Jump to content

Par svaigu vīrusu


Svekris
 Share

Recommended Posts

Sveiki!

 

Tas pats generic trojāns, bet tā kā virustotal tikai 7/47 atpazīšanas rate,nodomāju padalīties.

Varbūt kāds paspēs atturēt lietotāju ar līkākiem pirkstiem pirms kāda skāde nodarīta.

 

Pielikumā arī kaitīgais arhīvs.

 


post-93644-0-80973400-1386576032_thumb.png

sudziba.doc.zip

Labots - Svekris
Link to comment
Share on other sites

canis_lupus

Skatos un brīnos! Tas fails pēc atarhivēšanas ir ar *.scr paplašinājumu, laikam, ekrānsaudzētājs domāts. Manā paziņu lokā 80% cilvēku noteikti šo brīnumu atvērs!

Paldies, ka padalījies ar programmatūru, sava veida izplatāmprogrammatūra :D Tur jau tā bēda, kamēs cīnamies ar lietotāju nekompetences sekām. Skolā jau tiek bļauts, ka nedrīkst uz dullo klikot, bet skolēnam aizejot mājās, tiek šī draza rauta vaļā uz velna paraušanu, jo mamma vai tētis palūdza gudro bērnu apskatīties, kas tas ir pa meilu. Darbavietā, manuprāt, ellīgai ugunssienai jābūt, lai blondas dāmas datoru pasargātu no šādas infekcijas.

Link to comment
Share on other sites

Donkeyhot

Aha, redzēju šādu, kolēģis dabūja e-pastā. Tipa skrīnseiveris ar izpildfailu..., novākt vienkārši . Antivīrusi neredz šo. Adrese var būt arī no gov.lv

Link to comment
Share on other sites

Arī darbā uz e-pastu atnāca, tik ar nosaukumu COMPLAINT.DOC.zip

Klāt vēl teksts: Labdien! Informacija par sudzibu nosutita nodoklu dienestam, nosutu Jums kopiju, skatit pielikuma.

Link to comment
Share on other sites

Donkeyhot

Tas draņķis sēž pie users-roaming kaut kur, precīzāk neatceros(caur task manager skatāmies precīzāk, kur sēž). Un neaizmirstam izņemt no start-up šo procesu arā.

Link to comment
Share on other sites

shtolcers

Jep, userim viss piekakāts ar kaut kādām mapēm, katrā pa exe failam. Reģistrā parādījās kā Ucicu

Pirmais indikators, ka kaut kas notiek - sāka nestrādāt laacz'a apostrofs. :D

Bet vispār izskatās, ka vienīgais risinājums ir reinstall.

Link to comment
Share on other sites

shtolcers: Bet vispār izskatās, ka vienīgais risinājums ir reinstall.

 

Par šiem vārdiem vien rokas vajag izraut..! Pagaidām izskatās, ka vecais labais dr web cureit visai veiksmīgi atpazīst un izravē (citus neesmu mēģinājis un nemēģināšu - ar šo pietiek)

Labots - HTC
Link to comment
Share on other sites

shtolcers

Nē, nu protams ir cilvēki, kas cīnās, tīra reģistru, manuāli skanē utt. Bet ir cilvēki, kas saprot, ka tas ir lieks laika tēriņš un uzklonē no jauna. Katram savs.

Link to comment
Share on other sites

canis_lupus

 

 

Pirmais indikators, ka kaut kas notiek - sāka nestrādāt laacz'a apostrofs.

Tādas pašas pazīmes bija arī darbavietā inficētam datoram, pēc vīrusu izvākšanas apostrofs atkal ierindā!

  • Patīk 1
Link to comment
Share on other sites

Ar darbaa vairaakiem atnaaca shaads meils, mosh tad shii ir atbilde uz to, ka apostrofs juudzaas jau pirms paaris meeneshiem nost vairaakiem datoriem un reinstals bija aatraakais variants, lai tiktu ar to galaa....

