто нецелесообразно. По-моему, даже официально поддерживаются ОС Windows XP начиная с SP2. В общем, настоятельно рекомендую установить последний пакет обслуживания.

От: member

member — Wed, 28 Jan 2009 07:34:51 +0000

Для предотвращения повторного заражения и дальнейшего распространения вируса необходимо установить в систему обновление, описанное в статье базы знаний Уязвимость службы сервера делает возможным удаленное выполнение кода (KB958644).

Где можно скачать для WinXP SP1 или как установить обновление в SP1?

От: Dmitriy

Dmitriy — Sat, 24 Jan 2009 13:38:47 +0000

Очень полезная информация!

От: Артём [d.raven] Синицын

Артём [d.raven] Синицын — Tue, 20 Jan 2009 17:56:57 +0000

Спасибо за предоставление столь детальной информации, DIMON.

От: DIMON

DIMON — Sat, 17 Jan 2009 20:37:39 +0000

1) Данный вирус запускается оригинальным SVCHOST.EXE с параметром заражённой библиотеки (random_name).dll (размер зависит от штамма), лежащей в SYSTEM32 (атрибут библиотеки установлен в “скрытый” или “системный”). Необходимо проверить права доступа для этой библиотеки. Как правило, кроме системы, никому доступ не разрешён. После переустановки прав (напр., Администраторы=полный доступ), можно убить его UNLOCKERом (http://ccollomb.free.fr/unlocker/).
2) В реестре найти запись о запускаемом вирусном сервисе. Необходимо искать абсолютно пустой (без параметров и подключей) ключ в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (например HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dpiixcu), и также переустановить права доступа для ветки. Тогда (после обновления содержимого по F5) появится вся инфа, в т.ч. в подветке PARAMETERS ключ ServiceDll с именем и путём к вирусной библиотеке.
3) В файловом менеджере (не ПРОВОДНИК !!!) необходимо также проверить подпапки в “Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5″, где вирус под видом кешированных фалов прячет свои копии.