Google Chrome, вирусы и защита от них
Недели три назад поставил Хром вторым браузером для быстрого серфинга. За это время два раза поймал вирус "Отправь СМС на номер". В первом случае подозрения закрались, но доказательств не было. Во втором случае через час после серфинга Хромом перегрузил ноут и получил злобный вирь. Учитывая, что с последней перезагрузки прошло менее суток (вирус активизируется после старта винды), никаких программ я не качал, а Фаерфоксом ходил только по проверенным сайтам, в заражении на 99% виноват именно Хром. При этом он был распоследней версии без дополнительных плагинов.
Вывод херовый - с вероятностью 99% Хром имеет дырень, позволяющую через яваскрипт или флеш выполнить любой код (правка реестра, создание файлов в System32) под правами аккаунта, из-под которого запущен браузер. Запросов на доступ куда-либо не было, хотя яваскрипт и флеш в принципе не могут выйти за пределы браузера.
При разборе полетов обнаружил семь файлов, которые прописались в разных местах реестра. Ни один из них не был обнаружен ClamAV'ом, что печально. Не весь опенсорс одинаково полезен. Начал подбирать замену из тех, что есть на virustotal.com, которые этот вирус обнаружили. Получился такой список (в алфавитном порядке): Avast, AVG, Comodo и AVZ по совету знакомых. Основные критерии: бесплатность, нужен только сканер (никаких левых дополнительных сервисов). Пока поставил Comodo, вири им выловил, но постоянно висящий процесс, который регулярно мне что-то запрещает, не радует. Буду менять.
Теперь про сам вирь. Как уже сказал, один из способов распространения - через дыру в браузере посредством яваскрипта или флеша. Прописывается в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В незараженной винде при стандартной оболочке:
1)Параметр Shell должен содержать "Explorer.exe"
2)Userinit - "C:\Windows\system32\userinit.exe,"
3)VmApplet - "rundll32 shell32,Control_RunDLL "sysdm.cpl""
В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр AppInit_DLLS должен быть пустым. Ну и стандартный HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run стоит проверить.
Лечился, создав загрузочную флешку с минивиндой и полезными утилитами. Все хозяйство брать отсюда: http://www.hirensbootcd.net/ или на русском отсюда http://lexapass.narod.ru/. Утилитой для редактирования реестра почистил вышеуказанные параметры, вычислив файлы вируса на диске. После этого винда заработала без проблем.
Первый же вирус вылечился откатом на точку восстановления.
После этого случая пересмотрел "политику" безопасности. Урезал себе права с локального админа до Power User. Вновь запустил остановленную вирем службу точек восстановления, проследил, что как минимум одна точка создалась. Постоянный антивирусный монитор жить у меня все равно не будет - нефиг тратить ресурсы моего компа из-за рукожопости разработчиков, которые оставляют дыры для автозапуска кода. Хром идет в топку. И надо проверить разрешения на критичные ветви реестра. Учитывая ситуацию с автозапуском, не удивлюсь, что там даже Гость будет иметь полный доступ.
Вывод херовый - с вероятностью 99% Хром имеет дырень, позволяющую через яваскрипт или флеш выполнить любой код (правка реестра, создание файлов в System32) под правами аккаунта, из-под которого запущен браузер. Запросов на доступ куда-либо не было, хотя яваскрипт и флеш в принципе не могут выйти за пределы браузера.
При разборе полетов обнаружил семь файлов, которые прописались в разных местах реестра. Ни один из них не был обнаружен ClamAV'ом, что печально. Не весь опенсорс одинаково полезен. Начал подбирать замену из тех, что есть на virustotal.com, которые этот вирус обнаружили. Получился такой список (в алфавитном порядке): Avast, AVG, Comodo и AVZ по совету знакомых. Основные критерии: бесплатность, нужен только сканер (никаких левых дополнительных сервисов). Пока поставил Comodo, вири им выловил, но постоянно висящий процесс, который регулярно мне что-то запрещает, не радует. Буду менять.
Теперь про сам вирь. Как уже сказал, один из способов распространения - через дыру в браузере посредством яваскрипта или флеша. Прописывается в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В незараженной винде при стандартной оболочке:
1)Параметр Shell должен содержать "Explorer.exe"
2)Userinit - "C:\Windows\system32\userinit.exe,"
3)VmApplet - "rundll32 shell32,Control_RunDLL "sysdm.cpl""
В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр AppInit_DLLS должен быть пустым. Ну и стандартный HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run стоит проверить.
Лечился, создав загрузочную флешку с минивиндой и полезными утилитами. Все хозяйство брать отсюда: http://www.hirensbootcd.net/ или на русском отсюда http://lexapass.narod.ru/. Утилитой для редактирования реестра почистил вышеуказанные параметры, вычислив файлы вируса на диске. После этого винда заработала без проблем.
Первый же вирус вылечился откатом на точку восстановления.
После этого случая пересмотрел "политику" безопасности. Урезал себе права с локального админа до Power User. Вновь запустил остановленную вирем службу точек восстановления, проследил, что как минимум одна точка создалась. Постоянный антивирусный монитор жить у меня все равно не будет - нефиг тратить ресурсы моего компа из-за рукожопости разработчиков, которые оставляют дыры для автозапуска кода. Хром идет в топку. И надо проверить разрешения на критичные ветви реестра. Учитывая ситуацию с автозапуском, не удивлюсь, что там даже Гость будет иметь полный доступ.