Все новости от 29 августа 2005 г. В реестре Windows можно прятать вредоносное ПО
Злоумышленники могут прятать свои программы в Windows-ПК при помощи очень длинных ключей реестра, предупреждают секьюрити-эксперты.
Эти ключи находятся в Windows Registry, важном компоненте операционной системы, где хранятся параметры настройки ПК. Некоторые антивирусные и антишпионские продукты сканируют реестр на наличие вредоносных программ, но эта новая уловка позволяет хакерам прятать такие программы, утверждает поставщик секьюрити-ПО StillSecure.
«Ее можно использовать для сокрытия в системе вредоносных программ, которые не будут обнаруживаться инструментами защиты или средствами сканирования реестра», — предупреждает главный технолог StillSecure Митчелл Эшли. StillSecure утверждает, что обнаружение или устранение этих программ затруднено или даже невозможно.
В четверг организация SANS Internet Storm Center, которая наблюдает за интернет-угрозами, привела перечень некоторых приложений, которые можно обмануть при помощи слишком длинных ключей. В него входят AdAware, Microsoft Windows AntiSpyware, HijackThis, Norton SystemWorks 2003 Pro, Microsoft Windows Registry Editor и WinDoctor.
«Пользователям важно знать, есть ли белые пятна в безопасности их локальной системы, — пишет на веб-сайте SANS ISC сотрудник SANS Роберт Данфорд. — Поэтому в ближайшие недели нужно будет внимательно следить за обновлениями». Данфорд сотрудничает также с командой распространения секьюрити-предупреждений StillSecure.
Особенно опасны так называемые ключи run реестра. Они используются для запуска приложений при загрузке Windows. Microsoft Registry Editor и некоторые популярные секьюрити-программы не обнаруживают слишком длинные ключи в Windows Registry, тем не менее приложения будут запускаться, предупреждает Эшли из StillSecure.
«Авторам шпионского ПО будет очень легко спрятать в вашей машине слишком длинный ключ», — говорит он.
В пятницу представитель Microsoft сказал, что компания изучает проблему. Производитель ПО отмечает, что атакующий не может спрятать таким способом ничего, предварительно не взломав систему.
«Эта проблема не позволяет злоумышленнику дистанционно или локально атаковать компьютер пользователя. Для этого он должен предварительно взломать защиту или убедить пользователя исполнить специальную программу».
По словам представителя Microsoft, это не уязвимость, а функция операционной системы, которую можно использовать не по назначению. Microsoft не известно ни о каких случаях использования этого метода сокрытия программ.
Однако SANS в четверг сообщила, что она начала изучать «некоторые сообщения о злонамеренном ПО, которые могут относиться к использованию такого метода маскировки». Организация надеется, что в ближайшие недели производители ПО исправят свои продукты, с тем чтобы они позволяли видеть такие ключи.
Секьюрити-компания Secunia оценивает проблему реестра Windows как «некритическую». Французская Security Incident Response Team тоже присвоила ей «низкий уровень риска».
Предыдущие публикации:
|
|
| Wintermute - devnul.ru 29 Aug 2005 1:06 PM |
Ага, а шлюниксе можно спрятать левые файлы глубоко-глубоко в поддиректориях. Выдержка из Platform SDK: Registry Element Size Limits The following table identifies the size limits for the various registry elements. Registry Element Size Limit Key name 255 characters Value name 16,383 characters Windows 2000: 260 ANSI characters or 16,383 Unicode characters. Windows Me/98/95: 255 characters Value Available memory (latest format) 1MB (standard format) Windows Me/98/95: 16,300 bytes. Windows 95: There is a 64K limit for the total size of all values of a key. Long values (more than 2,048 bytes) should be stored as files with the file names stored in the registry. This helps the registry perform efficiently. Т.е. если какая-то программа полагает, что длина имени значения не 16000 символов, а 256 байт, то это проблема этой программы, а не Windows, не находите? В общем, ставший обычным анти-Микрософтовский FUD. |
|
| caustic 29 Aug 2005 2:12 PM |
