суббота, 10 ноября 2012 г.

lock the viruses to be run from user's temp folder

буквально сегодня словил что-то на подобие WinLocker'a, в отчетах virustotal'a его определял только Касперский ( у меня установлен другй антивирус ):

https://www.virustotal.com/file/b4a1a5e40b85cbb415cbf37036be852335a731f6a89c59ddfeeff0f08343cd76/analysis/

Причина по которой словился вирус: кто-то ( не будем говорить кто) сидел за компом используя IE9, а уж всем известно что там ооочень и очень много эксплойтов под него.

Результат: при следующем запуске компа получил удачный скриншот с просьбой оплаты :)))

Конечно, я с этим тут же разобрался и вылечил систему.
locker проиался в автозапуск из паки TEMP :
C:\Users\<username>\AppData\Local\Temp
Что делать, если вдруг какой-то любой другой гаденыш сюда зелезет и пропишется в автозауск ?

Идеи:  

Блокируем запуск всех программ кот-е в папке  C:\Users\<username>\AppData\Local\Temp
Для этого:
1.  используем Локальные олитики безопасности
2. Создаем новую политику для Ограниченного использования программ:
3. Вбиваем туда наш Зловестный путь:



И вуаля - больше ничто никогда не запустится с этой папки....

Конечно же, я проверил это на том же зловреде.
вот рузультат :

Имя журнала:   Application
Источник:      Microsoft-Windows-SoftwareRestrictionPolicies
Дата:          10.11.2012 17:04:46
Код события:   866
Категория задачи:Отсутствует
Уровень:       Предупреждение
....
....
Доступ к C:\Users\test\AppData\Local\Temp\1.4667602781955421E7.exe был ограничен по расположению; администратор применил правило политики {0758567e-1c6d-4330-9feb-d76b01c814d2} к пути C:\Users\test\AppData\Local\Temp.
......

среда, 3 октября 2012 г.

one more useful resource you can gather knowledge & ideas from is records of Yandex Events ( in Russian ) .

вторник, 11 сентября 2012 г.

Microsoft QA Days video (march, 2012)

MSQA Days video is available in 2 languages ( En, Ru ). Thx Micro$oft ©