PDA

Показать полную графическую версию : Ставим точку на LLC Mail.Ru &Ko


Reset5
16-08-2014, 19:00
Данная тема не является каким либо "тайным знанием".
Она создана как гайд/шпаргалка для пользователей домашних ПК и тех кто обслуживает чужие ПК.
Ситуация с недобросовестным использованием ЭЦП известных софтверных компаний давно вышла из под контроля.
Например: компания Mail.Ru изготовила подписанный загрузчик, который совершенно "легально" скачивает нелегальную программу на ваш компьютер.
Скандалы, интриги и расследования, можно почитать на хабре: http://habrahabr.ru/post/172393
Вредоносная программа с лёгкостью запустится, потому что проактивная защита антивируса (для примера Kaspersky) в дефолтной настройке доверяет всем программам имеющим цифровую подпись.
Будьте бдительны! Даже если вы снимете злосчастную галочку, то на защиту какого нибудь "спутника_защитника_апдейтера_майл.ру", тут же бросится репутационный сервис KSN,
который основываясь на разрешающих или запрещающих правилах пользователей, вынесет вердикт: "разрешить". Интересно, да?
Миллионы мух не могут ошибаться ©

http://savepic.ru/5599429m.jpg (http://savepic.ru/5599429.htm)

Далее. Производители ненужного и непонятного софта, вписали в свои инсталяторы путь %userprofile%\AppData. Это позволяет установить, например, браузер Амиго не имея прав администратора.
По сути, это portable-версия, которая просто разархивируется по указанному пути.
Конечно, на крупных предприятиях/учереждениях имеющих доменную структуру сети и штат администраторов, эта проблема не стоит.
Всё контролируется политиками безопасности и зарезаными в хлам правами пользователя.
В мелких одноранговых сетях, имеющих выход в интернет с аутсорсным администрированием вопрос стоит в полный рост.
Ещё дело осложняется использованием узкоспециального софта, который не желает понимать стандартное разделение прав пользователей и требует, например, прав уровня "опытный пользователь".
Такая ситуация сложилась и в той фирме которую я обслуживаю. Парк 8 машин + файлопомойка на дебиане + выход в сеть по АДСЛ.
Еженедельно я вычищал ОС от различных тулбаров, браузеров и "защитников". Надоело очень быстро и я начал искать решение.
Первое что пришло в голову, это использование KES v10 в котором присутствует необходимый функционал по контролю запуска приложений. Однако я рано обрадовался:
http://forum.kaspersky.com/index.php?showtopic=291424
Т.е. не работает. Когда исправят - не ясно. После последних обновлений из некоторых файлов метаданные стали извлекаться. Пробуйте.

http://savepic.ru/5585115m.jpg (http://savepic.ru/5585115.htm)

Второе решение оказалось самым универсальным и наиболее правильным: использовать встроенные средства ОС windows, а именно: блокировку по сертификату.
Чтобы это сделать нужны сами сертификаты. За два-три дня я нашёл все наиболее распространённые в рунете тулбары etc/
Даю ссылку на архив с сертификатами и самими программами+WebaltaKiller:
https://www.dropbox.com/s/5n74mqsg3rkj9xo/23.04.16.pfx?dl=1 - обновлено 23.04.16
для удобного сравнения "версий", добавлено хранилище сериализованных сертификатов:
https://www.dropbox.com/s/nxkg5e2mehs4zry/23.04.06.sst?dl=1 - обновлено 23.04.16
При открытии файла *.sst, можно наглядно сравнить, то что у вас уже установлено с тем что вы собираетесь устанавливать

Состав архива:

http://savepic.ru/5629147m.jpg (http://savepic.ru/5629147.htm)

Описывать как выполнить настройку блокировки я не буду, предлагаю воспользоваться уже готовым:
http://macrodmin.ru/2011/10/kontrol-zapuska-prilozhenij-v-windows
Для Windows 7 всё так же, но предварительно необходимо включить опцию: "применять правила сертификатов"

http://savepic.ru/5612763m.jpg (http://savepic.ru/5612763.htm)

http://savepic.ru/5635293m.jpg (http://savepic.ru/5635293.htm)

А можно сделать ещё проще: не извлекая сертификат, установить его в хранилище сертификатов к которым нет доверия:

http://savepic.ru/5631196m.jpg (http://savepic.ru/5631196.htm)

Проверить появился ли сертификат в хранилище можно так: пуск - выполнить - certmgr.msc

http://savepic.ru/5611740m.jpg (http://savepic.ru/5611740.htm)

http://savepic.ru/5626077m.jpg (http://savepic.ru/5626077.htm)

На этом у меня всё, спасибо за внимание и добра вам.

mwz
17-08-2014, 13:01
и самими программами+WebaltaKiller »
Спасибо. :)
WebaltaKiller -- есть на полгода посвежее (v1.2, видимо последняя; ссылка есть на борде).
Для коллекции (тоже иногда их тулбар задалбывает) можно взять ещё и сертификат Yahoo (http://mwz-ru.homeserver.com/main/tests/Yahoo_cer.zip).

[мечтательно] А если ещё и скриптом оформить... :)

Reset5
02-11-2014, 17:53
Периодически буду проводить обновление архива "полезных" программ и сертификатов.
Ссылка в первом посту будет меняться.
Ориентируйтесь на дату изменения поста.

