Комментарии участников:
Выполнение вредоносного кода, содержащегося в иконке — это просто праздник какой-то!
Отключаем отображение иконок на ярлыках в Total Commander: конфигурация — настройка — содержимое панелей — значки, выбираем пункт "все связанные" (флаг "если EXE/LNK не на дискете" не действует на флешки).
Отключаем отображение иконок на ярлыках в Total Commander: конфигурация — настройка — содержимое панелей — значки, выбираем пункт "все связанные" (флаг "если EXE/LNK не на дискете" не действует на флешки).
Не все пользователи знают, что такое Total Commander, тем более смогут его настроить. А уж такие вещи как FAR или Norton способны вообще вызвать столбняк. Недавно знакомая блондиночка на резонный вопрос, "что там у тебя за Windows" ответила что-то типа "такой красивенький с иконочками". Что автозапуск носителей там есть и антивирусные базы за прошлый год, это 100%.
В семерке нет автозапуска с флешек, а вот выполнение кода из иконки исполняемого файла вполне может быть в ветках от Win2000 (если еще не от NT4.0) до Win7 :)
Также не забываем про .WMF, .EMF и анимированные курсоры.
Также не забываем про .WMF, .EMF и анимированные курсоры.
В том-то и фишка, что обработчик, который извлекает иконку из исполняемых файлов работает на правах системного сервиса, и очень вероятно, что его компрометирование возможно в обход UAC :)
Хотя, возможно, это библиотека к проводнику, а не что-то из ядра, а проводник работает в пользовательском контексте. Лень искать, где находится ключ реестра, отвечающий за включение\отключение извлечения иконок из исполняемых файлов.
Хотя, возможно, это библиотека к проводнику, а не что-то из ядра, а проводник работает в пользовательском контексте. Лень искать, где находится ключ реестра, отвечающий за включение\отключение извлечения иконок из исполняемых файлов.
Я вот еще подумал...
Файл иконки по сути дела содержит только код, чтобы заставить операционку загрузить и выполнить ДРУГИЕ файлы с флешки. Сам код вируса сидит не в иконке. На этапе загрузки файлов с вирусом, антивирус скорее всего забьет тревогу
Файл иконки по сути дела содержит только код, чтобы заставить операционку загрузить и выполнить ДРУГИЕ файлы с флешки. Сам код вируса сидит не в иконке. На этапе загрузки файлов с вирусом, антивирус скорее всего забьет тревогу
Не верю, про заражение через TotalCommander(звучит неправдоподобно). Кто-нибудь… в личку на дегустирование не предоставите ссылочку на вирус?
Смешнее всего что в данный момент
"БлокАда" не доступен. Доигрались? :)
Смешнее всего что в данный момент
"БлокАда" не доступен. Доигрались? :)
Сайт уже доступен, но новость канула в лету. Как я предполагал — ребята "лоханулись" (к слову "ВирусБлокАда" — это и не антивирусники вовсе, а понты… хоцца денег) и сняли свое предположение собственной ленты новостей.
В инете из вменяемого провисло только
это
В инете из вменяемого провисло только
это
Эксперт "Лаборатории Касперского" Александр Гостев проверил эту подпись на сайте Verisign и выяснил, что такой сертификат действительно был выдан на имя Realtek. Однако этот сертификат перестал действовать 12 июня. Примерно тогда же, 17 июня, вредонос впервые попал в поле зрения специалистов "ВирусБлокАда". Между тем, вредоносные файлы были подписаны ещё 25 января, в связи с чем Гостев высказывает гипотезу, что именно из-за этой подписи вирус "столь долгое время был «невидим» для антивирусных решений".
… имеется два наиболее вероятных варианта: либо у вирусописателей имеется или имелся инсайдер в Realtek, либо они ухитрились пролезть в компьютерную сеть компании.
Что до уязвимости в обработке lnk-файлов, то Гостев также не исключает, что "это не баг, это фича", как было и в случае с AutoRun. Microsoft также получил извещение о проблеме, так что, "вероятно, в ближайшие дни мы узнаем истину", говорит Гостев.
Тут подробнее, если кому интересно