Jos jedna stvar koju su moderni koderi po ddl sajtovima poceli da praktikuju je pravljenje self-extracting arhiva cija je ikona potpuno identicna softveru koji cкачать, cak je i ime isto. Medjutim, prilikom pokretanja takve arhive, izvrsava se legitimna instalacija ali i silent instalacija trojanca. Imena koja se koriste su "file.exe", "xxxxxx~1.exe" i slicni (mada ni ovo nije od neke pomoci). Manifestacije zaraze su raznovrsne: od explorer i winlogon hukova (downloader, virtumonde) do procesa cije je ime identicno postojecim. Jos ako su ti procesi "critical system" (a glupi Task Manager ne vodi racuna da li to zaista jesu legitimni ili samo koriste njihova imena), eto problema. Da stvar bude gora, zastita uopste ne dize uzbunu kod nekih od njih (ista kombinacija: ESS, Malwarebyte's i Spybot su dopustili pravljenje
Citat:
System32\svchoost.exe
System32\svchooost.exe i
System32\svch0st.exe
|
explorer hukova koji sigurno nisu bili u pacifistickoj misiji.
Jos jedan proces u Task Manager-u mi je privukao paznju: u pitanju je Services.exe. Nisam ga zapazio zato sto je bio dupli vec je pocinjao velikim slovom (onaj pravi je sa malim, pocetnim slovom "s"
). Medjutim, nije ga bilo moguce ubiti sa "End prosess", kako mu je menadzer dao atribut "critical system". Opet koristim Ffunlocker i stvar je resena (lazni Services.exe je bio smesten u Program Files sa jos jednom .ocx bibliotekom. Potrebno ih je izbrisati oboje). Nakon ovoga treba isprazniti Local Settings\Temp i to je sve za zarazu sa slicnim simptomima.
Napomena: ESET-ov firewall je prijavio da Services.exe slusa na jednom portu (nisam zapisao broj porta
) ali samo dok je masina offline. Kada se racunar poveze na net, ovaj proces osobadja port ali ga preuzima svchost.exe (koji po defaultu osluskuje na sistemskom, broj 135). Ovde mogu da se opkladim da je u pitanju "Background Intelligent Transfer Service", MS-ova izmisljotina koja sluzi jedino za masovan, silent, low priority download (virusa).
Kao i uvek, bolje je spreciti nego leciti pa tako nakon dl-a softvera sa "sumnjivih" lokacija na netu (tu spada i Rapidshare. Ustvari, kada malo bolje razmislim, pre svih Rapidshare.
) najbolje je udariti desni klik na sumnjivu instalaciju, patch ili sta vec i otvoriti je sa nekim arhiverom (WinRAR will do). Ako unutar nje postoje dva programa a jedan od njih je velicine oko 20 kB sa nekakvim random name imenom, taj fajl treba zaobici. Ako arhiver ne moze da otvori instalaciju, postoji mogucnost da je sve u redu ali ipak treba povesti racuna da li postoje sunmjivi procesi, da li Temp katalog moze u potpunosti da se isprazni i da li firewall prijavljuje sumnjive konekcije.