Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Уязвимости - Защита от Winlock - блокировка реестра

Ответить
Настройки темы
Уязвимости - Защита от Winlock - блокировка реестра

Новый участник


Сообщения: 12
Благодарности: 1

Профиль | Отправить PM | Цитировать


Доброго времени суток!

Прошу вашего мнения, уважаемые специалисты! Насколько эффективна будет блокировка веток реестра от записи (те установка разрешений только на чтение определенному пользователю непосредственно через через regedit) для защиты от так называемого Winlock.

Например, в последнее время мне попадается этот вирус, состоящий из исполняемого файла с одним и тем-же именем ms.exe (около 20 случаев) Хотя картинку они показывают разную.
Прописывется автозапуск в две ветки:
1: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
2: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


В принципе можно установить разрешения только на чтение и на остальные ветки автозапуска. (вообще после установки всех программ пользователю особо ни к чему помещать много программ в автозагрузку) Установил программу- запускай с ярлыка!

Насколько эффективны данные меры? Могут ли вирусы обходить разрешения на конкретного пользователя, например запись от имени SYSTEM?. Или вирусы умеют изменять права доступа? На одном форуме прочитал, что ни в коем случае нельзя запрещать доступ системе (имя SYSTEM)- иначе получим BSOD. На сохраненных мной винлокерах потренировался - запись в реестр уже не могут сделать.

Пробовал запрещать доступ как администратору, так и простому пользователю (только не всей группе Администраторы- для подстраховки могу создать еще одного админа с целью отмены запретов) Все отлично работает.

А например, для автоматизации сей работы можно написать батничек, например на основе программки subinacl, и менять разрешения одним кликом!
Вопрос насчет этой самой subinacl: чтобы отменить запрет нужно запускать только от имени рарешенного пользователя? (по-другому как то нелогично получается - если можно снимать запрет от запрещенного пользователя.....)


Да, есть такая фишка у антивируса- проактивная защита (у NOD32 и касперского) и настроить можно, чтоб автоматом блокировались изменения в автозапуске, но вопрос в в блокировке реестра кажется проще и надежнее! Взяли да удалили антивирус или переустановили (да мало ли что может случиться!) вирус уже не запишется.

Отправлено: 23:13, 08-08-2012

 

Аватара для xoxmodav

PainStaking


Moderator


Сообщения: 3992
Благодарности: 442

Профиль | Отправить PM | Цитировать


WindowsNT, в который раз в голову приходит предложить вам написать подробную, но доступную рядовому пользователю, статью о SRP и создать шаблоны для её упрощённого применения. А также создать отдельную тему, в которой вести диалог по улучшению предлагаемых шаблонов.

-------
RadioActive - and therefore harmful, cynical and the extremely dangerous.


Отправлено: 09:46, 13-09-2012 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для yurfed

Ветеран


Сообщения: 20133
Благодарности: 3145

Профиль | Отправить PM | Цитировать


xoxmodav, WindowsNT, на сколько я понял, все шаблоны и камни в мой огород.
Цитата xoxmodav:
но доступную рядовому пользователю, статью о SRP и создать шаблоны »
А теперь представьте что вы приходите к пятикласнице со своим шаблоном и пока не вставите ей этот шаблон, для неё это будет тёмным лесом, пусть и для "людей" сделано.

Цитата WindowsNT:
По-прежнему считаю необходимым отметить, указанная программа мерой предотвращения заражения НЕ является. Она лишь констатирует уже произошедшую компрометацию. »
Она даёт вам выбор - менять запись в реестре или нет.

PS
Например, идёт запись в реетр. Делайте всё, что угодно. Программа не лечит, она калечит, если мозгов нет.

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Последний раз редактировалось yurfed, 13-09-2012 в 10:59.


Отправлено: 10:05, 13-09-2012 | #12


Ветеран


Сообщения: 1496
Благодарности: 384

Профиль | Отправить PM | Цитировать


1. Статья-то уже есть, давал жеж. Таки, уже испробовали, нашли слабые места с точки зрения usability? Дадите свои рекомендации?

