Чтобы иметь мнение - имей информацию!

Стаканыч.

Пятница, 22.11.2024, 09:04
Приветствую Вас Гость | RSS
Сhoose language
Выбрать язык / Select language:
Ukranian
English
French
German
Japanese
Italian
Portuguese
Spanish
Danish
Chinese
Korean
Arabic
Czech
Estonian
Belarusian
Latvian
Greek
Finnish
Serbian
Bulgarian
Turkish

Поиск

Меню сайта

Блог Новости

[18.07.2012]


Царская резиденция в Александровской слободе  (Мои путешествия)

[17.07.2012]


Вожега  (Мои путешествия)

[17.07.2012]


Устье (Усть-Кубинский район)  (Мои путешествия)

[17.07.2012]


Харовск  (Мои путешествия)

[17.07.2012]


Работы Кронида Александровича Гоголева. 3 часть.  (Мои путешествия)

[17.07.2012]


Работы Кронида Александровича Гоголева. 2 часть.  (Мои путешествия)

[17.07.2012]


Работы Кронида Александровича Гоголева.  (Мои путешествия)

[17.07.2012]


Географический центр Вологодской области. д. Семениха и окрестности.  (Мои путешествия)

[25.04.2012]


Специальный корреспондент. Провокаторы.  (Документальное кино)

[30.01.2012]


Эли́забет Грант , более известная как Ла́на Дель Рей  (Хиты прошлого и настоящего)


Есть мнение
  • лифт на луну (0)  [Интересующие темы форумчан]
  • 2081 (2)  [Фантастика]
  • Windows 8 (11)  [Хотелось бы знать.]
  • Реболы Граница Сестрорецк (23)  [Встреча старых друзей]
  • Убежище / Shelter (0)  [Tриллер]
  • Decorator (1)  [Программы для работы с графикой от AKVIS]
  • Божественное вмешательство / Yadon ilaheyya / Divine Interve (2)  [Мировое кино]
  • Ужасно медленный убийца с чрезвычайно неэффективным оружием (2)  [Мистика и Ужасы]
  • Сатисфакция (2)  [Наше кино]
  • SMSDV (1)  [Интернет]

  • Говорящий прогноз

    Фотоальбом

    QR-Code
    qrcode

    Главная » 2010 » Февраль » 17 » Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010
    15:14
    Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

    Бессигнатурная защита от Trojan-Ransom (WinLock) средствами KIS 2010

    Windows заблокирован    К сожалению, в последнее время пользователи все чаще жалуются на заражение вредоносами класса Trojan-Ransom. Зараженные пользователи получают сообщение, в котором их под разными соусами просят отправить СМС на платный номер. Цена сообщения редко бывает менее 150 российских рублей, а обычно много больше. И окно ни закрыть, не скрыть, работать в системе невозможно, запустить какое-либо средства диагностики и лечения также задача не из простых. Для неподготовленного пользователя это такая большая проблема, что ему проще отправить SMS, чем заняться лечением.

    Само лечение сводится обычно к проверке системы с Live CD от Доктора Веба или Лаборатории Касперского. Но эффективность таких проверок сильно зависит от свежести баз (у продуктов на Live CD проблемы с эмулятором) и злостности трояна (у продуктов на Live CD проблемы с работой в реестре хостовой ОС). Да еще этот диск нужно где-то взять. В общем, куда ни кинь - всюду клин. Потому важно, очень важно предупредить заражение, не дать троянцу занять позиции. Для этого пользователи Kaspersky Internet Security 2010 могут использовать уже имеющиеся у них средство - компонент Контроль программ (HIPS).

