Nový počítačový virus chytře přežívá v registru Windows

to byl windowsovský kretén. Tu "linuxovou" debatu odstartovalo"Linuxáci nemají žádné registry, doufám že nám to všem nahlas a znova budou v diskuzi opakovat "

Windowsáčtí trollové se tu začali jako první navážet do linuxu a linuxáků. Nevím co ti jebe, ale myslím, že máš docela problém se sebeovládáním. A taky čtením.

Chybně formulujete, nikdo se nezačal navážet do linuxáků, ale windowsácký trol se navezl do linuxáckých trolů. Vaše tvrzení by platilo pouze v případě, že by všichni linuxáci byli trolové.

Tak ted uz je tu cela redmond kvadra.

Zřejmě ti nejsou jasný rozdíly mezi standartní distribucí GNU/Linuxu určenou pro PC/server a Androidem, předevšim co se týče instalace SW apod. a taky ti uniklo pár prvních komentářů.

Slovák ....

To by mozna slo, kdyby to byl opravdovy system, kde existuje system prav od pocatku. Jelikoz to ale dobastlili az v pokrocile fazi, tak s tim dosud spousta sw nepocita nebo se deji hodne divne veci pokud nemate prava. Ja nedavno zazil situaci, kdy ani nenabihal explorer.exe, kdyz jsem ho pustil rucne tak sice nabehl, ale pulka systemu nefungovala (napr prehravani zvuku) a po nekolika hodinach jsem to vzdal a dospel jsem akorat k tomu, ze pomuze vypnuti UAC. Podobne jsem zazil situaci, kdy program vytvoril soubor, neco do nej zapsal, ale nemel pravo ho smazat. Opet pomohlo vypnuti UAC. Tak to je pak hezka pohadka pracovat jen pod userem, ale realita je bohuzel nekde jinde.

Jestli řešíte práva na smazání souboru vypnutím UAC, tak to potěš koště.

jak byste to tedy resil vy?

Spouštěl bych aplikaci pod uživatelem, pod kterým soubor vytvořila, případně doplnil práva na manipulaci se souborem aktuálnímu uživateli.

to tak bylo, ten soubor byl vytvořen, ale UAC vzápětí zakázal smazání, ten soubor měl existovat jen zlomek sekundy. Práva k nadřazenému adresáři byly v pořádku.

UAC nic nezakazuje. UAC jen vynucuje alternativni token (deny builtin\administrators), pokud nepozadas o elevaci.MP

Mluvím o úrovni systémových volání. Tam bylo vidět, že do hry hry vstoupila UAC knihovna a zakázala naprosto nelogicky operaci smazání na souboru vytvořeném o pár ms dříve. A to podotýkám, že obyčejný admin si s takovou situací ani neporadí, protože neví jak na ten problém přijít.

nevim, ale prava na windows fungujou dobre (rozhodne od Windows 2000), nepotkal sem zadnej software co by s tim mel problem. Kdyby to tak nebylo, tak by windows nebylo mozny vubec pouzivat ve vetsich firmach bankach atp.Pokud dela nejakej program problem s pravama users staci ho nainstalovat a poprve spustit pod dotycnym uzivatelem kteremu dame na tu dobu prava administratora. UAC je samozrejme neco jinyho.

Takových případů, kdy práva pod Windows nefungují očekávaným způsobem, není zrovna málo. Poslední takový jsme s kolegou řešili dnes, kdy určitá práva v doméně se u stejného uživatele chovají jinak, pokud se přihlásí z Windows 7 ve 32 bitové verzi a jinak ze stejných Windows 7 v 64 bitové verzi. Řešení problému našel kolega v jedné staré diskuzi, kde se stejný problém řešil na Windows Vista. Takže se to chování zřejmě na úrovni 32 bitových Windows přenáší z generace na generaci?

