Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Опасности для пользователей Windows

Автор: exMIB
Дата сообщения: 14.03.2005 02:16
Microsoft предупреждает о новой опасности для пользователей Windows

На этой неделе, на конференции по информационной безопасности RSA Security 2005 представители Microsoft, Майк Дансеглио (Mike Danseglio) и Курт Диллард (Kurt Dillard) из Security Solutions Group предупредили о новой опасности для пользователей Windows.

Исходит она от нового поколения программ, установленных на уровне ядра ОС, которые используют хакеры для мониторинга системы пользователя (т.н. "kernel rootkits"). По мнению представителей MS, их практически невозможно обнаружить современными средствами защиты.

Эти программы потенциально могут быть использованы для создания нового поколения программ-шпионов (spyware) и "червей", утверждают эксперты.
Программы для удаленного мониторинга системы существуют уже давно, последнее поколение таких приложений, созданных злоумышленниками, носят названия "Hacker Defender", "FU", "Vanquish" и др. Хакеры используют их для контроля системы, проведения атаки или передачи информации с пораженного компьютера. Как правило, эти приложения устанавливаются на ПК пользователя без его ведома (при помощи вируса или хакерской атаки).
Эти программы выполняются в "фоновом" режиме, а найти их можно в списке запущенных процессов пораженной системы, или при тщательном мониторинге исходящего трафика.
Новые разновидности rootkits в большинстве способны перехватывать запросы и системные вызовы, которые передаются ядру ОС и отфильтровывать те, что были сгенерированы самой вредоносной программой. В результате типичные признаки запущенного приложения (имя исполнимого файла, именованный процесс) невидимы для администраторов и антивирусных программ.
По словам Динсеглио, единственный надежный способ удалить такую программу – отформатировать жесткий диск и заново установить операционную систему.

Источник: _http://moscow-club.com/modules.php?name=News&file=article&sid=61
Автор: bredonosec
Дата сообщения: 14.03.2005 04:07

Цитата:
от нового поколения программ, установленных на уровне ядра ОС
- В числе служб или процессов отображается?


Добавлено:
Упс.. не заметил
Цитата:
а найти их можно в списке запущенных процессов пораженной системы, или при тщательном мониторинге исходящего трафика.

Цитата:
В результате типичные признаки запущенного приложения (имя исполнимого файла, именованный процесс) невидимы для администраторов и антивирусных программ.
- Так для кого именно невидимы? Для админа сетки, или юзера, сидящего за компом под правами админа?
И разве нельзя остановить/удалить процесс, если его видишь? Или от него пройти к исполняемому файлу и по**рить его, а потом в реестре все упоминания о нем?
Автор: Maxer
Дата сообщения: 14.03.2005 14:29
bredonosec
гы, а устанавливаться
Цитата:
Новые разновидности rootkits
должны при непосредственном доступе хакера к компьютеру жертвы

не смешите. rootkit'ы никогда меня не тревожили.
Автор: bredonosec
Дата сообщения: 14.03.2005 18:10

Цитата:
при непосредственном доступе хакера к компьютеру жертвы
- То есть, только сидя на нем? Радмин и иже с ними не помошники? (хотя что это за уязвимость, если для её использования необходимо сначала радмин ставить )))
Автор: Maxer
Дата сообщения: 14.03.2005 19:48
bredonosec
это я пошутил, про этот руткит, но скорее всего это так и есть. нельзя с помощью его что-то реально хачнуть, а руткиты для этих целей юзают только дятлы.

вобще руткиты предназначены для управления сетей сисадминами.
Автор: dg
Дата сообщения: 14.03.2005 20:21
В самом факте руткитов нет ничего нового — просто изначально они разрабатывались для серверных ОС и не были широко известны. Информацию о том, что такое руткит и как примерно с ним можно бороться можно почерпнуть из статьи Защита систем семейства *nix от руткитов (rootkit). Там, конечно, не про Windows, но суть передана понятно.

Руткиты под Windows тоже существуют довольно давно, только вот никому в голову не приходило пугать ими рядовых пользователей. Теперь ситуация медленно меняется, однако уверен, что без инструментов борьбы с руткитами мы не останемся. Например, вот хорошая бесплатная утилита: RootkitRevealer от Sysinternals. Главная проблема пока что — не недостаток инструментов, а недостаток квалификации, ибо руткит по определению прячется глубоко в системе и выковырять его оттуда среднему пользователю очень сложно. Действительно, проще систему переставить — но где гарантии, что заражение не последует снова тем же способом? Поэтому пока что более или менее надёжной стратегией безопасности по-прежнему является своевременное обновление Windows, использование последних антивирусных баз (про категорическую необходимость антивируса как факта в жизни я не говорю уже, да) и настроенного файрвола. Ну, и, конечно, элементарный здравый смысл при определении того, кому и какие права на свой компьютер давать. В конце концов, руткит представляет опасность только по факту внедрения в систему, а перед этим злоумышленник вынужден пользоваться теми же методами, которые служат причиной распространения вирусов, червей и так далее.

Надо полагать, что в скором будущем должны появиться и коммерческие утилиты, ориентированные на борьбу с руткитами и предназначенные для конечных пользователей. Кстати, подозреваю, что авторы сабжевой статьи излишне драматизирует ситуацию, подогревая рынок для таких программ — умышленно или нет. Которые должны будут иметь более простой интерфейс вплоть до стиля «нажми на кнопку — получишь результат».

Что же касается текущего обсуждения, то оно выходит за пределы тематики форума «Операционные системы» (см. пункт 1.1 Правил). Поэтому прошу автора темы написать мне в ПМ, куда её переместить. Как варианты предлагаю форумы «Андеграунд» или «Флейм». Туда тема и отправится, если за сутки мне никто не напишет. Надеюсь на ваше понимание.
Автор: Maxer
Дата сообщения: 14.03.2005 20:36
dg
бред однозначно. руткиты намного проще обнаружить и обезвредить по сравнению с вирусами, троянами(руткиты очень похожи на троянов) и всяким, нынче новым, spyware.

Страницы: 1

Предыдущая тема: Xp Tablet PC Edition


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.