Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   Защита от Winlock - блокировка реестра (http://forum.oszone.net/showthread.php?t=240230)

Sun-rise 08-08-2012 23:13 1967066

Защита от Winlock - блокировка реестра
 
Доброго времени суток!

Прошу вашего мнения, уважаемые специалисты! Насколько эффективна будет блокировка веток реестра от записи (те установка разрешений только на чтение определенному пользователю непосредственно через через regedit) для защиты от так называемого Winlock.

Например, в последнее время мне попадается этот вирус, состоящий из исполняемого файла с одним и тем-же именем ms.exe (около 20 случаев) Хотя картинку они показывают разную.
Прописывется автозапуск в две ветки:
1: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
2: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


В принципе можно установить разрешения только на чтение и на остальные ветки автозапуска. (вообще после установки всех программ пользователю особо ни к чему помещать много программ в автозагрузку) Установил программу- запускай с ярлыка!

Насколько эффективны данные меры? Могут ли вирусы обходить разрешения на конкретного пользователя, например запись от имени SYSTEM?. Или вирусы умеют изменять права доступа? На одном форуме прочитал, что ни в коем случае нельзя запрещать доступ системе (имя SYSTEM)- иначе получим BSOD. На сохраненных мной винлокерах потренировался - запись в реестр уже не могут сделать.

Пробовал запрещать доступ как администратору, так и простому пользователю (только не всей группе Администраторы- для подстраховки могу создать еще одного админа с целью отмены запретов) Все отлично работает.

А например, для автоматизации сей работы можно написать батничек, например на основе программки subinacl, и менять разрешения одним кликом!
Вопрос насчет этой самой subinacl: чтобы отменить запрет нужно запускать только от имени рарешенного пользователя? (по-другому как то нелогично получается - если можно снимать запрет от запрещенного пользователя.....) :wow:


Да, есть такая фишка у антивируса- проактивная защита (у NOD32 и касперского) и настроить можно, чтоб автоматом блокировались изменения в автозапуске, но вопрос в в блокировке реестра кажется проще и надежнее! Взяли да удалили антивирус или переустановили (да мало ли что может случиться!) вирус уже не запишется.

Sun-rise 08-08-2012 23:28 1967076

Да, хочу добавить, создание просто ограниченной учетки не помогает- вирус спокойно записывается в автозапуск!
И нужно также ограничивать доступ к реестру.

Все-таки склоняюсь к блокировке изменений веток автозапуска в реестре у админской учетки.

morozoff 08-08-2012 23:46 1967087

Цитата:

Цитата Sun-rise
Да, хочу добавить, создание просто ограниченной учетки не помогает- вирус спокойно записывается в автозапуск! »

Просто не дайте вирусу запуститься.
Создайте ограниченную учётную запись для работы в интернете и примените к ней Политику ограниченного использования программ. После этого в этой учётной записи вирус не сможет запуститься и прописать себя в Автозагрузку.
И вообще советую вам прочитать Как защитить компьютер от вирусов.

Sun-rise 09-08-2012 01:36 1967120

Цитата:

Цитата morozoff
примените к ней Политику ограниченного использования программ. »

если винда XP Home edition или Win7 Basic, то в ней нет элементов управления безопасностью... (Или я ошибаюсь?)

Цитата:

Цитата morozoff
И вообще советую вам прочитать Как защитить компьютер от вирусов. »

Эти правила, в общем, мне знакомы.

Использование защиты рассматриваю для установки на компьютеры моих клиентов, чтобы избежать повторного заражения.

И если от остальных вирусов платный и как следует обновляющийся антивирус неплохо справляется, то с Winlock все очень плохо.

Ловят и с NOD32 и с Касперским и с AVAST.... и т.п.

Обучение правилам пользования в сети обычным юзерам не помогают... Все равно где-нибудь да подхватят этот самый winlock.

Поэтому нужна универсальная защита.

morozoff 09-08-2012 09:04 1967178

Цитата:

Цитата Sun-rise
если винда XP Home edition или Win7 Basic, то в ней нет элементов управления безопасностью... (Или я ошибаюсь?) »

Да, вы правы:
Цитата:

Windows 7 (Home Premium, Home Basic и Starter) не имеют встроенного редактора групповой политики.
Цитата:

В Windows XP Home Edition не входит редактор групповых политик (gpedit.msc).

