89 ответов в этой теме

[IlyaS]

По мотивам блокировки криптолокеров политикой SRP, на одно расширение .exe приходятся вот такие правила:

Spoiler

 Clipboard01.png   27,55К   17 Скачано раз

Да, надо еще не забыть разрешить в превентивке Веба модификацию SRP.

И почему-то магический %Temp% не срабатывает, приходится закрывать двумя: %SystemRoot%\Temp и %LocalAppData%\Temp (для хрюши и 2003 будет %AppData%\Temp).

Сообщение было изменено IlyaS: 27 Март 2015 - 11:31

[username500]

В %appdata%\*.exe могут быть тонны полезного софта.

"Быдлокодеры" которого не освоили UAC в win6.0 и выше

ЕМНИП всякие яндекс-браузеры, амиги, мру-агенты и т.д.

[IlyaS]

%AppData%\Temp для ХР-2003 неправильный, нужен %SystemDrive%\Documents and Settings\*\Local Settings\Temp.
Навскидку с автообновлением лиса есть проблема, которое самораспаковывается в 7z*. Но эту проблему легко обойти запуском

Firefox Setup 31.5.3esr.exe -ms

Для поимок остального можно включить ведение журнала Safer:

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers /v LogFileName /d "C:\Safer.log" /f

запускать logparser

logparser -i:EVT -o:csv "select top 10 timegenerated, strings from application where eventid=866 order by timegenerated desc"

или назначить реакцию на события.

[santy]

можно запретить запуск исполняемых файлов (js, exe, vbs, cmd, scr, com, pif) из архивов:

для XP

%userprofile%\Local Settings\Temp\Rar*\*.exe
%userprofile%\Local Settings\Temp\_tc\*.exe

для Win7

%userprofile%\AppData\Local\Temp\Rar*\*.exe
%userprofile%\AppData\Local\Temp\_tc\*.exe

Сообщение было изменено santy: 27 Март 2015 - 12:28

[username500]

Недостаточно!

У 7zip и почтовых клиентов другие врем. папки для таких распаковок.

D:\W2K3\Temp\bat\

[IlyaS]

Расширения:
.bat
.cmd
.com
.exe
.js
.lnk
.pif
.scr
.vbs
.wsf
Что интересно, WinRar .bat, .cmd, .com, .lnk, .scr открывает в своем просмотрщике, .pif блокирует (Potentially dangerous content has been blocked), остальные запускает.

[santy]

да, надо добавить еще правило и для 7z

27.03.2015 15:37:37    C:\Documents and Settings\userprofile\Local Settings\Temp\7zO0405EA54\tdsskiller.exe    Изменить параметры запуска    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\08102813\Start    разрешено    Автоматический режим  

 

 

%userprofile%\Local Settings\Temp\7z*\*.exe

и

%userprofile%\AppData\Local\Temp\7z*\*.exe
 

[username500]

да, надо добавить еще правило и для 7z

Всех не перестреляешь

Кто-то пользуется почтовыми клиентами мозиллы, аутлуком (winmail-ом), thebat-ом и даже оперой12 (по инерции).

[IlyaS]

да, надо добавить еще правило и для 7z
%userprofile%\Local Settings\Temp\7z*\*.exe
и
%userprofile%\AppData\Local\Temp\7z*\*.exe

это одно и тоже - ловится одним %userprofile%\AppData\Local\Temp\7z*\*.exe:

Spoiler

C:\Users\admin\AppData\Local\Temp\Rar$DIa0.159\1.vbs|{6908C3A1-9FC4-4E9E-9B05-6A81B4489D8C}|C:\Users\admin\AppData\Local\Temp\Rar*\*.vbs
C:\Users\admin\Local Settings\Temp\Rar$DIa0.159\1.vbs|{6908C3A1-9FC4-4E9E-9B05-6A81B4489D8C}|C:\Users\admin\AppData\Local\Temp\Rar*\*.vbs

Сообщение было изменено IlyaS: 27 Март 2015 - 12:49

[santy]

 

да, надо добавить еще правило и для 7z

Всех не перестреляешь

Кто-то пользуется почтовыми клиентами мозиллы, аутлуком (winmail-ом), thebat-ом и даже оперой12 (по инерции).

 

а в них другой будет пусть если будет запускаться исполняемый из архива?

я проверил на TC, thunderbird и в проводнике. для thunderbird и проводника пусть распаковки файла из архива одинаков.

можно проверить еще из браузера какой будет путь распаковки.

[mrbelyash]

Есть такая фигня..переменная окружения.

[IlyaS]

да, надо добавить еще правило и для 7z

Всех не перестреляешь
Кто-то пользуется почтовыми клиентами мозиллы, аутлуком (winmail-ом), thebat-ом и даже оперой12 (по инерции).

Обычно, от почтового клиента не зависит имя папки в которую архиватор распаковывает файл, если только временная папка не будет задана параметром вызова архиватора. Для FAR и Total Commander временные папки другие, согласен.
Инструмент SRP/Applocker в винде есть на Professional, а применять его, или нет, пусть каждый решает сам.
Для хоумов тема давно поднималась.

[username500]

Есть такая фигня..переменная окружения.

Ага, %temp%, откуда любят работать разные хорошие инсталляторы и программы.

[santy]

это одно и тоже - ловится одним %userprofile%\AppData\Local\Temp\7z*\*.exe:

не совсем.

1 правило для XP, второе для Win7

[mrbelyash]

 

Есть такая фигня..переменная окружения.

Ага, %temp%, откуда любят работать разные хорошие инсталляторы и программы.

 

Имея гибкий превент можно налепить правило..из темпа обращение по маске(например к жипегам).

Но это к КУ

[santy]

если по ссылке файла архива (rar,7z,zip) будет открыт из браузера, все равно вначале архив будет открыт архиватором, а затем уже при запуске файл распакуется или в ..temp\7z*\ или в ..temp\Rar*\

[IlyaS]

это одно и тоже - ловится одним %userprofile%\AppData\Local\Temp\7z*\*.exe:

не совсем.
1 правило для XP, второе для Win7

теперь дошло, спасибо.

[mrbelyash]

Недостаточно!

У 7zip и почтовых клиентов другие врем. папки для таких распаковок.

D:\W2K3\Temp\bat\

С чего бы это в системный темп?

[IlyaS]

Если файл в архиве внутри папки, путь Temp\Rar*\*.exe не подходит. WinRAR сохранет вложенность при распаковке, причем только для .exe. Проводник при распаковке одного файла всегда сохраняет вложенность папок внутри архива - снова пути не годятся.

7z FM - распаковывает вложенные файлы прямо в Temp\7z*\ - пути годятся

FAR - аналогично

Total Commander - сохраняет вложенность - пути не годятся.

По ходу, приплыли...

[IlyaS]

Выплыли! По аналогии для %userprofile%\AppData\LocalLow\Temp придется избавиться от расширений, и оставить только папки:

%LocalAppData%\Temp\*.zip\
%LocalAppData%\Temp\7z*\
%LocalAppData%\Temp\Rar*\
%LocalAppData%\Temp\wz*\
%LocalAppData%\Temp\_tc\