Перейти к содержанию
AM_Bot

UAC и неравная борьба с вирусами. Кто кого?

Recommended Posts

AM_Bot

Очень важно обеспечить возможность передачи привилегированных прав (и потенциально опасных) только тому программному обеспечению, которое обоснованно требует их предоставления. Механизм UAC, существующий в операционных системах Windows Seven и Vista, позволяет пользователям запускать программы с административными полномочиями только при неизбежной необходимости для задач администрирования компьютера. Читать далее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

На данный момент проблема UAC'а решается bat'ником с бесконечным запросом. Пользователю просто придется разрешить операцию, чтобы вернуться на свой рабочий стол.

Ну и каков ответ на "Кто кого?" :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
На данный момент проблема UAC'а решается bat'ником с бесконечным запросом. Пользователю просто придется разрешить операцию, чтобы вернуться на свой рабочий стол.

Ну и каков ответ на "Кто кого?" :-)

Так же к примеру действует Trojan.MBRlock.6/Trojan-Ransom.Win32.PornoAsset.kv. UAC выкидывает алерт через каждые 2 секунды. Своего рода "игра на нервах". В конце концов, кто то может согласиться и нажать "да". Более опытный пользователь просто перезагрузит систему, потому что поймет, что не может UAC при нормальном легитимном приложении выдавать запросы через каждые 2 секунды, значит это ломится троян. Юзер под паролем UAC, естественно не зная пароль, просто перезагрузит комп из за надоедших, мешающих запросов.

100% защиты нет нигде, но как отмечено в статье в основном заражаются с отключенным UAC, а вирусы отключают его используют технологии "социальной инженерии и пользуясь уязвимостями служб Windows.

Добавлю, что заражается не вся система, а профиль в котором работал юзер - локального администратора или пользователя. Для полного заражения надо включать рут-учетку суперадмина, которая отключена по умолчанию.

Image_3.jpg

Image_4.jpg

post-6726-1314434732_thumb.jpg

post-6726-1314434740_thumb.jpg

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arakcheev

Только если у пользователя права админа, если их нет, то просто смена пользователя, зачистка и тд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Vvvyg
    • akoK
      А обсуждение еще живое или форум по UVS переехал?
    • PR55.RP55
      Тема:  https://forum.esetnod32.ru/messages/forum3/topic16196/message111006/#message111006 Как видно применён твик: № 18 В итоге по логу FRST видим: HKLM\...\Policies\Explorer: [DisallowRun] 0
      HKLM\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-21-1616146017-2463400075-1735324224-1000\...\Policies\Explorer: [RestrictRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
      HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0 т.е. мало того, что от uVS   на данный момент БЕСПОЛЕЗЕН так ещё и создаются параметры которых  НЕ было изначально. т.е. мусор. uVS не проверяет - есть там, что, или нет. Просто вносит\добавляет свои записи. Почему uVS Бесполезен ? Достаточно посмотреть темы - на любом форуме. Антивирусы\сканеры, как правило, ещё до применения таких программ как: FRST; uVS и т.д. зачищают угрозы. Остаются внесённые в систему изменения: Правила\запреты; Папки\Каталоги; Сетевые Параметры и т.д. Какова роль uVS  ? 
    • PR55.RP55
      Пока форум не работал по ошибкам, предложениям, замечаниям публиковал здесь: https://forum.esetnod32.ru/forum8/topic15904/?PAGEN_1=5 ------------ ------------
      Образ в теме:  https://forum.esetnod32.ru/messages/forum6/topic16189/message110932/#message110932    
    • santy
      Форум открыт для доступа и комментариев и предложений. Можно продолжить по  работе с uVS здесь.
×