IVRP.pl Strona Główna IVRP.pl
polityka - militaria - kultura - podróże

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj  AlbumAlbum  DownloadDownload

Poprzedni temat «» Następny temat
Uwaga trojany
Autor Wiadomość
MS 
Banita


Wiek: 48
Dołączył: 07 Mar 2003
Posty: 9501
Skąd: z przeszłości
Wysłany: Wto 27 Gru, 2005 22:20   Uwaga trojany

Ktoś złośliwie wstawia na forum trojany !! trzeba uważać przy otwieraniu tematów jeżeli komputery nie mają należytej ochrony antywirusowej.
To chyba jest argument na rzecz obowiązku logowania się na forum.
_________________
Pucz trwa, Blacky samowolnie pozbawił mnie uprawnień admina.
 
 
Szybszy 
członek władz wojewódzkich


Pomógł: 1 raz
Dołączył: 13 Sty 2003
Posty: 2805
Skąd: wierzby, pola, ruczaj płynie
Wysłany: Śro 28 Gru, 2005 15:25   Re: Uwaga trojany

MS napisał/a:
Ktoś złośliwie wstawia na forum trojany !! trzeba uważać przy otwieraniu tematów jeżeli komputery nie mają należytej ochrony antywirusowej.
To chyba jest argument na rzecz obowiązku logowania się na forum.


To może zrobimy ankietę nt. obowiązkowego logowania i koniec ?
 
 
Stary Belf 
Sprzątacz Tego Forum!


Wiek: 109
Dołączył: 30 Gru 2002
Posty: 4820
Skąd: Rodowite Mazowsze
Wysłany: Śro 28 Gru, 2005 15:44   Re: Uwaga trojany

Szybszy napisał/a:
MS napisał/a:
Ktoś złośliwie wstawia na forum trojany !! trzeba uważać przy otwieraniu tematów jeżeli komputery nie mają należytej ochrony antywirusowej.
To chyba jest argument na rzecz obowiązku logowania się na forum.


To może zrobimy ankietę nt. obowiązkowego logowania i koniec ?

Jestem za!
_________________
Kryzys załomotał do naszych drzwi, wyłamał próg ostrożnościowy i tak nas walnął rykoszetem, że zgubiliśmy 29 miliardów złotych
/Wolna parafraza Donia/
 
 
MS 
Banita


Wiek: 48
Dołączył: 07 Mar 2003
Posty: 9501
Skąd: z przeszłości
Wysłany: Śro 28 Gru, 2005 15:50   

A kto ma brać udział w głosowaniu trojaner może ?
Przykro mi ale nusimy podjąć decyzję sami i tyle. Ja jestem za obowiązkiem logowania
_________________
Pucz trwa, Blacky samowolnie pozbawił mnie uprawnień admina.
 
 
macsoc 
Emerytowany Ojciec Dyrektor


Dołączył: 04 Mar 2003
Posty: 3659
Wysłany: Śro 28 Gru, 2005 18:04   

w głosowaniu prawie nikt się nie wypowiedział, więc zostawiono to nam.

czytanie bez logowania
pisanie zalogowane
_________________
Nie wiem, czy wiecie, mam Najwspanialszą Żonę na Świecie!
 
 
Szybszy 
członek władz wojewódzkich


Pomógł: 1 raz
Dołączył: 13 Sty 2003
Posty: 2805
Skąd: wierzby, pola, ruczaj płynie
Wysłany: Śro 28 Gru, 2005 22:24   

Ktoś jeszcze chce się wypowiedzieć czy możemy przystąpić do budowania IV Forum ? 8)
 
 
macsoc 
Emerytowany Ojciec Dyrektor


Dołączył: 04 Mar 2003
Posty: 3659
Wysłany: Śro 28 Gru, 2005 22:39   

Szybszy napisał/a:
Ktoś jeszcze chce się wypowiedzieć czy możemy przystąpić do budowania IV Forum ? 8)


tu jest ankieta http://www.ivrp.pl/viewtopic.php?t=1033

moje zdanie znane wyżej
_________________
Nie wiem, czy wiecie, mam Najwspanialszą Żonę na Świecie!
 
 
MS 
Banita


Wiek: 48
Dołączył: 07 Mar 2003
Posty: 9501
Skąd: z przeszłości
Wysłany: Pon 02 Sty, 2006 16:20   

computerworld napisał/a:
Poważna dziura w Windows WMF
Paweł Krawczyk
(2005.12.29)
ostatnia aktualizacja: 15:48
We wszystkich wersjach Windows odkryto poważną dziurę umożliwiającą uruchomienie złośliwego kodu. Brak jest poprawki, jest za to exploit.