Roman Zvěřina tu rozjel irelevantní diskusi o právecj administrátora. Takže o právech administrátora si běžte pokecat někam jinam. S tímto článkem nesouvisí.

jasný, jakoby všechno o čem se plká pod článkama souvyselo s tématem..Ale sem rád že to konečně někdo bude všechno sledovat, moderovat a odkazovat kecaly tam kam patřej.
Jen tak dál

To s nejvetsi pravdepodobnosti neni problem prav, ale de facto dvou nezavislych (32 a 64 bit) subsystemu, ktere jsou celkem logicky segregovaneMP

Administrátor nastaví v doméně Windows nějaká práva pro konkrétního uživatele, ten se přihlásí na svém PC ve 32-bit Windows 7, něco tam udělá, uloží, odhlásí se a když se přihlásí znovu, tak to tam nemá, protože mu zmizel celý uživatelský profil. A profil mu mizí po každém odhlášení, takže to vypadá na problém s HW nebo vir. Sousední uživatel se stejnými právy na Windows 7 jede bez problémů, ale když se přihlásí na jiném PC s Windows 7 32-bit, tak se mu také vytvoří nový uživatelský profil, ale po odhlášení tam zase není. Že by se virus tak rychle šířil, ale na 64-bit Windows 7 nefungoval? Kdepak virus, ale určitá skupina v doméně v kombinaci s určitými právy. Wintel admin ty práva nesmí nastavit jinak, takže je třeba vyřadit PC z domény, aby to fungovalo "správně" anebo použít jiné PC s 64-bit Windows 7. Ještě že jsou ty práva v doméně tak spolehlivé a kompatibilní, že to chování určitých kombinací neděláproblémy.;-

Prava ve Windows funguji dobre od pocatku, tedy od Windows NT (pri vsi ucte bych 16 bitove win az do ME vcetne nebral v potaz, to neni a nebyl samostatny OS, ale graficka nadstavba DOSu).MP

Bohužel Vám musím prozradit, že Vaše představy o funkčnosti práv na win jsou poněkud naivní a patrně vychází z vaší nezkušenosti. Obecně prostě musíte brát i msdos v úvahu, protože win jsou s tim kompatibilní a stále se projevují problémy pocházející třeba z nedostatečného návrhu FAT12. Pokud nesouhlasíte, tak je to opravdu pouze nezkušeností- nikdy jste nenarazil.

Neco malo zkusenosti mam. Nicmene mne opravdu nenapadaji realne problemy, zpusobene bremenem zpetne kompatibility s DOSem. Zejmena v dobe, kdy je bezne pouzivat 64bitove OS, tedy OS bez 16bit subsystemu. O archaickych filesystemech typu FATxx nemluve.MP

Tak napriklad - proces A vytvari proces B pres CreateProcess, tam da cestu do c:\Program Files\... a tak dale. Pak nainstalujete program C, ktery se o cosi pokousi (dle meho ponekud nesikovne) a vysledkem je, ze vytvori soubor c:\Program. V tu chvili prestane fungovat vytvareni procesu B v procesu A, protoze system musi drzet jakousi zpetnou kompatibilitu a z te cesty, co mu dal A hadat, jestli nahodou nechtel neco jineho.To je realny priklad z W7 64bit par mesicu zpatky, lovil jsem to z logu systemovych volani a jelikoz jich je bezne radove stovky tisic, tak si dovedete predstavit jaka to byla lahudka. Nedovedu si predstavit, ze by slusny moderni system skryval takove pasti. Jasne, muzeme diskutovat nad tim, kde se stala chyba, co se melo udelat jinak, nicmene faktem zustava, ze takove veci dost zdrzuji praci a stoji tim padem dost penez a ze to prameni z chatrnych zakladu na kterych i ty moderni win stoji. Bohuzel.Jen pro uplnost, podobne problemy resime v nasi firme tak zhruba kazdy mesic. Od spatne se chovajicich oken, linkovani spatnych dll, divnych ovladacu grafiky, divneho zamykani souboru, divne nenastavenych prav a tak bych mohl pokracovat. Na spousteni office a browseru je to asi dostacujici system, ale slozitejsi veci prinaseji zakernejsi problemy.Jeste me napadla vtipna vec z posledni doby - v cervnovych aktualizacich prisel novy ovladac wifi. Vysledkem bylo odinstalovane wifi, zapomenuty vsechny site a rozhaseny zvuk. To naramne potesi kdyz se chystate na konferenci a potrebujete aby vsechno slapalo. Jeste nekolik dni pote jsem presvedcoval audio aby hralo ze spravneho zarizeni.