Wintermute, а что такое шлюникс и при чем здесь он? А в винде "можно спрятать левые файлы глубоко-глубоко в поддиректориях"? |
|
| Wintermute - devnul.ru 29 Aug 2005 2:21 PM |
2 caustic: А сам-то как думаешь? |
|
| Wintermute - devnul.ru 29 Aug 2005 2:59 PM |
Проверил я эту "опасную уязвимость" под XP. Просто сделал .reg-файл с ключом, длина одного из элементов имени больше 255 байт и щелкнул на нем, данные попали в реестр. Regedit показал "отцовскую" ветку, но раскрыть ее отказался. Это, видимо, связано с тем, как он строит дерево реестра, просто буфер маловат - некорректно написанная программа. Тем не менее, это значит, что после добавления длинного ключа в секцию Run пользователь просто не сможет ее просмотреть. И если это его не насторожит, то... По любому, на NTFS можно создавать файлы, полный путь к которым будет более 32000 символов. Далеко не всякая программа сможет прочитать такие имена и показать их пользователю. В такие файлы можно спрятать много страшных вирусов! Так что я вот тоже "открыл" "опасную уязвимость" в Windows! :) |
|
| caustic 29 Aug 2005 3:44 PM |
Написали же, уязвимость не критическая. Чего ты так переживаешь? В винде можно трюки похитрее делать. NTFS поддерживает многопоточные файлы. Когда создается файл с ним ассоциируется поток по умолчанию, в него вся информация и сохраняется. Но к файлу можно добавить дополнительные потоки, и насувать туда всего чего угодно. Можно даже создать файл, в основном потоке которого ничего нету, и любая утилита определит размер файла как нулевой, но дополнительные потоки сожрут все свободное место на диске. Проверить очень легко - создайте в FARе файл и именем "test.txt:hidden". Здесь то что после двоеточия - название потока. Набейте текст и сохраните, а потом посмотрите размер файла. А затем откройте файл сначала по F4 потом по Shift+F4. |
|
| нц 29 Aug 2005 4:29 PM |
про потоки давно уже известно и хорошие антивири могут проверять потоки. |
|
| Wintermute - devnul.ru 29 Aug 2005 4:46 PM |
Да тут с утра уже куча новостных сайтов кричит об "очередной уязвимости" в Windows. Наверное, системный вызов DeleteFile тоже страшная уязвимость - файлы ваще пропадают с диска! Удивляет то, что люди списывают ошибки в прикладном софте на ОС. А инфа, промеждупрочим, лежит в открытом доступе, не нужно ни код штудировать, ни агрименты подписывать, просто глянуть на MSDN. Там даже регистрироваться нужно. В общем, как тот перец, что не знал про window stations и открыл "фундаментальную" и "неустранимую" ошибку в Windows... |
|
| Alexander S. 29 Aug 2005 8:25 PM |
Да, Микрософт сакс. Вот во времена MS-DOS существовало ограничение на длину полного имени файла, с директориями. То ли 128 символов, то ли 256, то ли что-то такое вот, забыл уже. Ну так вот, ради прикола создал я максимальное количество поддиректорий, в стиле: A:\a\a\a\a\a\a\a\a\a\a\a\a\a\a и спрятал в самом низу довольно таки всем известный вирус, переименовав его в файл a.com И что же вы думаете? Далеко не все антивирусы тех времён доходили до файла. Кто падал, а кто файла типа не замечал! Слишком глубоко спрятан.:) А вы говорите- в Винде. Да это у Микрософта тенденция такая, ещё с DOS-осовских времён. Называется- RTFM. |
|
| Alexander T. 29 Aug 2005 10:15 PM |
Вспоминаю законы Мэрфи: "Ошибка? Это не ошибка, это системная функция!" Ну просто один к одному :) |
|
| Сергей Павлович - grayman2000prokuratura.ru 30 Aug 2005 1:03 AM |
2 Alexander S Я не "антимсовец", но и не "юниксоид". Мне, видишь ли, подавай RT-11FB rev.2005 :-) Но бяка с директориями в ДОСе была и до МС... |
|
| eXOR 30 Aug 2005 10:03 AM |
Чего переживать-то? Есть уязвимость - значит есть чем пользоваться вирусописателям, есть кого убивать антивирусному ПО, есть о чем говорить экспертам по безопасности и разным zdnet.ru :), значит есть о чем потрепаться нам на этом форуме :). Жизнь прекрасна. Пока windows и unix и иже с ними багованы насквозь не дождаться человечеству AI, а значит будет у нас работа :). |
|
| Ося 30 Aug 2005 10:08 AM |
2 Alexander S.: > То ли 128 символов, то ли 256, то ли что-то такое вот, забыл уже. #define MAX_PATH 260 См. SDK, тонкий знаток DR-DOS:
