Użytkownik "Bartek Siebab" <bs@vt.pl> napisał w wiadomości
news:e31ind$qum$1@atlantis.news.tpi.pl...
>> Michal Kawecki w dniu 2006-04-29 23:37 pisze:
>> Poproszę o przykład exploita, który uruchamia się z pliku
>> nieobjętego listą domyślnie skanowanych rozszerzeń np. rezydenta
>> AMON w programie NOD32. Dla ułatwienia wylistuję tu tą listę:
>> ASP, BAT, CGI, CHM, CLA, CLASS, CMD, COM, CPL, CSC, CSS, DLL,
>> DOC, DOT, ELF, EML, EXE, HLP, HTA, HTM, HTML, HTT, INF, INI, JS,
>> JSE, LNK, MD?, MPP, MPT, MSO, NWS, OCX, OV?, PDF, PHP, PIF, POT,
>> PP?, PRC, REG, RTF, SCR, SCT, SH, SHB, SHS, SRC, SWF, SYS, THE,
>> THEME, VBE, VBS, VSD, VXD, WSC, WSF, WSH, XL?, {*.
>
> ja bym to widział tak:
> odpalenie małego kodu z przepełnionego stosu który z internetu
> dociąga bezpośrednio w ram resztę swojego kodu, uruchamia i leci z
> tym dalej... i nie pisz że to nie możliwe bo nieraz już podobne
> exploity się pojawiały choćby na *nix'ach a zapewne też i na win...
>
> Bo chyba potrafisz sobie wyobrazić dla przykładu aplikację/trojana
> która nie zawierając niczego niebezpiecznego otwiera połączenie z
> internetem z np stronką www skąd czyta do pamięci kod vira i
> stamtąd uruchamia...
Pewnie dałoby się taki scenariusz zrealizować, od czasu wykrycia
rootkitów nic już mnie nie zdziwi. Ale IMHO rzeczywiste zagrożenie takim
exploitem jest niemal równe zeru. Poza tym sądzę, że gdyby komuś udało
się napisać wirusa działającego w tak wyrafinowany sposób, innymi słowy
takiego wirusa który potrafiłby ominąć właściwie wszystkie rezydentne
monitory AV, to zostałby on użyty do znacznie ważniejszych celów niż
rozsyłanie poczty po pop3 ;-).
-- M. [MS-MVP] /odpowiadając zmień px na pl/Received on Sun Apr 30 11:35:09 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 30 Apr 2006 - 11:42:03 MET DST