|
Zaštita Virusi, anti-virus programi, firewall... |
|
Alatke vezane za temu | Vrste prikaza |
9.9.2008, 23:46 | #1 | |||||||||||
Starosedelac
Član od: 17.8.2006.
Poruke: 2.932
Zahvalnice: 267
Zahvaljeno 455 puta na 384 poruka
|
Varijacija na temu: Trojan Agent
Sve je pocelo pre tri dana mojim navaljivanjem da Eset Smart 3.0.669 sa poslednjim definicijama, omoguci pokretanje izvesnog patcha (NoPE.exe, velicine 1708429 bajta) koga je uporno prijavljivao kao "probably a variant of Win32/Agent trojan".
"Ma nema pojma Nod", pomislih ja i privremeno iskljucih zastitu te pokrenuh prog. Naravno, apsolutno nista se nije desilo pa izbrisah doticni fajl, ukljucih zastitu i konektovah se na net da trazim "other solution". Tada pocinje zezanje: Esetov HTTP filter blokira vezu sa sajtom Kod:
http://funtarget.com/td1.exe Nakon ovoga HTTP filter opet javlja upad i to sa Kod:
http://www.matelab.com/newsys.exe "Nista strasno ni novo", opet pogresih u proceni: iskljucih System Restore, podesih Esetov firewall na interactive mode, pobrisah sve predefinisane polise i pokrenuh mali command based downloader Url2file kako bih zaobisao browser i skinuo poslednje dopune za Malwarebyte i Spybot... Ovaj prvi nalazi i uspesno cisti: Citat:
Citat:
Citat:
Citat:
Potom resetujem masinu ali TaskManager je i dalje "disabled by administrator" a onda hladan tus! MB na ponovnom skeniranju javlja i cisti: Citat:
Citat:
Citat:
"Nesposobna zastita", ovaj put pomislih na glas! Batalih posao sa kilavim softverom i pokrenuh "sitni ali dinamitni" File & Folder Unlocker. A tada, prosvetljenje: medju ucitanim procesima je nasao izvesni, meni nepoznat Citat:
Citat:
Citat:
Znam da sam smorio ali ubrzo cu da "sredim" ovu napast. Opet pokrenuh "kilavu zastitu" i ovaj put se jedino pojavljuje "Hijack.Desktop". Nakon malo "njuskanja", u Spybotu pod Tools\BHO's naidjem na Citat:
Posle ovoga, sve je ponovo u normali: Task Manager radi, wallpaper na starom a od napasti ni traga ni glasa. Dakle, kao sto je Nod na pocetku i javio (a glitch ga nije slusao) u pitanju je varijacija na temu Trojan.Downloadera, verovatno novija kako ga nista od zastite nije (uspesno) cistilo. I jedna napomena: procesi koje sam "ubijao" su stoposto random name tako da se ne treba oslanjati na ova imena. Znaci, ako nikada nisu postojali medju procesima ucitanim u memoriju a sada su tu, to je najbolje mesto za pocetak. Pa ne zatrebalo... |
|||||||||||
Sledeći korisnik se zahvaljuje korisniku glitch na korisnoj poruci: | ||
toxic (10.9.2008) |
10.9.2008, 3:43 | #2 |
Veteran
Član od: 1.7.2007.
Lokacija: Lost*in*space...And*time!
Poruke: 1.051
Zahvalnice: 403
Zahvaljeno 286 puta na 170 poruka
|
Re: Varijacija na temu: Trojan Agent
Cim mi kaspersky blokira pokretanje nekog exe. fajla to je siguran znak da se radi o nekom opasnom trojancu!Zeznuo sam se isto kao ti dva puta,iskljucio privremeno kis i pokrenuo exe fajl i onda sve isto kao i kod tebe,samo sto je moje upozorenje o zarazi jos flesovalo preko celog ekrana sa sve nekim simbolom koji podseca na tetovazu,lol.Ah ti torenti!A mislim da je spybot los za ovakve napasti,secam se da sam skenirao sa njim i da je pronasao ali nije nikako mogao da ukloni zarazene fajlove,zato malwarebytes sve cisti iz prve,stvarno je ekstra cistac gamadi!
|
10.9.2008, 11:12 | #3 |
Član
Član od: 17.2.2008.
