Хватаем трояны по ссылке? - ICQ

**2NetFly** · 06.04.2004, 13:41

В ИЕ существует несколько уязвимостей, позволяющих запустить на компьютере пользователя произвольный файл, после посещения им особым образом размеченной HTML страницы. Уязвимы все версии браузера, начиная с пятой (информации насчет более ранних версий я не обладаю). Итак, после посещения потенциальной жертвой определенной ссылки, на его компьютер загружается, а затем запускается файл. Многие, далекие от программирования люди, используют данную уязвимость для того, чтоб заразить своего товарища существующим вирусом или трояном, с целью уничтожить или заполучить информацию, находящуюся у него на винчестере. Если жертва хотя бы немного заботится о своей безопасности и у нее установлен антивирус и файрвол, посягательства на получение или уничтожение информации могут быть пересечены еще не ранней стадии. Большинство современных антивирусов сканируют оперативную память и троянский конь будет выявлен и заблокирован еще до того, как успеет выполнить какие либо действия. Если же странным образом троняу удалось заполучить необходимую информацию, грамотно настроенный файрвол позволит блокировать отправку данных.

С озлобленными или корыстными программистами дела обстоят гораздо серьезнее. Что бы не говорил Касперский, самописный вирус или троян не способна обнаружить ни одна программа (по крайней мере, мне таковые не известны). Помочь обнаружить незваных гостей может разве что постоянное слежение за списком процессов и, опять же, грамотно настроенный файрвол. Однако, с учетом специфики обсуждаемых троянов (пришел, нашел, отправил, ушел), время их жизни очень невелико, и вы можете просто не узнать о том, что ваша приватная информация уже находится в руках у врага. Наконец, несколько раз упоминаемый мной файрвол тоже не всегда может спасти от кражи данных. Существует технология (я использовал ее в своих разработках), которая позволяет, не порождая нового процесса, отправлять данные посредством ИЕ методом GET любому хосту (читать: скрипту злоумышленника). Т.е., для файрвола и других следящих приложений отправка ваших данных будет являться ничем не примечательным переходом по ссылке.

Вот, собственно, и все. Ни антивирус, ни файрвол не спасут от серьезно настроенного программиста ;=)

Можно ли защититься? Можно. Как это сделать? Очень просто – ставим критически патчи от всеми любимого microsoft. Благо, после полу года существовании дырки они соизволили ее залатать. Проще всего использовать WinUpdate (http://v4.windowsupdate.microsoft.com/ru/default.asp) - вас просканируют на наличие установленных заплаток и предложат список того, что необходимо загрузить (25-35 MB).

**t e s t** · 06.04.2004, 16:40

Цитата:

Можно ли защититься? Можно.

нельзя защитится.
есть способы запускать троя и пользовать другие процессы для доступа к сети

и здесь -

Цитата:

Ни антивирус, ни файрвол не спасут от серьезно настроенного программиста ;=)

**2NetFly** · 06.04.2004, 16:54

Об этих способах знает меньшее количество людей, чем о злополучной ошибке в Осле. А те, кто знает, способны избежать заражения. Идея в том, что лучше уменьшить вероятность того, что тебя ограбят, чем сидеть, сложа руки.

**FurA** · 06.04.2004, 18:08

эХ!! а может мне кто-нить поподробней про это расскажет?? буду благодарен (про то, как сделать так, чтоб троян запускался на машине при открытие страницы)

**2NetFly** · 06.04.2004, 18:49

Лучше бы спрашивали, как сделать так, чтоб она не запускалась.

**MxL** · 07.04.2004, 11:24

Чето я не понял? Они хотят сказать, что если сделать апдейт и залатать дырки, то троян не сможет скрыто запустить IE и передать данные?

Бред!

**Neskvik** · 07.04.2004, 12:58

kak eto delaetsya? gde mojno prochitat pro eto? (uyazvimosti IE)

**cduke** · 07.04.2004, 19:39

Все равно будут новые способы и новые патчи)))
Это неизбежно IE сгнил

**2NetFly** · 07.04.2004, 19:46

Цитата:

Первоначальное сообщение от MxL
Чето я не понял? Они хотят сказать, что если сделать апдейт и залатать дырки, то троян не сможет скрыто запустить IE и передать данные? Бред!

Нет, я хочу сказать, что если залатать дырки, ты не подхватишь троян переходом по ссылке.

2NetFly добавил [date]1081356479[/date]:

Цитата:

Первоначальное сообщение от cduke

Это неизбежно IE сгнил

В Опере есть такие же дырки, причем, их довольно много. Оперу и прочие менее популярные барузеры спасает только то, что их использует не так много людей, как ИЕ.

**Neskvik** · 07.04.2004, 20:12

2NetFly, kak eto delaetsya , mojesh obyasnit normalno?:-)
thx

**t e s t** · 07.04.2004, 20:57

Цитата:

Первоначальное сообщение от 2NetFly
В Опере есть такие же дырки, причем, их довольно много. Оперу и прочие менее популярные барузеры спасает только то, что их использует не так много людей, как ИЕ.