Jake jsi presne pouzil parametry? Byla cesta v uvozovkach? Viz http://msdn.microsoft.com/en-us/library/windows/des... ... MP

Ten proces jsem nedelal ja, nicmene jsem resil co se v nem deje a proc se prestalo dit to co ma. Jasne ze to je tema uvozovkama, nicmene nemohu nevidet, ze primarni problem je v tom, jak spatne win API je, ze dovoluje takovehle cituji ambiguous parametry a _nejak_ to pak dopadne. Sam si muzes pocist jaky mraky vyjimek tam hraji roli a kdyz ctu treba> Windows XP: The ACLs in the default security descriptor for a process come from the primary or impersonation token of the creator. This behavior changed with Windows XP with SP2 and Windows Server 2003.tak veta
> Prava ve Windows funguji dobre od pocatku, tedy od Windows NTdostava novy rozmer

Rozumim. On system prav JE dobre nastaveny uz od Windows NT.
Ale - jak spravne pises - az s Win XP resp. spise az od Win Vista tento system zacal Microsoft dost tvrde vynucovat. Do te doby prevazoval pozadavek kompatibility nad pozadavkem bezpecnosti.MP

Zapisovat do registru v klíči HKCU můžeš bez práv administrátora. Stahovat a spouštět soubory můžeš bez práv administrátora.
Takže plácáš nesmysly ohledně práv administrátora.
Řešením je aktualizovaný office, hádám, že ta dva roky stará díra je opravená. Případně nespouštět neznámé dokumenty ve stavu, ve kterých je něco, co se nechová staticky.

Máte pravdu, vždyť na Linuxu běží jen systémy, přes která tečou data (routery, databáze, web servery). Nic zajímavého pro útočníky. Takový domácí písidlo na Windows, kde je péčko a cookies z facebooku, to je ten správnej cíl

Popsal jste přesně důvody, proč se nevyplatí psát viry na linuxové servery, zatímco na windowsové stanice ano. Psal jste to sice ironicky, ale popsal jste realitu.Servery jsou většinou spravovány profesionály, mají výrazně větší zabezpečení, běží tam omezené množství služeb (tedy nějaká další služba je rovnou podezřelá). Systémy jsou navíc velmi rozdílné, máloco je natolik unifikované, aby stačil dostatečně malý kód (windowsové viry velmi často spoléhají na naprosto standardní API a knihovny). U routerů zase platí, že mají malý výkon a omezenou paměť, takže napsat nějaký škodlivý kód, který by dělal něco smysluplného, je extrémně těžké (ale nikoli nemožné - už takové věci také existují).U stanice s Windows naproti tomu sedí velmi často ňouma, který spustí cokoli, má tam bankovnictví, ochotně zadává údaje z kreditní karty při nákupech, má mraky kontaktů, na které se lze množit. To je naprosto ideální živná půda.Proč asi tak vzniká tolik malwaru na Android? Protože se tam lze snadno dostat ke kontaktům (lidi schválí cokoli), k citlivým údajů, lze instalovat z nedůvěryhodných zdrojů atd. U nás není ten problém tak velký, protože většina u nás prodávaných telefonů má klasický Google Play a málokdo má důvod hledat aplikace jinde, ale v Asii je situace úplně jiná a prolezlost Androidu balastem je tam opravdu šílená. Prostě se tam najednou vyplatí psát bordel na danou platformu a je úplně jedno, že to má linuxové jádro - důležitá jsou uživatelská data, ke kterým se dá dostat.

