Udostępnij za pośrednictwem

Przed czym broni UAC

  • Artykuł

Wyobraz sobie program wykonujacy nastepujace dzialania:

  1. Przeszukuje dysk w poszukiwaniu plików *.exe
  2. Kazdy znaleziony plik sprawdza czy nie jest programem instalacyjnym. Sprawdzenie takie moze robic tak samo jak robi to Windows Vista. Sprawdza czy nazwa nie sugeruje programu instalacyjnego (install, setup, update itp.), sprawdza manifest, sprawdza resource strings
  3. Jezeli znaleziona aplikacja jest programem instalacyjnym, modyfikuje ja w nastepujacy sposób:
  1. Kopiuje swój wlasny kod i sam zmienia w nim wszystko na takie jak ma znaleziona instalka. Ikonke, nazwe, manifest, resource strings.
  2. Dokleja do utworzonego pliku exe znaleziona instalke.
  3. Zastepuje oryginalna istalke nowa zainfekowana jej wersja.

Jezeli po uruchomieniu wykryje, ze ma do siebie doklejona jakas aplikacje - kopiuje ja do %temp% i uruchamia.

Wykonuje inne operacje zaplanowane przez programiste. 

Dla przyzwoitosci taki programik moze uzyc "mutex" do sprawdzenia czy jakis jego blizniak juz nie pracuje i oznaczac zmodyfikowane instalki, zeby ich nie modyfikowac wiecej niz raz.

Efekt? Program taki jest wirusem o zlozonosci i wyrafinowaniu na poziomie pierwszych klas podstawówki.

I wszystko byloby super, gdyby nie jedno "ale". W Windows Vista dziala UAC. A UAC sprawia, ze programy instalacyjne zadaja podniesienia uprawnien.

W efekcie, robak taki dosc sprawnie przemieszcza sie po systemie, a jezeli uzytkownik lubi dzielic sie swoimi instalkami - przemieszcza sie równiez miedzy znajomymi.
Reczne usuniecie takiego zlosliwego kodu nie jest trywialne. To nie jest znany z wiekszosci windowsowych wirusów samodzielny proces, tylko faktycznie infekowane pliki. A operacja z punktu 5. wykonuje sie z pelnymi uprawnieniami administratora...

Uzytkownik po uruchomieniu programu instalacyjnego zobaczy program instalacyjny. A co poza tym sie stanie wie tylko twórca takiego robaka.

Przykladowo, w czasie MSS 2007 pokazywalem jak taki robak praktycznie anuluje zabezpieczenia BitLocker, w taki sposób, ze uzytkownik przekonany jest caly czas o skutecznej ochronie.

Czy to dziura w systemie lub jego zabezpieczeniach? NIE! Jezeli robak taki dziala w systemie, to swiadczy to wylacznie o dziurze w glowie uzytkownika.
Bo kazdy program instalacyjny zmusi Windows Vista do zapytania czy uzytkownik wie co robi, czy program wzial z zaufanego zródla i czy wie co moze sie stac jezeli nie. Czesto pytan jest kilka nim Windows Vista zechce uruchomic taka aplikacje.

A uzytkownicy?

Ci glupsi klikaja Yes, Allow, I'm sure narzekajac jaka ta Vista jest nieprzyjazna.
Ci "sprytniejsi" - przelaczaja UAC na automatyczne akceptowanie wszystkiego i ciesza sie, ze poskromili system.

A tymczasem Windows Vista naprawde próbuje dac uzytkownikowi szanse.

Dlatego widzac UACowe sciemnienie ekranu, zamiast szybkiego Alt+C moze lepiej przez sekunde zastanowic sie, czy naprawde tak ufam temu programowi, ze chce mu na chwile oddac PELNA wladze nad moim komputerem.

Autor: Grzegorz Tworek

PS. Z wlasnego doswiadczenia wiem, ze napisanie takiego programiku naprawde marnemu programiscie zajmuje kilka godzin. Wiec warto nad tym, o co Windows Vista pyta na ekranie, zaczac myslec juz teraz.

Comments

  • Anonymous
    July 29, 2007
    The comment has been removed

  • Anonymous
    July 31, 2007
    jestem tym nieuświadomionym użytkownikiem i zgadzam sie w całości z moim przedmówcą, mam zamiar wyłączyć ten UAC, tylko nie wiem jakie będzie miało to dodatkowe konsekwencje w funkcjonowaniu systemu (stabilności itp.) cytują "...z drugiej znieczula poprzez ilosc. nie tedy droga." Jako użytkownik NIE TĘDY DROGA !!!

  • Anonymous
    August 02, 2007
    Taaa, tylko skąd ten bidny użytkownik ma wiedzieć, że plik jest zainfekowany?

  • Anonymous
    September 30, 2008
    I jeszcze się w grafice komputerowej zatrudnię:)