Użytkownik "Michal Kawecki" <kkwinto@o2.px> napisał w wiadomości
news:3l053e.v62.ln@kwinto.prv...
> Użytkownik "translatef" <translatef@o2.pl> napisał w wiadomości
> Dobry przykład, choć właściwie jest on oparty na wykorzystaniu dziury w
> kodzie samego systemu. Ponadto dziura ta umożliwa uruchomienie obcego
> kodu po otwarciu także innych typów plików graficznych, nie tylko wmf.
Jak wiekszosc smieci w ostatnich czasach, z okazji bledow w lsass, rpc,
mshtml,
msxml itd... Prawdziwych wirusow, takich state-of-the-art jak kiedys typu
Tremor,
Eddie, Onehalf juz nie ma. Teraz tylko masowa tandeta :)
> Ochrona przed tym exploitem nie polega więc na skanowaniu tych plików,
> co byłoby IMHO niezmiernie czasochłonne i mało efektywne, tylko na
> nadzorowaniu, co się po ich otwarciu dzieje. Tak zostało to w każdym
> razie zaimplementowane w NOD32.
IMO zle zalozenie. Opcja uruchamiania czegokolwiek i patrzenia dopiero wtedy
w dobie rootkitow jest troche jak rosyjska ruletka. Co do czasochlonnosci i
efektywnosci
- przemycenie kodu w wmf to cos blizszego przemycaniu VBA w formie makr
Office, mysle ze moznaby po prostu sprawdzac czy wmf zawiera jakies
metadane,
i jesli tak - ostrzegac, albo dopiero wtedy skanowac podejrzane pliki.
t
Received on Mon May 1 18:00:12 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 01 May 2006 - 18:42:00 MET DST