A to ešte nedávno platilo, že Linux (desktop) takmer nikto nepoužíval na nijakú prácu, takže v ňom fakt nebolo čo hľadať Nie je tak dávno doba, keď klasický linuxový geek mal len jediný cieľ. Naištalovať nejaké distro, rozchodiť ho, pohrať sa z vyhladzovaním písma, pootvárať malebnú zmäť apikácií, uložiť pár screnshotov, pochváliť sa nimi, a šlo sa na nové distro. Prečo by niekto chcel takýto počítač napadnúť?

Muj prvni vir v zivote byl na linuxu. Tusim RedHat 6.1, do systemu se dostal pres chybu v sshd (skoro tyden jsem jej nepatchoval - moje chyba). MP

Prosím a co ti v systému udělal? Možná jsi měl nějaký malware, ale pod root?

Hezky vymysleno.
Souhlasím (+93) | Nesouhlasím (-2)Dal jsem nesouhlasím. Jde vidět kolik inteligentních lidí tu chodí. Nechápu jak tomuto názoru někdo mohl dát souhlasím. Prosím o vysvětlení.

Protoze je to jednoduche a zaroven genialni, nikoho doted ani nenapadlo, ze to muze fungovat.

Co je na tom hezky vymyšlenýho?
1. K napadení dojde jen pokud má:
a) člověk word 2010 a starší
b) neaktualizuje word
c) spustí napadený dokument wordu
Takže pro nezabržděného a nepobůchaného uživatele nebezpečnost 0.
2. Je naprosto jedno jakým způsobem je malware uloženo a jak se spouští. Z hlediska bezpečnosti je zásadní pouze bod 1, pokud malware je spuštěno, tak z důvodu toho, že je uživatel zabržděný a pobůchaný, v tom případě i kdyby bylo malware uloženo na ploše s názvem malware nebo takto v registru, uživatel by si ho nevšimnul. A v případě antiviru, tak tam je jedno jestli odhaluje zápis v regostru nebo cokoliv jiného.

lidi nejsou zvyklí, že i ve wordu se může skrývat nějaká hrozba (kromě názory vypatlaných ementálů...)

Může. Ale jsou zvyklí word aktualizovat (kromě zabržděných a pobůchaných ementálů).

A když se člověk podívá kolik lidí aktualizace záměrné vypíná, protože to „otravuje“ a kolik lidí otevře dokument wordu jen proto, že mu přišel jako příloha, je cílová skupina podle bodu 1 opravdu velká. Samotné provedení viru je ve své jednoduchosti geniální.

Protože to je nádherně elegantní řešení problému.
To, že viry a trojany zrovna dvakrát rád nemám na tom nic nemění.

Sem chodí technicky založení lidé, kteří ocení způsob, styl a nápad. Může se ti to zdát jako podivnost i když celá záležitost je lidský nešvar, ale je to tak. Třeba já to chápu zcela.

No kdyz nechapete, pak preju prijemne minusovani. Ja jen pochvalil inovativni koncept, ktery autor viru pouzil.

PS: Snad i naprosty debil pochopi, ze tim neschvaluji tvorbu malwaru. :o)

Využít k napadení přes dva roky opravenou díru je fakt inovativní.

A Vy vite, kdy to vzniklo? Krome toho je to inovativni naprosto bez ohledu na to, od kdy je ta dira znama, pripadne zaplatovana. Znate logiku? Prijemne!

Odkazovaný článek je data 31.07.2014 a když v tomto datu výzkumníci prozkoumali nový virus, tak nový určitě nebude znamenat přes dva roky starý virus.
Díra byla zaplátována:
http://www.microsoft.com/cs-cz/download/details.aspx...
6. 4. 2012, tož asi tak...
Takže do styku s tímto malwarem se můžou dostat tak akorát výzkumníci a pak pár lidí na zive.cz si můžou nad výzkumy žasnout, přitom ani pořádně neví jak to funguje, hlavně že je to nějaké jinačí.

Hezké. A teď se prosím podívejte na počítač běžného Franty. Že je chyba záplatovaná dva roky nic neznamená.

no prave ze je. ako ju opravili pred dvomi rokmi?BTW spustanie zavirenych dokumentov tu uz bolo, len sa na to zabudlo a aj sposob spustania virov cez registre.Niekto objavil minulost