2. Если пятиклассница берётся исполнять роль системного администратора, то пусть её исполняет как должно быть. Если же не берётся, то пусть вызывает человека на периодическое обслуживание сложного программно-аппаратного комплекса под названием "компьютер". Чесслово, пора уже заканчивать с психологией советского человека, который проводил выходные в гараже, подкручивая гайки на "Жигулях". Уже давно и гайки не те, и жигули, всё стало гораздо сложнее. Поэтому тут вопрос, скорее, к вам — вы сами Whitelisting испытали? Поняли, как работает? Troubleshooting провести сможете? Рекомендации по безопасности и прочие FAQ подправили?

3. Запись в реестре не сама по себе появляется, это делает malicious software, которое _уже_ исполнилось в системе, факт компрометации _уже_ имеет место быть. Поэтому мерой предотвращения и не является .) "Лечение уже случившейся компрометации" — это раздел строчкой ниже.

-------
Microsoft Certified Trainer; Cisco Certified Systems Instructor; Certified EC-Council Instructor; Certified Ethical Hacker v8.


Отправлено: 15:04, 13-09-2012 | #13


Аватара для xoxmodav

PainStaking


Moderator


Сообщения: 3992
Благодарности: 442

Профиль | Отправить PM | Цитировать


Цитата WindowsNT:
1. Статья-то уже есть, давал жеж. Таки, уже испробовали, нашли слабые места с точки зрения usability? Дадите свои рекомендации? »
Не видел статью - можно пруф (странно, что нет ссылки на неё в вашей подписи)?

Цитата WindowsNT:
2. Если пятиклассница берётся исполнять роль системного администратора, то пусть её исполняет как должно быть. Если же не берётся, то пусть вызывает человека на периодическое обслуживание сложного программно-аппаратного комплекса под названием "компьютер". Чесслово, пора уже заканчивать с психологией советского человека, который проводил выходные в гараже, подкручивая гайки на "Жигулях". Уже давно и гайки не те, и жигули, всё стало гораздо сложнее. Поэтому тут вопрос, скорее, к вам — вы сами Whitelisting испытали? Поняли, как работает? Troubleshooting провести сможете? Рекомендации по безопасности и прочие FAQ подправили? »
Ну да, ну да - десятилетия огромные корпорации трудились над упрощением компьютера, а сейчас WindowsNT решил, что пора возвращаться к изначальному - в каменный век, когда умение работать с компьютером было сродни шаманству или как это понимать? Я работал с SRP и ничего особо сложного при работе с ними не заметил, но обращаясь к вам (раз уж вы такой мегаспец и в каждом втором своём посте упоминаете про SRP), я просил сделать их использование простым для рядового домашнего пользователя. И не надо приплетать сюда их профессиональные навыки, уровень грамотности и образования.

-------
RadioActive - and therefore harmful, cynical and the extremely dangerous.

Это сообщение посчитали полезным следующие участники:

Отправлено: 08:26, 14-09-2012 | #14


Аватара для yurfed

Ветеран


Сообщения: 20133
Благодарности: 3145

Профиль | Отправить PM | Цитировать


Цитата WindowsNT:
3. Запись в реестре не сама по себе появляется, это делает malicious software, которое _уже_ исполнилось в системе, факт компрометации _уже_ имеет место быть. Поэтому мерой предотвращения и не является .) "Лечение уже случившейся компрометации" — это раздел строчкой ниже. »
Вы по моему не видите или не хотите видеть, что идёт предложение отмены записи в реестр.
Последний скрин специально сделал для вас. Просто внёс в загрузку параметр и мгновенная реакция.

Цитата WindowsNT:
Чесслово, пора уже заканчивать с психологией советского человека »
Уже закончили, а вы ещё помните и не к месту зачем то вспоминаете.