WindowsNT 09-08-2012 10:38 1967240

Редактирование разрешений на указанные ключи реестра мерой безопасности не являются.

Действительно, антивирусные программы не могут защитить компьютеры от вирусов, это факт.
Действительно, конкретно против WinLock-а ответом является только Application Whitelisting (например, Software Restriction Policies или AppLocker).
Также, не забывайте о резервном копировании, в том числе Shadow Copies. Данные могут пострадать не только от WinLock-а!

Использовать Home Edition считаю невозможным вообще никак, никогда и нигде именно из-за отсутствия политик безопасности в них. Выбрасывайте эту систему в мусорник, с ней защититься невозможно как класс.

morozoff 09-08-2012 11:04 1967257

Цитата:

Цитата WindowsNT
Использовать Home Edition считаю невозможным вообще никак, никогда и нигде именно из-за отсутствия политик безопасности в них. Выбрасывайте эту систему в мусорник, с ней защититься невозможно как класс. »

Ну, на счёт выбрасывать вы погорячились. Можно ведь воспользоваться Программой обновления Windows Anytime Upgrade. Её ведь никто не отменял :)

Диман_Д 13-09-2012 07:08 1987741

Подхватил новую версию винлока. Он не модифицирует системный реестр - создает новый реестр!
Загрузился со второй партиции, начал сканить зараженный диск С.
Др.Веб вылетел с ошибкой сканирования. Ладно, щас подчищу в реестре. Загружаю кусты с зараженой машины - f:\WINDOWS\system32\config\software. Все пути правильные. На всякий случай ставлю в Shell = Тотал коммандер.
Перезагружаюсь... Опять винлок, тоталом и не пахло...
Копал , копал... - накопал. В папке User лежит *.ехе файл - винлок (Trojan.Winlock.6578) и здесь же реестр. Загрузив куст реестра уже отсюда f:\Documents and Settings\User\NTUSER.DAT вижу загружаемый в Шелл винлок.



Вопрос - как вернуть использование старого (основного) реестра ?

yurfed 13-09-2012 08:00 1987754

Sun-rise, есть небольшая утилитка WinPatrol, отслеживает все изменения реестра, да и много что ещё. Добавить отслеживаемые ключи реестра можно только в зарегистрированной версии.

WindowsNT 13-09-2012 09:12 1987778

По-прежнему считаю необходимым отметить, указанная программа мерой предотвращения заражения НЕ является. Она лишь констатирует уже произошедшую компрометацию.
Тем временем, игнорируя SRP, пользователи продолжают жрать кактус.

xoxmodav 13-09-2012 09:46 1987793

WindowsNT, в который раз в голову приходит предложить вам написать подробную, но доступную рядовому пользователю, статью о SRP и создать шаблоны для её упрощённого применения. А также создать отдельную тему, в которой вести диалог по улучшению предлагаемых шаблонов.

yurfed 13-09-2012 10:05 1987807

xoxmodav, WindowsNT, на сколько я понял, все шаблоны и камни в мой огород.
Цитата:

Цитата xoxmodav
но доступную рядовому пользователю, статью о SRP и создать шаблоны »

А теперь представьте что вы приходите к пятикласнице со своим шаблоном и пока не вставите ей этот шаблон, для неё это будет тёмным лесом, пусть и для "людей" сделано.

Цитата:

Цитата WindowsNT
По-прежнему считаю необходимым отметить, указанная программа мерой предотвращения заражения НЕ является. Она лишь констатирует уже произошедшую компрометацию. »

Она даёт вам выбор - менять запись в реестре или нет.

PS
Например, идёт запись в реетр. Делайте всё, что угодно. Программа не лечит, она калечит, если мозгов нет.

WindowsNT 13-09-2012 15:04 1987978

1. Статья-то уже есть, давал жеж. Таки, уже испробовали, нашли слабые места с точки зрения usability? Дадите свои рекомендации?

