December 4th, 2009

Main

Вирусы -- reflection

Вирусы становятся все серьезнее и серьезнее. Тот, который я подхватил позавчера оказался весьма продвинутым руткитом, т.е. найти его очень сложно для антивируса.
Систему я переставил, потому, что руткит это вам не длл-ка зараженная, а фиг знает что вместо системы. Она там себе скрытый диск на винчестере делает и в нем живет.

Вот описание моего зверя:
http://www.drweb.com/static/BackDoor.Tdss.565_aka_TDL3.pdf

Цитата:
Заключение
В целом новое поколение BackDoor.Tdss является весьма технологичным и интересным.
Оно, бесспорно, поставило перед антивирусными компаниями сложную задачу
детектирования и обезвреживания этого руткита. И не всем под силу справиться с этой
задачей, как это уже бывало с BackDoor.MaosBoot, Win32.Ntldrbot и т.д.

Но это я легко отделался. Недавно была эпидемия, где вирус документы на дисках шифроавл и просил смс за расшифровку. В этом случае нельзя ни браузер переставить, ни систему снести, а писать в антивирусные лабы дрвеба или касперского -- бесплатно помогут вылечить и расшифровать данные.

http://v-martyanov.livejournal.com/6434.html

Тут в комменатриях мне напомнили, что хорошо бы под админом на винде не жить. Попробую так сделать, тоько ведь мне сервисы надо всякие рестартовывать часто -- апач там, мускул, мэйл, сабвершен, запускать опять же процессы -- посмотрю, как будет жить с ограничениями. А под виндой нет аналога sudo?

Кстати, живущим под линуксом тоже не следует расслабляться, ИМХО. Руткит подцепить через какое-нибудь переполнение буфера и добро пожаловать в клуб! Руки просто не дошли еще до этого у писателей вирусов.

UPD. Пошел поискать про sudo в винде. Нашел вот это:
Microsoft has Patented "sudo." Yes, the Command
Main

WindowsXP, жизнь не под рутом

Ну я решил попробовать жить, как надо.

Завел еще одного юзера, добавил его в группу продвинутых пользователей, перекинул ярлыки програм из стартового меню в настройки для всех юзеров и зашел в систему.

Все мои файлы остались под владением администратора, так, что править их я не смог. Зашел в админа.
Переключился в продвинутый механизм доступа к файлам через
мойкомпутер->сервис->свойства папки->вид->галочка "Использовать простой общий доступ к файлам" (выкл)

Выделил нужные мне папки (т.е. весь диск D), свойства->безопасность, добавил своего пользователя (добавить->поиск, выбрать из списка), дал ему все права. Для того, чтобы он стал владельцем нужно им зайти и назначить себя владельцем, т.е. chown сделать нельзя в один присест.

Залогинился обратно. Обнаружил, что удобно запускать тотал-коммандер, от лица админа и править системные тесктовые файлы вроде /windows/system32/drivers/etc/hosts.

Для работы в консоли сделал однострочный батник

sudo.bat
------------
runas /user:Root "%*"

------------

Единственно, теперь бат файлы приходится упоминать полностью:

sudo phpswitch.bat 5_3
или
sudo deploy.bat patсh

Если бы в ярлыках можно было бы прописывать от чьего лица нужно запускать прожигалку дисков Nero, было бы совсем хорошо, однако можно лишь указать, что при запуске нужно спросить пользователя и пароль, и нужно лишний раз пользователя выбирать, но это уже мелочи.

UPD. Все-таки можно и назначить юзера

UPD2. И постоянно слетает тема оформления, переключаясь на классический стиль в окнах и кнопках после каждого запуска Nero под админом.

UPD3. Аха. Если под админом та же тема, что и под юзером, то ничего не меняется.... хых