Użytkownik "translatef" <translatef@o2.pl> napisał w wiadomości
news:e35b49$1emh$1@node2.news.atman.pl...
> Użytkownik "Michal Kawecki" <kkwinto@o2.px> napisał w wiadomości
> news:3l053e.v62.ln@kwinto.prv...
>> Użytkownik "translatef" <translatef@o2.pl> napisał w wiadomości
>
>> Dobry przykład, choć właściwie jest on oparty na wykorzystaniu
>> dziury w kodzie samego systemu. Ponadto dziura ta umożliwa
>> uruchomienie obcego kodu po otwarciu także innych typów plików
>> graficznych, nie tylko wmf.
>
> Jak wiekszosc smieci w ostatnich czasach, z okazji bledow w lsass,
> rpc, mshtml,
> msxml itd... Prawdziwych wirusow, takich state-of-the-art jak
> kiedys typu Tremor,
> Eddie, Onehalf juz nie ma. Teraz tylko masowa tandeta :)
Ano prawda. To dlatego AV przerabiane są na kombajny śledzące pakiety
danych docierające każdą możliwą drogą do systemu.
>> Ochrona przed tym exploitem nie polega więc na skanowaniu tych
>> plików, co byłoby IMHO niezmiernie czasochłonne i mało
>> efektywne, tylko na nadzorowaniu, co się po ich otwarciu dzieje.
>> Tak zostało to w każdym razie zaimplementowane w NOD32.
>
> IMO zle zalozenie. Opcja uruchamiania czegokolwiek i patrzenia
> dopiero wtedy w dobie rootkitow jest troche jak rosyjska ruletka.
> Co do czasochlonnosci i efektywnosci
> - przemycenie kodu w wmf to cos blizszego przemycaniu VBA w formie
> makr Office, mysle ze moznaby po prostu sprawdzac czy wmf zawiera
> jakies metadane,
> i jesli tak - ostrzegac, albo dopiero wtedy skanowac podejrzane
> pliki.
Zaraz zaraz. Rozmawiamy o plikach *graficznych*, a nie wykonywalnych. W
tym drugim przypadku masz całkowitą rację i znajduje to odzwierciedlenie
w długiej liście rozszerzeń plików skanowanych przez rezydenta AV. Ale w
przypadku obrazków i tego exploita wmf wystarczy IMHO tylko śledzić, czy
nie jest wywoływana dziurawa funkcja systemowa. I tyle. Nie ma potrzeby
skanowania ich zawartości. W każdym razie nie w real-time. Dodam, że
takie podejście zabezpieczy nas dodatkowo także i przed takim exploitem,
o którym toczy się cała dyskusja, czyli nie zapisującym się na dysku w
jakiejkolwiek postaci.
-- M. [MS-MVP] /odpowiadając zmień px na pl/Received on Mon May 1 19:05:09 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 01 May 2006 - 19:42:00 MET DST