2. Если пятиклассница берётся исполнять роль системного администратора, то пусть её исполняет как должно быть. Если же не берётся, то пусть вызывает человека на периодическое обслуживание сложного программно-аппаратного комплекса под названием "компьютер". Чесслово, пора уже заканчивать с психологией советского человека, который проводил выходные в гараже, подкручивая гайки на "Жигулях". Уже давно и гайки не те, и жигули, всё стало гораздо сложнее. Поэтому тут вопрос, скорее, к вам — вы сами Whitelisting испытали? Поняли, как работает? Troubleshooting провести сможете? Рекомендации по безопасности и прочие FAQ подправили?

3. Запись в реестре не сама по себе появляется, это делает malicious software, которое _уже_ исполнилось в системе, факт компрометации _уже_ имеет место быть. Поэтому мерой предотвращения и не является .) "Лечение уже случившейся компрометации" — это раздел строчкой ниже.

xoxmodav 14-09-2012 08:26 1988418

Цитата:

Цитата WindowsNT
1. Статья-то уже есть, давал жеж. Таки, уже испробовали, нашли слабые места с точки зрения usability? Дадите свои рекомендации? »

Не видел статью - можно пруф (странно, что нет ссылки на неё в вашей подписи)?

Цитата:

Цитата WindowsNT
2. Если пятиклассница берётся исполнять роль системного администратора, то пусть её исполняет как должно быть. Если же не берётся, то пусть вызывает человека на периодическое обслуживание сложного программно-аппаратного комплекса под названием "компьютер". Чесслово, пора уже заканчивать с психологией советского человека, который проводил выходные в гараже, подкручивая гайки на "Жигулях". Уже давно и гайки не те, и жигули, всё стало гораздо сложнее. Поэтому тут вопрос, скорее, к вам — вы сами Whitelisting испытали? Поняли, как работает? Troubleshooting провести сможете? Рекомендации по безопасности и прочие FAQ подправили? »

Ну да, ну да - десятилетия огромные корпорации трудились над упрощением компьютера, а сейчас WindowsNT решил, что пора возвращаться к изначальному - в каменный век, когда умение работать с компьютером было сродни шаманству или как это понимать? Я работал с SRP и ничего особо сложного при работе с ними не заметил, но обращаясь к вам (раз уж вы такой мегаспец и в каждом втором своём посте упоминаете про SRP), я просил сделать их использование простым для рядового домашнего пользователя. И не надо приплетать сюда их профессиональные навыки, уровень грамотности и образования.

yurfed 14-09-2012 08:55 1988433

Цитата:

Цитата WindowsNT
3. Запись в реестре не сама по себе появляется, это делает malicious software, которое _уже_ исполнилось в системе, факт компрометации _уже_ имеет место быть. Поэтому мерой предотвращения и не является .) "Лечение уже случившейся компрометации" — это раздел строчкой ниже. »

Вы по моему не видите или не хотите видеть, что идёт предложение отмены записи в реестр.
Последний скрин специально сделал для вас. Просто внёс в загрузку параметр и мгновенная реакция.

Цитата:

Цитата WindowsNT
Чесслово, пора уже заканчивать с психологией советского человека »

Уже закончили, а вы ещё помните и не к месту зачем то вспоминаете.

Диман_Д 16-09-2012 15:33 1989650

Цитата:

Цитата Диман_Д
Подхватил новую версию винлока. Он не модифицирует системный реестр - создает новый реестр! »

Разобрался...
Файл UserNT.DAT это файл реестра конкретного пользователя.
Для удаления этого Winlock просто исправьте Shell, в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, а потом соответственно удалите и тело вируса.
Обсуждал со спецами это здесь :
http://forum.drweb.com/index.php?showtopic=310932&st=0

yurfed 16-09-2012 22:43 1989947

Цитата:

Цитата Диман_Д
Для удаления этого Winlock просто сотрите ключ Shell, »

Не сотрите, а исправьте на правильные значения, иначе рискуете остаться без системы вообще
Кстати, эти два параметра показаны на скрине (не полностью видно) в сообщении N9

Диман_Д 17-09-2012 07:28 1990071

Цитата:

Цитата yurfed
Не сотрите, а исправьте на правильные значения, иначе рискуете остаться без системы вообще »

как раз, сотрите... речь идет про ветвь реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Посмотри у себя чистый реестр - нету там Shell.
А данный Winlock прописывается именно в эту ветвь. Проэксперементируй , файл скачал?