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 08:55, 14-09-2012 | #15


Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата Диман_Д:
Подхватил новую версию винлока. Он не модифицирует системный реестр - создает новый реестр! »
Разобрался...
Файл UserNT.DAT это файл реестра конкретного пользователя.
Для удаления этого Winlock просто исправьте Shell, в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, а потом соответственно удалите и тело вируса.
Обсуждал со спецами это здесь :
http://forum.drweb.com/index.php?showtopic=310932&st=0

Последний раз редактировалось iskander-k, 16-09-2012 в 23:54. Причина: вредный совет


Отправлено: 15:33, 16-09-2012 | #16


Аватара для yurfed

Ветеран


Сообщения: 20133
Благодарности: 3145

Профиль | Отправить PM | Цитировать


Цитата Диман_Д:
Для удаления этого Winlock просто сотрите ключ Shell, »
Не сотрите, а исправьте на правильные значения, иначе рискуете остаться без системы вообще
Кстати, эти два параметра показаны на скрине (не полностью видно) в сообщении N9

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 22:43, 16-09-2012 | #17


Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата yurfed:
Не сотрите, а исправьте на правильные значения, иначе рискуете остаться без системы вообще »
как раз, сотрите... речь идет про ветвь реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Посмотри у себя чистый реестр - нету там Shell.
А данный Winlock прописывается именно в эту ветвь. Проэксперементируй , файл скачал?

Цитата iskander-k:
Последний раз редактировалось iskander-k, Вчера в 23:54. Причина: вредный совет
Уважаемый товарищ iskander-k, вы разберитесь в теме. Я уже столкнулся с этим Winlock, так что он правит не основную ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon а HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon где Shell в принципе и быть не должно. Для меня было открытием. Гляньте как работает Winlock или почитайте на форуме Dr.Web. Ссылка http://forum.drweb.com/index.php?showtopic=310932&st=0

Последний раз редактировалось Диман_Д, 17-09-2012 в 07:40.


Отправлено: 07:28, 17-09-2012 | #18


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


Цитата Диман_Д:
Гляньте как работает Winlock »
Знаю и смотрел. На указанном вами форуме нет совета удалить ключ.

У вас не правильный был совет
Цитата:
" .... просто сотрите ключ Shell.
А нужно как указал yurfed, исправить ! В данном контектсе должно звучать удалить параметр Shell в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

А удалить ключ или удалить параметр - это две большие разницы.!

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 13:47, 17-09-2012 | #19


Аватара для yurfed

Ветеран


Сообщения: 20133
Благодарности: 3145

Профиль | Отправить PM | Цитировать


Диман_Д, вроде я про ветку HKEY_CURRENT_USER не обмолвился ни словом.
Вы хотя бы на скрин посмотрели что там написано и в какой ветке это находится.
Но вы можете у себя удалять.
А вы знаете что ветки HKEY_CURRENT_USER, как и HKEY_CLASSES_ROOT не существует физически. Это виртуальные ветки и хранятся в памяти, после загрузки системы. Что вы там собрались менять, не совсем понятно.


Цитата Диман_Д:
Я уже столкнулся с этим Winlock, »
Я с этим сталкиваюсь иногда по несколько раз на дню.

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Последний раз редактировалось yurfed, 17-09-2012 в 16:05.


Отправлено: 15:57, 17-09-2012 | #20



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Уязвимости - Защита от Winlock - блокировка реестра

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
WinLock 6.01 OSZone Software Новости программного обеспечения 0 04-08-2012 22:30
C/C++ - [решено] защита ключа реестра от изменений путем WinApi O L E G Программирование и базы данных 0 03-06-2012 16:36
Вопрос - Защита от вирусов - запрет на запись в ветку реестра Winlogon. mspuz Защита компьютерных систем 4 27-10-2011 03:30
[решено] WinLock блокировка входа в Windows Fomarkin Лечение систем от вредоносных программ 5 15-02-2010 21:00




 
Переход