06.01.2011, 13:11
yaslaw napisał(a):Ja mówiłem o exploitach i to mnie ciekawiło reszta malwaru ok - wiadomo że zawsze trafią się jakieś fp.
Zastanwawiało mnie tlyko to że tak dużo exploitów nie jest wykrywanych przez żaden skaner (edit: swoją drogą podejrzewam że może być tak iż część z nich jest wykrywana nie przez skaner na żądanie ale np przez systemy typu sonar (symantec)/vunlability shield (f-secure) które uruchamiają się tylko w momencie wykonania złośliwego kodu).
exploit pdf, czyli spreparowany pdf (niby pdf, a się uruchamia złośliwy kod w czytniku), jest zapodawany centralnie (z linku, lub js (java script) przekierowuje i uruchamia) na przeglądarkę, która uruchamia readera albo acrobat, lub inną. I jeśli AV tego nie wykryje, a przeglądarka i dziurawy acrobat/itd. jest nie załatana na daną podatność exploita to dochodzi do infekcji komputera. Może też byćlub wczytany/odpalony w readerze normalnie. Wykonany kod np. ściąga dalsze malware i automatycznie jest uruchamiane. I jeśli AV dalej nic nie wykryje to już wiesz co dalej się dzieje...
Jest dużo jeśli/i, żeby to zadziałało, ale w praktyce dużo ludzi ma te sprawy niepołatane. Jak szukałem GPcode ax to już linki .js i exploity pdf na niego były nie aktywne na super dziurawym systemie xp sp3 bez aktualizacji dalszych, IE6,reader 9.0 i java 6.0.
Jeśli już o exploitach, bardzo ważne jest łatanie co miesięczne systemu (co drugi wtorek miesiąca wychodzą aktualizacje M$ Update), bo chodź się nie używa IE, on jest składnikiem systemu. Dochodzą też inne łatki łatające sam system, jądro (np. słynny Alureon:
[Aby zobaczyć linki, zarejestruj się tutaj]
w listopadzie 2010 zdołał przełamać zabezpieczenia Win7 64bit, omijając wymóg podpisywania sterowników, preparując odpowiedni MBR dysku). Wtedy możliwość zainfekowania przez różne drogi drastycznie spadnie.Eru napisał(a):tommy504 napisał(a):Coś wyjątkowego, rootkit obchodzący zabezpieczenia w systemie 64 bitowym i instalujący trojana:
TDSS TDL4 -Trojan.Win64.TDSS wariant "a"
Treść widoczna jedynie dla zarejestrowanych użytkowników
[Aby zobaczyć linki, zarejestruj się tutaj]
O rootkicie obchodzącym zabezpieczenia w Win64 było już jakiś czas temu mówione
Jakiś czas temu? Wikipedia mówi że listopad 2010 chodzi dokładnie o nowego rootkita typu MBR, który omija podpisywanie sterowników tego TDSS w systemie.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock