Forum Sveta kompjutera

Nazad   Forum Sveta kompjutera > Test Run > Zaštita

Zaštita Virusi, anti-virus programi, firewall...

Odgovor
 
Alatke vezane za temu Vrste prikaza
Stara 9.9.2008, 23:46   #1
glitch
Starosedelac
 
Član od: 17.8.2006.
Poruke: 2.932
Zahvalnice: 267
Zahvaljeno 455 puta na 384 poruka
Određen forumom Varijacija na temu: Trojan Agent

Sve je pocelo pre tri dana mojim navaljivanjem da Eset Smart 3.0.669 sa poslednjim definicijama, omoguci pokretanje izvesnog patcha (NoPE.exe, velicine 1708429 bajta) koga je uporno prijavljivao kao "probably a variant of Win32/Agent trojan".
"Ma nema pojma Nod", pomislih ja i privremeno iskljucih zastitu te pokrenuh prog. Naravno, apsolutno nista se nije desilo pa izbrisah doticni fajl, ukljucih zastitu i konektovah se na net da trazim "other solution".
Tada pocinje zezanje: Esetov HTTP filter blokira vezu sa sajtom
Kod:
http://funtarget.com/td1.exe
i prijavljuje td1.exe kao "Win32/Agent.TVY trojan" koga je pokusao da dl-uje Local Settings\Temp\dkf.exe. Zatim je obrisan i iz kesa (Local Settings\Temporary Internet Files\Content.IE5\JZPG60YG\td1[1].exe).
Nakon ovoga HTTP filter opet javlja upad i to sa
Kod:
http://www.matelab.com/newsys.exe
kao i da su u pitanju "multiple threats" a potom brise Application Data\Microsoft\dtsc\t.exe (mozete misliti opet, Win32/Agent.TVY trojan ).
"Nista strasno ni novo", opet pogresih u proceni: iskljucih System Restore, podesih Esetov firewall na interactive mode, pobrisah sve predefinisane polise i pokrenuh mali command based downloader Url2file kako bih zaobisao browser i skinuo poslednje dopune za Malwarebyte i Spybot...
Ovaj prvi nalazi i uspesno cisti:
Citat:
Memory Processes Infected:
C:\Documents and Settings\user\Application Data\Microsoft\dtsc\31420.exe (Trojan.Agent)
Citat:
Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager)
Citat:
Folders Infected:
C:\Documents and Settings\user\Application Data\Microsoft\dtsc (Trojan.Agent)
Citat:
Files Infected:
C:\Documents and Settings\user\Application Data\Microsoft\dtsc\31420.exe (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\user\Application Data\Microsoft\dtsc\s (Trojan.Agent)
Spybot (zasada) ne nalazi nista...

Potom resetujem masinu ali TaskManager je i dalje "disabled by administrator" a onda hladan tus!



MB na ponovnom skeniranju javlja i cisti:
Citat:
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\General\wallpaper (Hijack.Desktop)
Citat:
Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager)
Citat:
Files Infected:
C:\WINDOWS\default.htm (Trojan.Agent)
Nakon ponovnog restarta desktop ostaje nepromenjen, MB opet javlja i cisti isto a slicna je i situacija sa Spybotom (samo sto je u pitanju Smitfraud.c a ne Trojan.Downloader).
"Nesposobna zastita", ovaj put pomislih na glas!
Batalih posao sa kilavim softverom i pokrenuh "sitni ali dinamitni" File & Folder Unlocker.
A tada, prosvetljenje: medju ucitanim procesima je nasao izvesni, meni nepoznat
Citat:
System32\uesinqcr.exe
zakacen za Explorer. Ffunlock je uspesno otkljucao fajl koji sam rucno obrisao. Zatim sam nasao i obrisao referencu ka njemu u registry bazi sa imenom
Citat:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
Ta referenca zapravo ima dve vrednosti (odvojene zapetom):
Citat:
C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\uesinqcr.exe,
dakle, obrisao sam samo ovaj drugi deo.
Znam da sam smorio ali ubrzo cu da "sredim" ovu napast.

Opet pokrenuh "kilavu zastitu" i ovaj put se jedino pojavljuje "Hijack.Desktop". Nakon malo "njuskanja", u Spybotu pod Tools\BHO's naidjem na
Citat:
System32\getsn32.dll (IE BHO)
Fajl je takodje zakacen za Explorer ali ga ffunlocker otkljucava i uspesno ga brisem.
Posle ovoga, sve je ponovo u normali: Task Manager radi, wallpaper na starom a od napasti ni traga ni glasa.
Dakle, kao sto je Nod na pocetku i javio (a glitch ga nije slusao) u pitanju je varijacija na temu Trojan.Downloadera, verovatno novija kako ga nista od zastite nije (uspesno) cistilo.

I jedna napomena: procesi koje sam "ubijao" su stoposto random name tako da se ne treba oslanjati na ova imena. Znaci, ako nikada nisu postojali medju procesima ucitanim u memoriju a sada su tu, to je najbolje mesto za pocetak.

Pa ne zatrebalo...
glitch je offline   Odgovor sa citatom ove poruke
Sledeći korisnik se zahvaljuje korisniku glitch na korisnoj poruci:
toxic (10.9.2008)
Stara 10.9.2008, 3:43   #2
Kisr
Veteran
 
Član od: 1.7.2007.
Lokacija: Lost*in*space...And*time!
Poruke: 1.051
Zahvalnice: 403
Zahvaljeno 286 puta na 170 poruka
Određen forumom Re: Varijacija na temu: Trojan Agent

Cim mi kaspersky blokira pokretanje nekog exe. fajla to je siguran znak da se radi o nekom opasnom trojancu!Zeznuo sam se isto kao ti dva puta,iskljucio privremeno kis i pokrenuo exe fajl i onda sve isto kao i kod tebe,samo sto je moje upozorenje o zarazi jos flesovalo preko celog ekrana sa sve nekim simbolom koji podseca na tetovazu,lol.Ah ti torenti!A mislim da je spybot los za ovakve napasti,secam se da sam skenirao sa njim i da je pronasao ali nije nikako mogao da ukloni zarazene fajlove,zato malwarebytes sve cisti iz prve,stvarno je ekstra cistac gamadi!
Kisr je offline   Odgovor sa citatom ove poruke
Stara 10.9.2008, 11:12   #3
RidiK
Član
 
Član od: 17.2.2008.
Poruke: 43
Zahvalnice: 0
Zahvaljeno 16 puta na 7 poruka
Određen forumom Re: Varijacija na temu: Trojan Agent

Tako ti je to kada radiš ono što ne bi trebalo da radiš. Treba ti samo sekunda da nešto pokvariš, a kasnije nekoliko sati da to popraviš.
RidiK je offline   Odgovor sa citatom ove poruke
Stara 10.9.2008, 17:39   #4
glitch
Starosedelac
 
Član od: 17.8.2006.
Poruke: 2.932
Zahvalnice: 267
Zahvaljeno 455 puta na 384 poruka
Određen forumom Re: Varijacija na temu: Trojan Agent

Citat:
Kisr kaže: Pregled poruke
Ah ti torenti!A mislim da je spybot los za ovakve napasti,secam se da sam skenirao sa njim i da je pronasao ali nije nikako mogao da ukloni zarazene fajlove,zato malwarebytes sve cisti iz prve,stvarno je ekstra cistac gamadi!
Nisu torenti u pitanju... Medjutim, slazem se da Spybot nije u stanju da "sredi" ovu napast (kao sto to nije bio u stanju ni Malwarebytes a ni NOD). Jedini razlog zbog koga drzim Spybot je velika baza poznatih spyware-a (cini mi se da ih nalazi preko milion a dovoljno je da mi samo ponisani na sumnjivo mesto ) i izlistavanje ActiveX i BHO komponenti.
Citat:
Kisr kaže: Pregled poruke
Cim mi kaspersky blokira pokretanje nekog exe. fajla to je siguran znak da se radi o nekom opasnom trojancu!
Citat:
RidiK kaže: Pregled poruke
Tako ti je to kada radiš ono što ne bi trebalo da radiš.
Stvar je u tome sto je doticna napast nova pa je NOD pokrenuo alarm iz heuristics modula tj. "ovo mu lici na nesto sto vec postoji" (pa moze da bude lazna uzbuna a i ne mora. U ovom slucaju nije bila ).
glitch je offline   Odgovor sa citatom ove poruke
Stara 10.9.2008, 17:52   #5
glitch
Starosedelac
 
Član od: 17.8.2006.
Poruke: 2.932
Zahvalnice: 267
Zahvaljeno 455 puta na 384 poruka
Određen forumom Re: Varijacija na temu: Trojan Agent