Reset5
29-03-2015, 12:28
Для удобства скачивания и установки, изменил состав архива на формат файла обмена личной информацией llc_block.pfx

http://savepic.net/6488787m.jpg (http://savepic.net/6488787.htm)

http://savepic.net/6523603m.jpg (http://savepic.net/6523603.htm)

Для установки данного файла пароль: 12345
Добавлены сертификаты Baidu, Yahoo и McAfee, Inc. (установка McAfee Security Scan Plus c Adobe Flash Player)
Внимание!
Тем кто использует антивирус от McAfee, необходимо удалить три сертификата из хранилища.

http://savepic.net/6545107m.jpg (http://savepic.net/6545107.htm)

Ссылка на dropbox добавлена в первый пост.

DJ Mogarych
02-04-2015, 14:13
А если ещё и скриптом оформить... »
А вот:
certutil -f -addstore Disallowed "%~dp0cert.cer"
cert.cer - имя сертификата, %~dp0 - указание на путь, где лежит скрипт (вместе с конечным слэшем).
*.cer не работает, но, может, кто-нибудь подскажет, как скормить certutil текстовый список.

Также хотелось бы добавить в коллекцию:
Skymonk2
AlterGeo HTML5 Geolocation Provider

Дополнительно прилагаю таблицу названий хранилищ сертификатов (CertificateStoreName Enumeration (http://www.dart.com/help/ptsslnet/Dart.PowerTCP.SslSockets~Dart.PowerTCP.SslSockets.CertificateStoreName.html))

Reset5
03-04-2015, 15:17
как скормить certutil текстовый список »
Хм. А смысл? При наличии .pfx

Reset5
03-10-2015, 08:08
Обновил список сертификатов. Добавлены свежие от Baidu, OpenCandy, Babylon, MailRU, etc
Ссылка в первом посту.

Reset5
10-12-2015, 08:20
Обновлено для Baidu, MailRU, iobit.
Напоминаю, перед установкой сертификатов, проверьте включена ли политика:

http://savepic.su/6689481m.jpg (http://savepic.su/6689481.htm)

Если пункт "Политики ограниченного использования программ" у вас пуст, то кликните ПКМ - "создать", а потом - "применение".

Reset5
26-02-2016, 13:10
Добавлены новые, интересные тараканы. И снова Comodo сертифицирует adware.
Обновляемся.

А_н_д_р_ей
02-03-2016, 03:44
Надо ещё указать что это всё заработает только после перезагрузки системы. И что эти конторки сертификаты меняют как перчатки :) Пример PuntoSwitcher скачанный в 2014 году не запустился. А вот скачанный в этом году запросто.
Это значит сертификат в вашем архиве уже устарел...?
http://jpegshare.net/thumbs/ed/7d/ed7dfa0efd472c1a20b0844178169baa.jpg (http://jpegshare.net/ed/7d/ed7dfa0efd472c1a20b0844178169baa.jpg.html)

http://jpegshare.net/thumbs/46/f4/46f407f4b9804ce5700c6cba38b74896.jpg (http://jpegshare.net/46/f4/46f407f4b9804ce5700c6cba38b74896.jpg.html)

p.s А так, спасибо за инструкцию за архив. Не забывайте обновлять список

http://forum.ru-board.com/topic.cgi?forum=5&bm=1&topic=39388&start=0

Reset5
02-03-2016, 08:46
Пример PuntoSwitcher »
Сертификаты yandex обновились 24 февраля и я попросту прое##л вспышку.
Сегодня перезалью. Спасибо.

только после перезагрузки системы »
Претензия не принимается, т.к. данное действие является само собой разумеющимся при подобных операциях. :)

конторки сертификаты меняют как перчатки »
Вы слишком хорошо о них думаете. Ничего они не меняют, или меняют крайне редко.
К примеру тот же mail.ru до сих пор успешно использует сертификаты из списка, причём срок их давно истёк.
А конкретные "враги", которые периодически обновляют свои сертификаты, например ClientConnect LTD, находятся под моим пристальным вниманием.
Обновляю список я примерно раз в месяц.
Этого вполне достаточно, что-бы избежать множества проблем.

А_н_д_р_ей
03-03-2016, 04:49
Ещё картинки. И сама программа Агент мейл ру
http://file.sampo.ru/jfqjft/
http://file.sampo.ru/3394fv/
http://ipic.su/img/img7/tn/Snimok.1456969837.png (http://ipic.su/img/img7/fs/Snimok.1456969837.png)

Reset5
03-03-2016, 22:02
Ахах )) Сертификаты разделили.
Перед тем как обновлять ссылку на .pfx, я скачивал и проверял "amigo_setup".
Раньше у всех их "супер-программ" был единый сертификат.
Теперь разделили. Ну молодцы. Будем иметь ввиду.
Спасибо за подсказку, ссылку обновил.

А_н_д_р_ей
06-03-2016, 04:08
А я говорил что они постоянно "мутят" с сертификатами, так как, скорее всего, знают про эти методы защиты политиками. Могут в каждой новой версии менять, кто им запретит? :)

Reset5
07-03-2016, 11:04
кто им запретит? »
Думаю их финотдел.
Это не бесплатное мероприятие.
Что гадать? Посмотрим :)

Reset5
08-03-2016, 11:18
Обновлены сертификаты Baidu, OpenCandy, IObit, yandex, добавлено ещё несколько паразитов.

Reset5
27-03-2016, 18:33
http://savepic.ru/9135953m.jpg (http://savepic.ru/9135953.htm)

Я плакалЬ ©

Герой добавлен в списки :)

Reset5
13-08-2016, 16:35
Продолжает радовать (внезапно11) браузер Edge. :)
Теперь при скачивании файла с заблокированным сертификатом, будем наблюдать следующее:

http://savepic.ru/10888972m.jpg (http://savepic.ru/10888972.htm)




© OSzone.net 2001-2012