|
|
| Wintermute - devnul.ru 30 Aug 2005 2:34 PM |
2 Ося: 8-[ ] Ну, ты мощно задвинул! MAX_PATH - это, FYI, Win32 API. И какое, скажи на милость, он имеет отношение к MS DOS? В ДОС'е имя 8, расширение 3, полный путь 64 символа и официальная вложенность директорий 8, но можно было и больше. Я, кажется, начинаю догадываться, кто сочиняет сообщения об "неустранимых ошибках" и "фундаментальных уязвимостях" Windows. |
|
| (80) 30 Aug 2005 4:00 PM |
2 Сергей Павлович "Но бяка с директориями в ДОСе была и до МС... " Просто любопытно, а ДОС кто-то другой сотворил? |
|
| Alexandr SW 30 Aug 2005 4:20 PM |
DOS Дисковая операционная система. MS еще небыло, а она уже существовала. Как раз Билли и купил одну такую, чтобы переделать. |
|
| Михаил Елашкин - imhoelashkin.com 30 Aug 2005 4:50 PM |
Ну, пошли историямя меряться. Я вот на машинке по CP/M тоже как-то веселился. Напрямую писал в имя файла эскейп-последовательность, которая экран переводила в нестандартный и неподдерживаемый режим. Т.е. при попытке посмотреть директорию просто монитор вырубался. Интересно - это уязвимость? |
|
| злой 30 Aug 2005 5:54 PM |
DOS Дисковая операционная система. MS еще небыло, а она уже существовала. Как раз Билли и купил одну такую, чтобы переделать. == еще добавлю, Билли действительно купил DOS(может он и не так назывался, не помню) и сделал из него MS-DOS. Так вот, тот самый первоночальный DOS, был не что иное, как загрузчик Линукса :)) |
|
| Alexandr SW 30 Aug 2005 6:41 PM |
обычно историю с досом вспоминают в связи с историей, как Билли украл у МАСа интерфейс. Лень уже искать. Достоточно набрать ключевые слова dos winfows macintosh ibm в поисковике и должно все вылезти |
|
| Сергей Павлович - grayman2000prokuratura.ru 31 Aug 2005 2:31 AM |
2 (80) Учи матчасть и историю КПСС :-) Точнее - историю ДОС. Вначале было что-то невообразимое. И увидел бог, что это плохо, и сказал: да будет система управления файлами всякими. И стала система CP/M - контролирующая программа для микропроцессоров, и увидел бог, что это хорошо. И выросло из кп/м много всякого, но лучшим плодом был росший на древе ДигиталРисёрч. Но был в то время в Саду злобный искусАтель - баалзегейтс и увидел он ДРевесный плод и тоже понял, что это хорошо. И позаимствовал идею. И выродил МС-ДОС... Подробнее смотри на сайтах, посвященных истории развития ОС и компьютеров... |
|
| Tolik 31 Aug 2005 6:03 AM |
Да, чтобы украсть у мака интерфейс - непременно надо было покупать ДОС. Он как раз там в ДОСе весь сидит, в ДОСе интерфейс как у Мака |
|
| AlexGT 31 Aug 2005 6:42 AM |
2злой "еще добавлю, Билли действительно купил DOS(может он и не так назывался, не помню) и сделал из него MS-DOS. Так вот, тот самый первоночальный DOS, был не что иное, как загрузчик Линукса :)) " --- а Торвальдс-то дурак этот загрузчик еще лет через десять сам писал... не знал что надо дос брать. Да и Линукс вроде бы изначально была под 386-откуда они в начале 80х?
|
|
| Wintermute - devnul.ru 31 Aug 2005 9:01 AM |
Как там Солженцын все это назвал? Образованщина. Как видим, она процветает не только на форуме ZDNet, но и в организациях, называющих себя серьезными. |
|
| (80) 31 Aug 2005 12:01 PM |
Искреннее спасибо всем ответимшим. |
|
| (80) 31 Aug 2005 12:01 PM |
Пардон, ответившим. |
|
| DemonZLa 1 Sep 2005 6:54 PM |
хм... злая быль... про реестр... эх... лучшеб его небыло... или небыло там Run... А так... реестр просто рай для вирусов... |
|
| Сергей Павлович - grayman2000prokuratura.ru 2 Sep 2005 5:55 AM |
2 AlexGT JFYI: первые процессоры 80386 появились в 1985 году... |
|
| AlexGT 2 Sep 2005 2:39 PM |
2 Сергей Павлович я как-то не спорю :) но имхо это уже середина 80х. А МС-Дос тогда уже была-и дело шло к Win 1.0. Я спорил с тем, что "еще добавлю, Билли действительно купил DOS(может он и не так назывался, не помню) и сделал из него MS-DOS. Так вот, тот самый первоночальный DOS, был не что иное, как загрузчик Линукса :)) " (с) злой МС купили практически неработающую QDOS-и это загрузчик Линукса? |
|
| Вадим Гнедашев 18 Apr 2006 11:26 AM |
уецуек |
|
|