вот поэтому юзают Firefox и Mozilla
Open Source, любые баги фиксят за 24 часа

и новые версии выходят каждый день =)))

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7b) Gecko/20040331 Firefox/0.8.0+

**2NetFly** · 07.04.2004, 22:17

Цитата:

Первоначальное сообщение от t e s t
вот поэтому юзают Firefox и Mozilla
Open Source, любые баги фиксят за 24 часа

и новые версии выходят каждый день =)))

Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7b) Gecko/20040331 Firefox/0.8.0+

Мозила еще не стала тем, что я бы согласился использовать. Хотя, будущее за опенсорсом – это давно всем ясно.

**Neskvik** · 08.04.2004, 06:46

liudi, kak eto delaetsya? ktonibud pomojet ?

chital na security.ru no tam kak i na drugix saitax ne ochen ponyatno opisano vsio......

**!Nik!** · 08.04.2004, 11:36

Neskvik,
как делается что?
Если засылается троян - то: на сайт типа www.kissmybutt.com/member/ кладется готовый и настроенный трой, затем ссылочка рассылается респондентам. Человек заходит по ссылке, IE вытягивает оттуда файл и благодаря ошибке "корректно" его обрабатывает. Результат - комп затроянен...
Если что-то непонятно в технической стороне дела - то тут уже нужно изучать более подробно.

**Neskvik** · 08.04.2004, 14:54

streepman,
to chto ti skazal ia znau, no kakoi kod vstavlyat v html....????

kto znaet? podelites....

**!Nik!** · 09.04.2004, 10:49

Neskvik,
для этого нужно много чего знать... в сети валяется кучаготовых скриптов. скачай, наладь и все.

**Neskvik** · 09.04.2004, 21:36

ktonibud mojet vilojit exploit pryamo tut?
jelatelno rabotaushii:-)))

**2NetFly** · 10.04.2004, 08:30

Со злом нужно бороться, а не размножать его ;=)

**Puma** · 12.04.2004, 05:46

не сохраняйте пароли и никто у вас их не спырит !!!

**Mega_GnoM** · 15.04.2004, 19:08

сохраняйте пароли в отдельный файл pass.txt в папке Program files и все будет чики пики %))))

**Neskvik** · 20.04.2004, 21:40

realno ktonibud znaet kak zagruzit i otkrit fail na kompe cherez page?

(na te windowsi, na kotorix update sdelan uje)

Spasibo

**Neskvik** · 27.04.2004, 15:19

mdaa...
esli ktonit znaet, ostavte asku for contacts....

06.04.2004, 13:41	#1
2NetFly Участник Регистрация: 06.04.2004 Сообщений: 10 Репутация: 1	Хватаем трояны по ссылке? В ИЕ существует несколько уязвимостей, позволяющих запустить на компьютере пользователя произвольный файл, после посещения им особым образом размеченной HTML страницы. Уязвимы все версии браузера, начиная с пятой (информации насчет более ранних версий я не обладаю). Итак, после посещения потенциальной жертвой определенной ссылки, на его компьютер загружается, а затем запускается файл. Многие, далекие от программирования люди, используют данную уязвимость для того, чтоб заразить своего товарища существующим вирусом или трояном, с целью уничтожить или заполучить информацию, находящуюся у него на винчестере. Если жертва хотя бы немного заботится о своей безопасности и у нее установлен антивирус и файрвол, посягательства на получение или уничтожение информации могут быть пересечены еще не ранней стадии. Большинство современных антивирусов сканируют оперативную память и троянский конь будет выявлен и заблокирован еще до того, как успеет выполнить какие либо действия. Если же странным образом троняу удалось заполучить необходимую информацию, грамотно настроенный файрвол позволит блокировать отправку данных. С озлобленными или корыстными программистами дела обстоят гораздо серьезнее. Что бы не говорил Касперский, самописный вирус или троян не способна обнаружить ни одна программа (по крайней мере, мне таковые не известны). Помочь обнаружить незваных гостей может разве что постоянное слежение за списком процессов и, опять же, грамотно настроенный файрвол. Однако, с учетом специфики обсуждаемых троянов (пришел, нашел, отправил, ушел), время их жизни очень невелико, и вы можете просто не узнать о том, что ваша приватная информация уже находится в руках у врага. Наконец, несколько раз упоминаемый мной файрвол тоже не всегда может спасти от кражи данных. Существует технология (я использовал ее в своих разработках), которая позволяет, не порождая нового процесса, отправлять данные посредством ИЕ методом GET любому хосту (читать: скрипту злоумышленника). Т.е., для файрвола и других следящих приложений отправка ваших данных будет являться ничем не примечательным переходом по ссылке. Вот, собственно, и все. Ни антивирус, ни файрвол не спасут от серьезно настроенного программиста ;=) Можно ли защититься? Можно. Как это сделать? Очень просто – ставим критически патчи от всеми любимого microsoft. Благо, после полу года существовании дырки они соизволили ее залатать. Проще всего использовать WinUpdate (http://v4.windowsupdate.microsoft.com/ru/default.asp) - вас просканируют на наличие установленных заплаток и предложат список того, что необходимо загрузить (25-35 MB). __________________ Существует множество способов решения проблемы, но не всегда общепринятый является наилучшим. (с)