Problem jest związany z obsługą plików WMF (Windows Metafile) i dotyczy wszystkich wersji Windows do XP SP2 włącznie. Brak jest na razie poprawki ze strony Microsoftu.

Użytkownicy Internet Explorera mogą zostać zarażeni bez ich wiedzy po prostu wchodząc na stronę WWW zawierającą exploit. Użytkownicy Firefoksa pod Windows są bezpieczniejsi - do zarażenia dojdzie tylko po pobraniu i uruchomieniu pliku WMF, przy czym przeglądarka najpierw pyta nas o zgodę. Podobnie postępuje Opera.

Jednak w systemach, w których jest zainstalowany Google Desktop Search wystarczy samo pobranie pliku (nawet za pomocą Wget), ponieważ GDS uruchomi dziurawą bibliotekę Windows na pobranym pliku i... zarazi system za nas.

Dziura jest już aktywnie wykorzystywana do dystrybuowania koni trojańskich i spyware. Jest to więc kolejny przypadek tzw. "0-day exploit" czyli dziury, która jest wykorzystywana do złośliwych celów przed publicznym jej ujawnieniem i - co gorsza - udostępnieniem poprawek.

Źródłem koni trojańskich wykorzystujących dziurę w WMF jest prawdopodobnie Rosja. F-Secure zaleca blokowanie na zaporach jakiekolwiek dostępu do następujących domen, wykorzystywanych przez wymienione programy:

Crackz [kropka] ws
unionseek [kropka] com
www.tfcco [kropka] com
Iframeurl [kropka] biz
beehappyy [kropka] biz

Większość programów antywirusowych powinna z wczorajszym uaktualnieniem pobrać sygnaturę pozwalającą na blokowanie wirusa.

Więcej informacji: SA18255


Aktualizacja:
2005.12.29, CZW
Microsoft potwierdził, że dziura dotyczy wszystkich głównych linii Windows: Windows ME, Windows 2000, Windows XP and Windows 2003. Błąd, który ją powoduje leży w bibliotece Shimgvw.dll wykorzystywanej przez Windows Picture and Fax Viewer.

Skutecznym i zalecanym przez Microsoft obejściem dziury do czasu opublikowania poprawki jest wyłączenie tej biblioteki:

1. Uruchamiamy Start->Uruchom
2. Wpisujemy polecenie "regsvr32 -u %windir%\system32\shimgvw.dll" (bez cudzysłowów)
3. Pojawi się okienko potwierdzające odrejestrowanie bibliteki

Procedura spowoduje że nie będzie działać podgląd obrazków za pomocą wbudowanej w Windows przeglądarki (Windows Picture and Fax Viewer). Po instalacji poprawki można ją odwrócić, pomijając opcję "-u" w poleceniu "regsvr32".

Do listy domen blokowany na zaporach należy dopisać poniższe domeny, wykorzystywane przez programy pobierające konie trojańskie i spyware po wykorzystaniu dziury WMF:

toolbarbiz[dot]biz
toolbarsite[dot]biz
toolbartraff[dot]biz
toolbarurl[dot]biz
buytoolbar[dot]biz
buytraff[dot]biz
iframebiz[dot]biz
iframecash[dot]biz
iframesite[dot]biz
iframetraff[dot]biz
iframeurl[dot]biz
za:
http://security.computerworld.pl/news/86918.html
_________________
Pucz trwa, Blacky samowolnie pozbawił mnie uprawnień admina.
 
 
MS 
Banita


Wiek: 48
Dołączył: 07 Mar 2003
Posty: 9501
Skąd: z przeszłości
Wysłany: Pon 02 Sty, 2006 16:31   

i jest juz ciąg dalszy:
computerworld napisał/a:
WMF - to nie dziura, tak miało być?
Paweł Krawczyk
(2006.01.02)
Dziura w formacie WMF nie jest tak do końca rezultatem odkrycia błędu programistycznego a raczej odkryciem dawno zapomnianej funkcji Windows - twierdzą specjaliści z F-Secure. Czy czeka nas wysyp nowych dziur w Windows?