Jos jedna stvar koju su moderni koderi po ddl sajtovima poceli da praktikuju je pravljenje self-extracting arhiva cija je ikona potpuno identicna softveru koji cкачать, cak je i ime isto. Medjutim, prilikom pokretanja takve arhive, izvrsava se legitimna instalacija ali i silent instalacija trojanca. Imena koja se koriste su "file.exe", "xxxxxx~1.exe" i slicni (mada ni ovo nije od neke pomoci). Manifestacije zaraze su raznovrsne: od explorer i winlogon hukova (downloader, virtumonde) do procesa cije je ime identicno postojecim. Jos ako su ti procesi "critical system" (a glupi Task Manager ne vodi racuna da li to zaista jesu legitimni ili samo koriste njihova imena), eto problema. Da stvar bude gora, zastita uopste ne dize uzbunu kod nekih od njih (ista kombinacija: ESS, Malwarebyte's i Spybot su dopustili pravljenje
Citat:
System32\svchoost.exe
System32\svchooost.exe i
System32\svch0st.exe
explorer hukova koji sigurno nisu bili u pacifistickoj misiji.
Jos jedan proces u Task Manager-u mi je privukao paznju: u pitanju je Services.exe. Nisam ga zapazio zato sto je bio dupli vec je pocinjao velikim slovom (onaj pravi je sa malim, pocetnim slovom "s" ). Medjutim, nije ga bilo moguce ubiti sa "End prosess", kako mu je menadzer dao atribut "critical system". Opet koristim Ffunlocker i stvar je resena (lazni Services.exe je bio smesten u Program Files sa jos jednom .ocx bibliotekom. Potrebno ih je izbrisati oboje). Nakon ovoga treba isprazniti Local Settings\Temp i to je sve za zarazu sa slicnim simptomima.
Napomena: ESET-ov firewall je prijavio da Services.exe slusa na jednom portu (nisam zapisao broj porta ) ali samo dok je masina offline. Kada se racunar poveze na net, ovaj proces osobadja port ali ga preuzima svchost.exe (koji po defaultu osluskuje na sistemskom, broj 135). Ovde mogu da se opkladim da je u pitanju "Background Intelligent Transfer Service", MS-ova izmisljotina koja sluzi jedino za masovan, silent, low priority download (virusa).
Kao i uvek, bolje je spreciti nego leciti pa tako nakon dl-a softvera sa "sumnjivih" lokacija na netu (tu spada i Rapidshare. Ustvari, kada malo bolje razmislim, pre svih Rapidshare. ) najbolje je udariti desni klik na sumnjivu instalaciju, patch ili sta vec i otvoriti je sa nekim arhiverom (WinRAR will do). Ako unutar nje postoje dva programa a jedan od njih je velicine oko 20 kB sa nekakvim random name imenom, taj fajl treba zaobici. Ako arhiver ne moze da otvori instalaciju, postoji mogucnost da je sve u redu ali ipak treba povesti racuna da li postoje sunmjivi procesi, da li Temp katalog moze u potpunosti da se isprazni i da li firewall prijavljuje sumnjive konekcije.
glitch je offline   Odgovor sa citatom ove poruke
Odgovor

Bookmarks sajtovi

Alatke vezane za temu
Vrste prikaza

Vaš status
Ne možete postavljati teme
Ne možete odgovarati na poruke
Ne možete slati priloge uz poruke
Ne možete prepravljati svoje poruke

BB kod: uključeno
Smajliji: uključeno
[IMG] kod: uključeno
HTML kod: isključeno


Slične teme
tema temu započeo forum Odgovora Poslednja poruka
3D galerija (finalni radovi, komentari) 3dM@niak 3D radovi 1523 24.7.2020 22:29
[AAR] Vampire the Masquerade: Bloodlines Maladikt Role-Play 113 20.3.2010 2:08
Skaliranje slike sa kompa na LCD TV mickey Grafika 1 13.7.2008 21:46
Flash igre jonathan Male igre 26 2.7.2008 17:20
Konzole vs. PC (sta vam vise odgovara) Ocelot Konzole 497 17.4.2008 12:02


Sva vremena su po Griniču +2 h. Sada je 12:33.


Powered by vBulletin® verzija 3.8.7
Copyright ©2000–2023, vBulletin Solutions, Inc.
Hosted by Beograd.com