Цитата:

Цитата iskander-k
Последний раз редактировалось iskander-k, Вчера в 23:54. Причина: вредный совет

Уважаемый товарищ iskander-k, вы разберитесь в теме. Я уже столкнулся с этим Winlock, так что он правит не основную ветвь реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon а HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon где Shell в принципе и быть не должно. Для меня было открытием. Гляньте как работает Winlock или почитайте на форуме Dr.Web. Ссылка http://forum.drweb.com/index.php?showtopic=310932&st=0

iskander-k 17-09-2012 13:47 1990255

Цитата:

Цитата Диман_Д
Гляньте как работает Winlock »

Знаю и смотрел. На указанном вами форуме нет совета удалить ключ.

У вас не правильный был совет
Цитата:

" .... просто сотрите ключ Shell.
А нужно как указал yurfed, исправить ! В данном контектсе должно звучать удалить параметр Shell в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

А удалить ключ или удалить параметр - это две большие разницы.!

yurfed 17-09-2012 15:57 1990327

Диман_Д, вроде я про ветку HKEY_CURRENT_USER не обмолвился ни словом.
Вы хотя бы на скрин посмотрели что там написано и в какой ветке это находится.
Но вы можете у себя удалять.
А вы знаете что ветки HKEY_CURRENT_USER, как и HKEY_CLASSES_ROOT не существует физически. Это виртуальные ветки и хранятся в памяти, после загрузки системы. Что вы там собрались менять, не совсем понятно.


Цитата:

Цитата Диман_Д
Я уже столкнулся с этим Winlock, »

Я с этим сталкиваюсь иногда по несколько раз на дню.

Диман_Д 17-09-2012 20:18 1990453

Цитата:

Цитата iskander-k
А удалить ключ или удалить параметр - это две большие разницы.! »

Согласен, оговорился, НО... Тот кто будет лазить в реестре, обязательно разбирается, и несет ответственность перед СОБОЙ, в том что он делает, какие параметры удаляет и для чего !

Цитата:

Цитата yurfed
А вы знаете что ветки HKEY_CURRENT_USER, как и HKEY_CLASSES_ROOT не существует физически. Это виртуальные ветки и хранятся в памяти, после загрузки системы. Что вы там собрались менять, не совсем понятно. »

Как это не существует ? Еще как существует. Эта ветвь - файл NTUSER.DAT (лежит в папке c:\Documents and Settings\*****\NTUSER.DAT). В то время, когда определенный пользователь начинает загружаться в системе, данная ветвь подгружается в реестр. Если пользователь делает какие-нибудь изменения, типа смены обоев на рабочем столе, то они записываются конкретно в эту ветвь реестра и сохраняются в файл Ntuser.dat. В именно этот файл и в путь загрузки Shell конкретного пользователя прописывается данный winlock.

yurfed 17-09-2012 21:49 1990507

Цитата:

Цитата Диман_Д
Эта ветвь - файл NTUSER.DAT »

Весь реестр лежит в \WINDOWS\system32\config
Всё остальное - пользовательские настройки.

iskander-k 17-09-2012 22:06 1990517

Цитата:

Цитата Диман_Д
Тот кто будет лазить в реестре, обязательно разбирается, »

Тот кто будет лазить в реестре не обязательно будет разбираться в реестре.
А тот кто разбирается в реестре совершенно не читает и не использует все возможные советы аналогичные совету в данной теме и в темах по всему интернету.

Диман_Д 17-09-2012 22:28 1990529

Цитата:

Цитата iskander-k
А тот кто разбирается в реестре совершенно не читает и не использует все возможные советы аналогичные совету в данной теме и в темах по всему интернету. »

)))

O L E G 12-10-2012 10:10 2003973

С помощью моей системы нет невозможного, защита на уровне драйвера, любого файла и ветки


Время: 16:27.

Время: 16:27.
© OSzone.net 2001-