Как происходит заражение windows через флешки? - Безопасность, Шифрование

dr.Chas · 26.02.2011, 08:11

Через автозапуск, это понятно.
Если запустить заражённый файл.
Ещё какие способы? (интересует теория)

Obey-Kun · 26.02.2011, 08:13

Не уверен, но наверняка можно ещё через генератор thumbnail'ов.

Виталий Желтяков · 26.02.2011, 08:17

Через любые процессы запускаемые как system.
В Windows система прав ошибочная поэтому существует так много вирусов для этой системы.

Stilet · 26.02.2011, 11:35

Цитата:

но наверняка можно ещё через генератор thumbnail'ов.

Да. Заражается иконка, а после ее открытия в тотале или эксплорере шелл-код выполняется.

Любая сканирующая флешку прога (ACDSee, WinAmp...) подвергают риску комп когда сканируют носитель.

dr.Chas · 26.02.2011, 17:48

Цитата:

Да. Заражается иконка, а после ее открытия в тотале или эксплорере шелл-код выполняется.

Расшифруйте если не сложно, что то я не уловлю смысла

Цитата:

Любая сканирующая флешку прога (ACDSee, WinAmp...) подвергают риску комп когда сканируют носитель.

Т.е. получается, ограничение прав до гостя + отключение автозапуска (антивиря допустим нет), не гарантирует (не запускать заразные файлы) здоровый комп?

Obey-Kun · 26.02.2011, 17:54

Цитата:

Расшифруйте если не сложно, что то я не уловлю смысла

Изображение генерируется с использованием уязвимости генерировалки миниатюр таким образом, что при генерации миниатюры будет исполнен некоторый код.

dr.Chas · 26.02.2011, 18:57

Цитата:

Сообщение от Obey-Kun

Изображение генерируется с использованием уязвимости генерировалки миниатюр таким образом, что при генерации миниатюры будет исполнен некоторый код.

И как от этого можно защититься кроме антивиря? (я так понимаю ни как) Но с другой стороны таких вирусов наверное единицы.

Obey-Kun · 26.02.2011, 19:09

Можно отключить генерацию миниатюр. Можно использовать нормальную ОС

.

Stilet · 26.02.2011, 19:57

Цитата:

Можно использовать нормальную ОС .

Ога. Лилит или ДОС ))))

Цитата:

Расшифруйте если не сложно

Не помню где (помоему на хакере) я читал статью о таких заразах. В иконке прописана загрузка некой DLL, которая рядом. Как только тотал читает и отображает иконку срабатывает шеллкод... Механизма не помню, и особой правдоподобностью это не пахнет но возможность такая есть.

О! Вспомнил! На Хакере читал про Стухнет:

Цитата:

Механизм размножения червя, казалось бы, не особо-то и оригинальный — через USB-флешки. Но autorun.inf тут уже ни при чем. В дело вступает новая уязвимость, которая позволяет загружать произвольную .DLL-библиотеку, как только флешка будет вставлена, и пользователь откроет ее содержимое. Дело в том, что на флешке лежит .DLL-файл с вредоносным кодом (ну, фактически расширение, в случае с червем, — .TMP) и .LNK-файл. Файл с расширением .LNK является обычным ярлыком. Но в нашей ситуации ярлык не совсем обычный. При отображении ярлычка в стандартной оболочке или Total Commander автоматически выполнится лежащий рядом .DLL-файл со всеми вытекающими отсюда последствиями! Как такое могло произойти?

Как известно, ярлык указывает на исполняемый файл и при двойном щелчке вызывает его. Но тут все без щелчков, да и .DLL-файл так не выполнить. Если рассмотреть ярлык в HEX-редакторе, можно увидеть, что в его середине указан путь до нашей .DLL. Кроме того, это не обычный ярлычок, а ярлычок на элемент панели управления! Эта-то деталь все и объясняет. Любой элемент панели управления — .CPL- апплет. Но CPL — это, по сути, простая .DLL, поэтому ярлык для панели управления особый, он как бы понимает, что имеет дело с .DLL. Кроме того, такой ярлык пытается ВЫТАЩИТЬ иконку из.DLL, чтобы отобразить ее в проводнике. Но для того, чтобы вытащить иконку, надо подгрузить библиотеку. Что, собственно, оболочка и делает с помощью вызова LoadLibraryW().

Справедливости ради стоит отметить, что вызов этой функции автоматически влечет за собой выполнение функции DllMain() из подгружаемой библиотеки. Поэтому, если такой ярлычок будет указывать не на .CPL-апплет, а на злую библиотеку со злым кодом (в функции DllMain()), то код выполнится АВТОМАТИЧЕСКИ при просмотре иконки ярлыка. Кроме того, эту уязвимость можно использовать и с помощью .PIF-ярлыков.

Obey-Kun · 26.02.2011, 20:04

Цитата:

Ога. Лилит или ДОС ))))

Ну под дос-то вирусы были. А лилит это не ОС, на лилитах был Оберон.
upd: вру, ос на них вообще не имела названия, зато была написана на Modula-2. А на советском их клоне была ОС Excelsior — http://ru.wikipedia.org/wiki/Kronos

26.02.2011, 08:11	#1
dr.Chas *** Участник клуба Регистрация: 30.07.2007 Сообщений: 1,162	Как происходит заражение windows через флешки? Через автозапуск, это понятно. Если запустить заражённый файл. Ещё какие способы? (интересует теория) profdev

26.02.2011, 08:13	#2
Obey-Kun Линуксоид Участник клуба Регистрация: 31.07.2009 Сообщений: 1,403	Не уверен, но наверняка можно ещё через генератор thumbnail'ов. Я схожу с ума или это глючит реальность? Jabber ID: obey@obey.su

26.02.2011, 19:09	#8
Obey-Kun Линуксоид Участник клуба Регистрация: 31.07.2009 Сообщений: 1,403	Можно отключить генерацию миниатюр. Можно использовать нормальную ОС . Я схожу с ума или это глючит реальность? Jabber ID: obey@obey.su

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Windows - ошибка защиты от записи (флешки)	Golder-91	Компьютерное железо	1	20.01.2011 15:23
Ремонт флешки как?	Virus25	Компьютерное железо	16	26.06.2010 18:12
Как происходит Компиляция?	ZhekON	Свободное общение	21	22.04.2010 10:06
как происходит вращение, растяжение объекта?	Dmitry72	Мультимедиа в Delphi	3	05.11.2009 17:38

26.02.2011, 08:17	#3
Виталий Желтяков Старожил Регистрация: 19.04.2010 Сообщений: 2,702	Через любые процессы запускаемые как system. В Windows система прав ошибочная поэтому существует так много вирусов для этой системы.