Odkryta niedawno dziura w formacie Windows Metafile pod względem stopnia zagrożenia dorównuje największym dziurom w historii Windows. Jej charakter klasyfikuje ją zapewne gdzieś pomiędzy możliwą do wykorzystania zdalnie dziurą w RPC DCOM a licznymi dziurami w MSIE i Outlooku, pozwalającymi na uruchomienie kodu bez wiedzy użytkownika.

Kod w obrazku?

Specjaliści z F-Secure zauważyli, że dziura w WMF wcale nie jest dziurą w dosłownym tego słowa znaczeniu - do wywołania złośliwego kodu wykorzystywana jest natywna funkcja przypisana do tego formutu w Windows. Konkretnie chodzi o funkcję Escape i jej podfunkcję SetAbortProc będące częścią standardowego Windows GDI (Graphics Device Interface).

Funkcja ta oferowała programiście możliwość zakończenia zadania drukarki. Technicznie odbywało się to tak, że sam obrazek w formacie WMF mógł zawierać wykonywalny kod, który był następnie wskazywany do wywołania przez funkcję SetAbortProc.

Z punktu widzenia bezpieczeństwa brzmi to przerażająco, lecz należy pamiętać że format WMF został stworzony latach 80-tych. Były to czasy, kiedy Windows - jeśli przy logowaniu podano błędne hasło - pytał "czy nie możesz przypomnieć sobie hasła?" i... usłużnie oferował jego zmianę.

Gorzej niż się wydawało

Niestety, fakt odkrycia tej funkcji w oficjalnym API Windows oznacza, że prawdopodobnie podatne są na nią wszystkie znane wersje Windows wypuszczone od lat 80-tych.

Co ciekawe, sam Microsoft na ten temat na razie milczy i brak jest oficjalnej poprawki. Prawdopodobnie jej wypuszczenie zajmie trochę czasu, biorąc pod uwagę, że musi ona dotyczyć wszystkich serwisowanych jeszcze przez Microsoft wersji. Wstępny termin to 9. stycznia.

Ale co mają do tej pory zrobić tysiące administratorów, których sieci są pełne podatnych na tę dziurę Windows? Sytuację pogarsza fakt, że 31. grudnia opublikowany został nowy generator plików WMF pozwalającym na przesyłanie exploita w zmutowanych wersjach, niewykrywanych przez antywirusy.

Nieoficjalna łatka

Do tego czasu można sobie poradzić za pomocą wyrejestrowania odpowiedniej biblioteki (opisane w poprzednim artykule), co jednak spowoduje sporą utratę funkcjonalności - nie będzie można podglądać ani drukować obrazków za pomocą wbudowanej w Windows przeglądarki.

Drugie rozwiązanie tonieoficjalna łatka opublikowana przez HexBlog. Została przetestowana tylko na głównych wersjach Windows, ale działa. W tej szczególnej sytuacji łatka ta doczekała się nawet apelu od zespołu SANS, którzy przekonują że warto ją zainstalować nawet w firmach, których polityka dopuszcza tylko poprawki oficjalne, od Microsoftu.

Ciekawostką jest fakt, że autorem nieoficjalnej łatki jest Ilfak Guilfanov, programista rosyjskiego pochodzenia, który w latach 90-tych stworzył legendarny disassembler IDA. Poprawka instaluje się jako biblioteka rezydentna i przechwytuje wszystkie odwołania do feralnej funkcji SetAbortProc, blokując je.

Historia ciągnie się za Windows#

Wraz z dziurą w WMF po raz kolejny jak bumerang wraca stary wykręt kolejnych rzeczników Microsoftu, którzy na początku lat 90-tych większość dziur usprawiedliwiali słynnym stwierdzeniem "It's not a bug, it's a feature" ("to nie jest dziura, tylko funkcja systemu").

Czy fakt odkrycia tej funkcji przez podziemie zmieni coś w bezpieczeństwie Windows? Zapewne tak. Jak pokazuje historia, po takim pionierskim odkryciu nowej klasy ataków do pracy przystępują od razu rzesze bezimiennych włamywacze, którzy drążą temat i wyszukują nowe dziury tego rodzaju. W ciągu kolejnych miesięcy będziemy mieć zapewne kilka deja-vu związanych z dawno zapomnianymi funkcjami Windows API...
http://security.computerworld.pl/news/87064.html
_________________
Pucz trwa, Blacky samowolnie pozbawił mnie uprawnień admina.
 
 
Wyświetl posty z ostatnich:   
Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Możesz załączać pliki na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
Strona wygenerowana w 0,08 sekundy. Zapytań do SQL: 12