    Настройка - Контроль программ. Нажимаем кнопку "Настройка". На вкладке "Персональные данные" выбираем категорию "Все ресурсы". В категории "Персональные данные" создадим свою категорию "AntiWinLock". Для этого нужно кликнуть на "Добавить категорию" в этом окне и ввести название. Для удобства можно свернуть остальные категории кликом мыши на "+". Теперь добавим ресурсы, которые нужно контролировать. Кликаем на "Добавить" внизу окна и в появившемся списке выбираем "Ключ реестра", как показано на изображении.Добавляем ключ реестра

    В появившемся окне вводим название правила. Я ипользовал "WinLock.Shell" для защиты \Winlogon\shell. В принципе, название можно и не указывать, оно вставится само. Но само-собой, нужно внести путь, который должен контролироваться HIPS. На момент написания мне известно 10 мест и их нужно занести. В открытом окне "Пользовательский ресурс" нажимаем кнопку "Обзор" и вставляем:

    1. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Shell
    2. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows В поле "Значение": AppInit_DLLs
    3. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon В поле "Значение": Userinit
    4. В поле "Ключ": *\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*
    5. В поле "Ключ": *\SOFTWARE\Policies В поле "Значение": *
    6. В поле "Ключ": *\SOFTWARE\Policies\*
    7. В поле "Ключ": *\SOFTWARE\Policies\* В поле "Значение": *
    8. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot В поле "Значение": *
    9. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\*
    10. В поле "Ключ": HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\* В поле "Значение": *

    Пути нужно писать так, как написал их я. Каждый путь добавляется отдельно. Вот как это выглядит в конечном счете:

    Правила

    Обратите внимание, что в последнем добавлении на конце есть слеш, но вручную его указывать не нужно; в пунктах 4, 6 и 9 после * его нет.

    Итак, HIPS контролирует эти места и что? Они изначально были зашиты и изначально контролировались. Суть в том, что мы запретим любые изменения в этих путях всем программам, которые не входят в группу "Доверенные". Возвращаемся в окно настроек KIS на "Контроль программ".  Там жмем кнопку "Настройка правил...".

    В появившемся окне выбираем группу "Слабые ограничения" и кликаем "Изменить" внизу (или просто двойнок клик мышью по строке). Появляется окно настроек правил для группы. Нам нужна вкладка "Правила" и "Файлы, системный реестр" в списке выбора. В самом низу находится  группа правил с названием AntiWinLock. Для операций чтения, записи, удаления у нее наследована настройка "Запросить действие". Меняем это на "Запретить" (клик правой кнопкой мыши). Запрос действия можно оставить только для "Чтение", да и то не обязательно. Вот что получается в итоге:

    Настройка правил

    Повторяем изменение правил для группы "Сильные ограничения". Не нужно трогать "Доверенные" (там наследуется разрешение) и "Недоверенные" (там наследуется запрет).

    Теперь защитим средствами HIPS параметры безопасности. Т.е. запретим приложениям, не входящим в группу "Доверенные", изменять:

    • Параметры безопасности Internet Explorer
    • Зоны Internet Explorer
    • Параметры встроенного фаервола
    • Ветку политик
    • ...и прочее

    Это сделать будет еще проще. В окне "Правила для группы программ" (скриншот выше) для группы Слабые ограничения выставляем запреты на ресурс "Параметры безопасности". А вот что входит в "Параметры безопасности":

    Параметры безопасности

    После этих действий при любом режиме работы KIS никакое ПО, кроме того, что добавлено по какой-то причине в группу "Доверенные", не с может изменить эти критичные ключи реестра. При этом пользователь не будет получать никаких алертов, никаких балунов. KIS просто молча заблокирует опасное действие и запишет это в отчет.

    BBCode:
    HTML:
    [ Скрыть ссылки ]
    Категория: Новости, интересные факты. | Просмотров: 620 | Добавил: Стаканыч||Говорим спасибо||||Уважаемые пользователи, пожалуйста, оставляйте комментарии | Рейтинг: 5.0/1
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]
    Форма входа
    Гость

    Сообщения:

    Группа:
    Гости
    Время:09:04

    Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или авторизуйтесь!

    Памятные даты

    Лунный календарь
    Фазы Луны на RedDay.ru (Череповец)

    Календарь рыбака - прогнозы клёва, рыбацкие события, мероприятия, запреты и ограничения

    Мини ЧАТ!

    Статистика
    Онлайн всего: 3
    Гостей: 3
    Пользователей: 0


    НАША КНОПКА

    [ ЖМИ СЮДА!]

    Онлайн радио

    Dr.Web

    Copyright MyCorp © 2024Сайт управляется системой uCoz