06.04.2004, 16:54	#3
2NetFly Участник Регистрация: 06.04.2004 Сообщений: 10 Репутация: 1	Об этих способах знает меньшее количество людей, чем о злополучной ошибке в Осле. А те, кто знает, способны избежать заражения. Идея в том, что лучше уменьшить вероятность того, что тебя ограбят, чем сидеть, сложа руки. __________________ Существует множество способов решения проблемы, но не всегда общепринятый является наилучшим. (с)

06.04.2004, 18:49	#5
2NetFly Участник Регистрация: 06.04.2004 Сообщений: 10 Репутация: 1	Лучше бы спрашивали, как сделать так, чтоб она не запускалась. __________________ Существует множество способов решения проблемы, но не всегда общепринятый является наилучшим. (с)

07.04.2004, 19:39	#8
cduke Участник Регистрация: 12.02.2004 Сообщений: 136 ICQ: 219537 Репутация: 1	Все равно будут новые способы и новые патчи))) Это неизбежно IE сгнил __________________ Better to burn out then to fade away

08.04.2004, 11:36	#14
!Nik! Участник Регистрация: 27.12.2002 Сообщений: 287 Репутация: 1	Neskvik, как делается что? Если засылается троян - то: на сайт типа www.kissmybutt.com/member/ кладется готовый и настроенный трой, затем ссылочка рассылается респондентам. Человек заходит по ссылке, IE вытягивает оттуда файл и благодаря ошибке "корректно" его обрабатывает. Результат - комп затроянен... Если что-то непонятно в технической стороне дела - то тут уже нужно изучать более подробно. __________________

06.04.2004, 18:08	#4
FurA Участник Регистрация: 24.03.2004 Сообщений: 31 Репутация: 0	эХ!! а может мне кто-нить поподробней про это расскажет?? буду благодарен (про то, как сделать так, чтоб троян запускался на машине при открытие страницы)

07.04.2004, 11:24	#6
MxL Участник Регистрация: 22.06.2003 Сообщений: 97 ICQ: 251770 Репутация: 2	Чето я не понял? Они хотят сказать, что если сделать апдейт и залатать дырки, то троян не сможет скрыто запустить IE и передать данные? Бред!

07.04.2004, 12:58	#7
Neskvik Участник Регистрация: 31.01.2003 Сообщений: 112 Репутация: 1	kak eto delaetsya? gde mojno prochitat pro eto? (uyazvimosti IE)

07.04.2004, 20:12	#10
Neskvik Участник Регистрация: 31.01.2003 Сообщений: 112 Репутация: 1	2NetFly, kak eto delaetsya , mojesh obyasnit normalno?:-) thx

08.04.2004, 06:46	#13
Neskvik Участник Регистрация: 31.01.2003 Сообщений: 112 Репутация: 1	liudi, kak eto delaetsya? ktonibud pomojet ? chital na security.ru no tam kak i na drugix saitax ne ochen ponyatno opisano vsio......

08.04.2004, 14:54	#15
Neskvik Участник Регистрация: 31.01.2003 Сообщений: 112 Репутация: 1	streepman, to chto ti skazal ia znau, no kakoi kod vstavlyat v html....???? kto znaet? podelites....

09.04.2004, 10:49	#16
!Nik! Участник Регистрация: 27.12.2002 Сообщений: 287 Репутация: 1	Neskvik, для этого нужно много чего знать... в сети валяется кучаготовых скриптов. скачай, наладь и все. __________________

09.04.2004, 21:36	#17
Neskvik Участник Регистрация: 31.01.2003 Сообщений: 112 Репутация: 1	ktonibud mojet vilojit exploit pryamo tut? jelatelno rabotaushii:-)))

10.04.2004, 08:30	#18
2NetFly Участник Регистрация: 06.04.2004 Сообщений: 10 Репутация: 1	Со злом нужно бороться, а не размножать его ;=) __________________ Существует множество способов решения проблемы, но не всегда общепринятый является наилучшим. (с)

12.04.2004, 05:46	#19
Puma Участник Регистрация: 09.04.2004 Сообщений: 99 Репутация: 1	не сохраняйте пароли и никто у вас их не спырит !!!

15.04.2004, 19:08	#20
Mega_GnoM Участник Регистрация: 30.10.2003 Сообщений: 19 Репутация: 1	сохраняйте пароли в отдельный файл pass.txt в папке Program files и все будет чики пики %))))

20.04.2004, 21:40	#21
Neskvik Участник Регистрация: 31.01.2003 Сообщений: 112 Репутация: 1	realno ktonibud znaet kak zagruzit i otkrit fail na kompe cherez page? (na te windowsi, na kotorix update sdelan uje) Spasibo

27.04.2004, 15:19	#22
Neskvik Участник Регистрация: 31.01.2003 Сообщений: 112 Репутация: 1	:-) mdaa... esli ktonit znaet, ostavte asku for contacts....