Poruke: 43
Zahvalnice: 0
Zahvaljeno 16 puta na 7 poruka
|
Re: Varijacija na temu: Trojan Agent
Tako ti je to kada radiš ono što ne bi trebalo da radiš. Treba ti samo sekunda da nešto pokvariš, a kasnije nekoliko sati da to popraviš.
|
10.9.2008, 17:39 | #4 | ||
Starosedelac
Član od: 17.8.2006.
Poruke: 2.932
Zahvalnice: 267
Zahvaljeno 455 puta na 384 poruka
|
Re: Varijacija na temu: Trojan Agent
Citat:
Citat:
|
||
10.9.2008, 17:52 | #5 | |
Starosedelac
Član od: 17.8.2006.
Poruke: 2.932
Zahvalnice: 267
Zahvaljeno 455 puta na 384 poruka
|
Re: Varijacija na temu: Trojan Agent
Jos jedna stvar koju su moderni koderi po ddl sajtovima poceli da praktikuju je pravljenje self-extracting arhiva cija je ikona potpuno identicna softveru koji cкачать, cak je i ime isto. Medjutim, prilikom pokretanja takve arhive, izvrsava se legitimna instalacija ali i silent instalacija trojanca. Imena koja se koriste su "file.exe", "xxxxxx~1.exe" i slicni (mada ni ovo nije od neke pomoci). Manifestacije zaraze su raznovrsne: od explorer i winlogon hukova (downloader, virtumonde) do procesa cije je ime identicno postojecim. Jos ako su ti procesi "critical system" (a glupi Task Manager ne vodi racuna da li to zaista jesu legitimni ili samo koriste njihova imena), eto problema. Da stvar bude gora, zastita uopste ne dize uzbunu kod nekih od njih (ista kombinacija: ESS, Malwarebyte's i Spybot su dopustili pravljenje
Citat:
Jos jedan proces u Task Manager-u mi je privukao paznju: u pitanju je Services.exe. Nisam ga zapazio zato sto je bio dupli vec je pocinjao velikim slovom (onaj pravi je sa malim, pocetnim slovom "s" ). Medjutim, nije ga bilo moguce ubiti sa "End prosess", kako mu je menadzer dao atribut "critical system". Opet koristim Ffunlocker i stvar je resena (lazni Services.exe je bio smesten u Program Files sa jos jednom .ocx bibliotekom. Potrebno ih je izbrisati oboje). Nakon ovoga treba isprazniti Local Settings\Temp i to je sve za zarazu sa slicnim simptomima. Napomena: ESET-ov firewall je prijavio da Services.exe slusa na jednom portu (nisam zapisao broj porta ) ali samo dok je masina offline. Kada se racunar poveze na net, ovaj proces osobadja port ali ga preuzima svchost.exe (koji po defaultu osluskuje na sistemskom, broj 135). Ovde mogu da se opkladim da je u pitanju "Background Intelligent Transfer Service", MS-ova izmisljotina koja sluzi jedino za masovan, silent, low priority download (virusa). Kao i uvek, bolje je spreciti nego leciti pa tako nakon dl-a softvera sa "sumnjivih" lokacija na netu (tu spada i Rapidshare. Ustvari, kada malo bolje razmislim, pre svih Rapidshare. ) najbolje je udariti desni klik na sumnjivu instalaciju, patch ili sta vec i otvoriti je sa nekim arhiverom (WinRAR will do). Ako unutar nje postoje dva programa a jedan od njih je velicine oko 20 kB sa nekakvim random name imenom, taj fajl treba zaobici. Ako arhiver ne moze da otvori instalaciju, postoji mogucnost da je sve u redu ali ipak treba povesti racuna da li postoje sunmjivi procesi, da li Temp katalog moze u potpunosti da se isprazni i da li firewall prijavljuje sumnjive konekcije. |
|
Bookmarks sajtovi |
|
|
Slične teme | ||||
tema | temu započeo | forum | Odgovora | Poslednja poruka |
3D galerija (finalni radovi, komentari) | 3dM@niak | 3D radovi | 1523 | 24.7.2020 22:29 |
[AAR] Vampire the Masquerade: Bloodlines | Maladikt | Role-Play | 113 | 20.3.2010 2:08 |
Skaliranje slike sa kompa na LCD TV | mickey | Grafika | 1 | 13.7.2008 21:46 |
Flash igre | jonathan | Male igre | 26 | 2.7.2008 17:20 |
Konzole vs. PC (sta vam vise odgovara) | Ocelot | Konzole | 497 | 17.4.2008 12:02 |