क्या नए कारनामे इतने डरावने हैं अगर एंटीवायरस उन्हें नहीं देखता है?

हर बार जब आप एक इंटरनेट एक्सप्लोरर ब्राउज़र खोलते हैं, तो आप में से एक दूसरे वायरस को पकड़ने से डरता है ... लेकिन क्या वास्तव में ऐसा है? क्या हम सभी इस तरह की चीजों के खिलाफ रक्षाहीन हैं?

लेख में वर्णित सब कुछ विंडोज-आधारित सिस्टम पर लागू होता है।

ज्वाइन करने के बजाय

ऐसा ऐतिहासिक रूप से हुआ कि मेरे परिवार के अन्य सदस्य मेरे अलावा कंप्यूटर पर बैठे हैं। एक बार जब मैंने सुबह इसे चालू कर दिया, तो WinLocker के संबंध मेरे मॉनिटर पर दस्तक दे गए ... अच्छा, यह कैसे हो सकता है, मैंने सोचा, क्योंकि मेरे पास बहुत नवीनतम डेटाबेस के साथ एक एंटीवायरस था जो इस बकवास से चूक गया ... और जो कोई बैठा था, उसने इसे लॉन्च किया हो सकता है। और हाँ, ब्राउज़र IE9 था।
मैंने Winlocker को प्रबंधित किया, और यह भी पूछा कि उस समय (केवल 1) कितने एंटीवायरस को पकड़ रहा था।

कोई नीली गोली नहीं है जो आपको बाहर निकालने से बचाएगी। यदि यह है, तो, 70% मामलों में यह बहुत सावधानी से सोचा गया था (हेलो, मेटस्प्लोइल और उसके जैसे अन्य) और, अफसोस, ऑपरेटिंग सिस्टम और एंटीवायरस (यदि कोई हो) रक्षाहीन हैं ...

लेकिन घुटने पर लिखे शेष 30% के साथ क्या करना है? क्या अपने आप को इस तरह के नवाचारों से सुरक्षित रखना संभव है जैसे कि विन्डलकर्स और अन्य मैलवेयर?

बिंदु पर पहुँचो

इस बिंदु तक, मैं संक्रमण को रोकने के कई तरीके जानता था:

• HIDS का उपयोग करें (आमतौर पर सक्रिय सुरक्षा का उपयोग किया जाता है - जब आपका एंटीवायरस / फ़ायरवॉल सिस्टम की निगरानी करता है और कहता है कि ऐसी फ़ाइल कुछ करना चाहती है)
• अधिक विश्वसनीय ब्राउज़र (Chrome?) का उपयोग करें
• सैंडबॉक्स (या यह पहले से ही पदावनत है?)
• कॉर्पोरेट ग्राहक, निश्चित रूप से, हनी-पॉट्स जैसे कुछ और का उपयोग ट्रैफ़िक विश्लेषण के दौरान एक नए अज्ञात मैलवेयर को पकड़ने के लिए कर सकते हैं
• Microsoft टूलसेट - EMET (धन्यवाद, स्पीडमोन ) - एक प्रोग्राम जो सॉफ्टवेयर भेद्यता का शोषण करने से रोकता है
• बेशक, अभी भी एक आईपीएस सिस्टम बाध्यकारी हो सकता है

मैंने ऊपर वर्णित विधियों (विशेष रूप से, एड्स) का उपयोग करने से इनकार कर दिया।

समूह नीति

आखिरकार, एक और भी है (निश्चित रूप से, एक रामबाण नहीं) दिलचस्प चाल ... जो विंडोज पर उपलब्ध है
WinLocker का विश्लेषण करके, यह स्पष्ट रूप से दिखाई दे रहा था कि इसे स्वचालित रूप से %Temp% ( Win7 -> %appdata%\..\Local\Temp) फ़ोल्डर में डाउनलोड किया गया था %Temp% ( Win7 -> %appdata%\..\Local\Temp) , जहाँ से इसे ऑटोरन रजिस्ट्री प्रविष्टि का उपयोग करके लॉन्च किया गया था।
जवाब सतह पर है। - तो TEMP फ़ोल्डर से फ़ाइलों के प्रक्षेपण पर रोक!

हम 4 सरल कदम उठाते हैं:

1. ओपन ग्रुप पॉलिसी सिस्टम (gpedit.msc)
2. कंप्यूटर कॉन्फ़िगरेशन - सुरक्षा सेटिंग्स - सॉफ्टवेयर प्रतिबंध नीतियां
3. पथ के लिए एक अतिरिक्त नियम बनाएँ
4. हम जिस रास्ते की आवश्यकता है, उसमें प्रवेश करते हैं, सुरक्षा स्तर निषिद्ध का चयन करें - और वॉयला! अब इस रास्ते से कार्यक्रम कभी शुरू नहीं होगा

पढ़ें, लिखो पहुंच होगी, लेकिन निष्पादित करने के लिए कोई पहुंच नहीं होगी - भले ही आप व्यवस्थापक अधिकारों के साथ बैठे हों - यह मेरे द्वारा व्यक्तिगत रूप से जांचा गया था जब Temp फ़ोल्डर से उसी Winlocker के स्टार्टअप की जांच कर रहा था।

यदि आपको कुछ चलाने की आवश्यकता है, तो आप इस नीति के लिए सुरक्षा स्तर को हमेशा बदल सकते हैं।

मुझे आशा है कि यह अतिरिक्त विधि किसी की मदद करती है ... इसके अलावा, स्रोत SoftwareRestrictionPolatics (इवेंट कोड 866) द्वारा विंडोज लॉग एप्लिकेशन के लॉग को देखकर, मैं स्पष्ट रूप से देख सकता हूं कि यह मेरे पीसी के लिए गलत नहीं हुआ, क्योंकि IE9 IE10 के अनुभवहीन उपयोगकर्ता इसके पीछे बैठे हैं। ।

युपीडी:
आलोचना और टिप्पणियों के लिए धन्यवाद। यह दिलचस्प है कि लेख लिखने के बाद, 46 एंटीवायरस कंपनियों में से केवल 22 अभी भी मैलवेयर का पता लगाती हैं।

UPD2:
क्या यह वास्तव में एक शोषण है, इस संदेह पर टिप्पणी करने के लिए शंकर और एप्कोडर का धन्यवाद।
यह Winlocker भेद्यता CVE- 2012-4969 का शोषण करके सिस्टम में आ गया
लावासॉफ्ट द्वारा उनका विश्लेषण यहां पाया जा सकता है।