翻译：UAC对于恶意软件有良好的防御效果

一晴空

用户账户控制可能是大多数用户能遇到的windows Vista的一个新特性，这个功能在系统发布后得到广泛的重视。UAC限制了用户的权限，管理员只能使用作为管理员的权限
这是重要的,需要提升只允许软件运行的(包括潜在危险的程序)的权限。随着时间的推移，UAC弹窗已大大减少，尤其是在windows 7发布后。但是它仍清楚恶意软件作者很讨厌UAC
UAC被介绍时，恶意软件作者非常清楚要做的事--绕过它，这是与windows XP相比最大的改变，在恶意软件论坛的建议是普遍的。不是使用管理员身份轻易直接运行恶意软件，而只是使用user账户权限运行
不幸的，这不是对恶意软件的一个大问题。但是它会让恶意程序在提高管理员权限变得很困难。这就是UAC的目的，大多数恶意软件决定简单地绕过它
作为一个回避UAC的策略，MMPC已经发现越来越多的恶意软件打开一个新的战线和关闭UAC自身，恶意软件做这件事来防止用户看见UAC提示在每次重启为了他们的载荷。Sality 病毒家族，Alureon rootkits，流氓反病毒比如FakePAV,Autorun蠕虫，Bancos金融木马都会关闭UAC
一些软件，比如MSE,windows Intune，FEP现在会使用行为监控来寻找那些更改UAC设置的软件，MMPC也会经常发现新的会关闭UAC的病毒
最关键的因素是:把UAC成功关闭的恶意软件必须提升自身权限至管理员，这需要一个连接管理员的服务的漏洞，UAC已经被关闭，或者一个用户点击“OK”在UAC弹窗允许恶意软件提升
以下图表是单天关闭UAC的恶意软件排名，我们能看见2种技术
威胁                             禁用UAC占的比例
Worm:Win32/Rorpian.gen!A          95%
Worm:Win32/Rorpian.E!lnk          92%
Worm:Win32/Rorpian.E!inf          92%
Adware:Win32/SideTab              82%
Rogue:Win32/Onescan               68%
大约23%的计算机在1天报告发现UAC被关闭。当一些直接关闭UAC的威胁的病毒被发现时，只有很少一部分人有较低成功率看到UAC被开启
除了总是更新你的软件及运行更新,最好的办法就是将UAC启用。UAC不应视为恶意软件保护,但这是一层安全防护，帮助改善窗户的安全性。如果你一直在被恶意软件攻击,请检查UAC设置在控制面板中看看它是否已经被伪造。这很容易做通过控制面板遵循这些指导: 在把UAC,并提示现在应该罕见。如果一个UAC不建议你进行该操作,你也可以单击“否”,也具有一定的参考价值。
------------------------translated by 一晴空-------------------------------仅供参考------------------------------
原文请见：http://blogs.technet.com/b/mmpc/ ... gainst-malware.aspx
关于该翻译。。。。。。如有不当请补充。。。。。。。。。。
另外此文是昨天发布的，我居然没看到 泪奔了

andoyi

学习了，谢谢LZ

星空下的吻

恶意软件想要关闭UAC真的是太难了

一晴空

星空下的吻 发表于 2011-8-4 11:34
恶意软件想要关闭UAC真的是太难了

好吧。。。。微软真是太强了

驭龙

感谢提供翻译

一晴空

zdshsls 发表于 2011-8-4 11:38
那句行为保护，原文应该是行为监控

OK，我改了一下恩有什么随时PM我改

猪头无双

其实只要不给必要的权限，恶意软件真的很难得手

吴伟宁

我的UAC就没弹过窗...

hj5abc

星空下的吻 发表于 2011-8-4 11:34
恶意软件想要关闭UAC真的是太难了

不过现在国外棘手的也不少啊..

比如这个，UAC也没办法，确实很烦人
http://bbs.kafan.cn/forum.php?mo ... 29&pid=20345955

这个东西很恶心，一旦运行其他程序就会被终止并弹出FakeAlert，就连XueTr也启动不了..

其实我想知道中等强制性的进程能不能访问or写底层磁盘？

驭龙

吴伟宁 发表于 2011-8-4 12:14
我的UAC就没弹过窗...

那是你的UAC是默认级别，而不是最高级别