Перейти к содержанию
WindowsXP

"Запуск от имени администратора" и вирус.

Recommended Posts

WindowsXP

Повседневно я работаю в обычной учетной записи (член группы Пользователи). Мне надо установить программу от имени администратора. Допустим, вирус заразил мою неадминистраторскую учетную запись и ждёт пока я запущу в чтонибудь от имени администратора чтобы узнать пароль адмнистратора и завладеть системой. Получается, что для того чтобы вирус обломался с паролем администратора, мне невкоем разе нельзя светить в зараженном сеансе пароль администратора. Я незапускаю какое попало ПО, работает по жесткой схеме SRP, но вирус мог пробраться через документ Word, например.

Получается, для того чтобы всё было максимально красиво и безопасно, надо ОБЯЗАТЕЛЬНО перелогиниваться, а не запускать от имени администратора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б.К.

Думаю, что это не факт. Если Вы перелогинитесь, то кейлоггер все равно может украсть пароль админа - он запускается как служба. Варианты: 1). использовать какой-нибудь хранитель паролей, который кинет парольв соответствующее поле сам или отправит его в буфер обмена; 2). использовать для набора пароля виртуальную клавиатуру и мышь (виртуальная клавиатура есть, например, на Яндексе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsXP

Нет нет, допустим что никакого кейлогера в систем нет. Только учетая запись пользователя (члена группы Пользователи) и учетная запись администратора со стойким паролем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

WindowsXP, у вас в рассуждениях логическая ошибка. Если вам ПК уже заражен, то зачем вредоносу ваш пароль админа? Он уже в системе и права у него нужные должны быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
Он уже в системе и права у него нужные должны быть.

А если нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsXP

Вирус заразил профиль пользователя члена группы Пользователи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Вирус заразил профиль пользователя члена группы Пользователи.

Что значит заразил профиль пользователя?

И вообще, какая ОС у вас?

А в чем, проблема перезалогиниться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
А если нет?

Сложно представить такой вариант. Это надо чтобы вредонос запустился, не стал закрепляться в системе, а стал ждать пока юзер админский пароль укажет. Как думаете, какова вероятность успешности такой атаки в пределах одной сессии?

Что значит заразил профиль пользователя?

Вот я тоже этого момента не понял. Вредонос или встал в системе или не встал. Ему как бы это сказать ... на профили пофиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsXP

XPSP3. Поясняю. Есть вредоносы которые могут жить ограниченной учётке. Вредонос небыл запущен с правами администратора. Заражен только НЕАДМИНСКИЙ профиль. Повторяю - заражен только профиль пользователя который является членом группы Пользователи. Админский профиль и система в целом - незаражены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Если вредонос может жить под ограниченной учеткой, значит ему ей достаточно. Значит он будет тырить пароли из этой учетной записи, значит будет рассылать спам из нее. Ему поднятие прав просто незачем. Конечно, если ПО заражено классическим вирусом, и тут его запускают от админа, то будут заражены еще и системные файлы. Хотя классических вирусов сейчас почти нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk

WindowsXP, во-первых, все зависит от функционала малвары. Но, например, если малвара закрепилась в системе с неполными правами, то сможет дождаться, когда Вы залогонитесь под админом и доделает все, что не доделала с ограниченными правами.

Поэтому тут невозможно однозначно выбрать "более безопасный" вариант (из двух предложенных). Можно порекомендовать перед установкой чего-то (то есть перехода в админские права) запускать on-demand сканер по оперативке и системным папкам (хотя бы). И лучше делать это CureIt'ом в безопасном режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Dima2_90
      В каких случаях классический HIPS приносит реальную пользу ? Я не видел нигде в интернете внятного руководства по настройке классического HIPS в антивирусе, только в общих чертах рассказывают, как его настраивать. Такого руководства в принципе не может быть, то есть что и когда конкретно надо разрешать или запрещать ?
      Под классическим HIPS-ом я подразумеваю (на примере антивирусов) - компонент "Контроль Программ" в Kaspersky Internet Security, "Превентивная защита" в Dr Web, HIPS в Eset Nod, Comodo и в других антивирусах. Допустим, в HIPS запрещены потенциально опасные действия (которые могут влиять на безопасность всей операционной системы), такие как загрузка драйверов, низкоуровневый доступ к диску, низкоуровневый доступ к клавиатуре, внедрение кода в другие процессы, установка прав отладчика и т.п.
      Пользователь запускает программу, антивирусный комплекс угрозу не обнаруживает (файловый антивирус, поведенческий блокиратор, облако), HIPS в автоматическом режиме запрещает программе выполнять эти действия, и программа завершает свою работу, сообщая об ошибке, или ничего не сообщая, или работает некорректно (или пользователь сам запрещает эти действия, если включен интерактивный режим). Что делать пользователю ? Если он разрешит выполнять эти действия (или какое-то одно действие разрешит) при повторном запуске этой программы, и программы окажется вредоносной, то система будет заражена. Если пользователь запретит эти действия, то программа может завершить свою работу или работать с ошибками, хотя программа легитимная. То есть сообщение " Такая-то программа собирается загрузить такой-то драйвер" говорит только о том, что сейчас будет загружен драйвер. По этому сообщения нельзя вынести вердикт - вредоносная ли эта программа, или легитимная. В каких случаях это сообщение может принести реальную пользу ? То есть если программа (запущенная пользователем, или уже работающая) окажется вредоносной, пользователь понял бы это и вовремя нажал бы "запретить это действие". Или любое другое сообщение - "программа пытается получить низкоуровневый доступ к диску " и т.д.
    • Лукин Вадим
      Попробуйте бесплатную версию антивируса Avast https://biblsoft.ru/windows/security/antivirus/144-avast-free-antivirus . Отлично защищает от вирусов, блокирует рекламу и другие угрозы, которые могут нанести вред вашему ПК. Одна программа вмещает в себе много защитных средств, как по мне, достаточно удобно.
    • SQx
      Приветствую,

      По каким-то причинам uVS не видет(пропускает) WMI записи следующего вида: WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION возможно ли добавить в новых версиях?

      Предположительно эти записи находятся в следующем файле: C:\Windows\system32\wbem\repository\INDEX.BTR P.S. C этим встретился в одной из тем по лечению.
       
    • Зотов Тимур
      стандартный виндовс защитник не подходит? 
    • ГришаСмернов
      Для начало Вам стоит определиться каким бюджетом вы располагаете. Если Вы думаете, что купите стиральную машинку за 10 тыс., то Вы глубоко заблуждаетесь. Покупка эта не из дешевых. Да и жалеть денег на машинку не стоит, если хотите, чтобы она прослужила Вам долго. Перед тем как идти в магазин, почитайте эту статью https://tehno-rating.ru/591-kak-vybrat-stiralnuyu-mashinu-avtomat.html . Мне она замечательно помогла, когда я мучился со своей покупкой. В итоге руководствуясь дельными советами из этой статьи, купил себе хорошую машинку и даже куда дешевле, чем думал.
×