Link to comment
Share on other sites

Vajag uz Microsoft uzrakstīt kolektīvo vēstuli ar prasību beidzot ieviest normālu failu "izpildāmības atribūtu". Visa tai gudrajai runāšanai par to, cik stulbi ir cilvēki, kuri atvēr nezināmas izcelsmes izpildāmos failus, nav nekādas jēgas, jo tikmēr, kamēr jebkuru programmu var palaist no jebkuras vietas 2x uzklikšķinot, tikmēr vienmēr atradīsies cilvēki, kuri pamēģinās palaist to jebkuru no interneta novilkto failu. Nu vismaz labi, ka Microsoft samērā maigā viedā izdevās pieradināt pie tā, ka lietotājam visu laiku nevajag administratora tiesības, vēl atliek izdomāt kā tik pat maigā viedā izdarīt tā, lai uz desktop saglabāto EXE failu nevar palaist bez papildus lietotāja manipulācijām.

 

P.S. Labi, ka man darba datorus šis un līdzīgi vīrusu neapdraud. Rupjā veidā caur SRP visiem datoriem ar Windows XP nogriezu iespēju palaist kaut kas neatrodas mapēs %Windir% un %ProgramFiles%. Lietotājiem pašiem nav nekādas vajadzības kaut ko instalēt, bet ja tiešām ko vajag, tad nav problēmas pasaukt mani.

Labots - Firza
  • Patīk 1
Link to comment
Share on other sites

 Vienkārši adminam ir "jatsledz" čainikiem iespeju saņemt zip un citus populārako arhivatoru failus...

Link to comment
Share on other sites

Man gan liekas, ka vienkāršāk būtu aizliegt lietotājam darbināt neinstalētas programmas, nekā aizliegt saņemt, atvērt ZIP, RAR, 7z arhīvu. Lai aizliegtu saņemt arhīvus ir jāieviešs ļoti stingra kontrole pār lietotājiem, aizliedzot tiem darba laikā lasīt savu privāto e-pastu, no visādiem tur apollo, inbox, gmail, jo mārruts viņu zina, kā tehniski var aizliegt lietotājam caur webmail novilkt un atvērt dažādus arhīvus. Var jau būt, ka lelā firmā, kurā ir savs e-pasta serversi, savs filtrējošais proxy serveris un pilnas dienas administrators, to tehnniski var izdarīt, bet mazā firmā 5-10 datoriem, neviens ar tādām izvirtībām nenodarbosies.   

Link to comment
Share on other sites

canis_lupus

 

 

P.S. Labi, ka man darba datorus šis un līdzīgi vīrusu neapdraud. Rupjā veidā caur SRP visiem datoriem ar Windows XP nogriezu iespēju palaist kaut kas neatrodas mapēs %Windir% un %ProgramFiles%. Lietotājiem pašiem nav nekādas vajadzības kaut ko instalēt, bet ja tiešām ko vajag, tad nav problēmas pasaukt mani.

 

Labs līdzeklis arī pret flešu un atmiņas karšu automātiskās palaišanās dranķēnu patvaļu.

Link to comment
Share on other sites

labots - pēdējais dr web. laidiens noķer konkrētā vīrusa atvases, bet ne pašu vīrusu, jāgaida nākamais laidiens, kas būs tuvākā laikā.

Link to comment
Share on other sites

Bet vispār.. cik tupam jābūt, lai kaut ko tādu atvērtu? Jebšu cilvēki ver vaļā visu, ko atsūta? Mums darbā listē arī izsūtīja brīdinājumu, lai neverot.. Tā kā visi datori AD domenā, tad lielākā iespēja, ka useris nokaus tikai pats sevi :D

Link to comment
Share on other sites

 

 

ja blondaas daamas apguutu pareizrakstiibu, kaa tam buutu jaabuut, sjitik kljuudainu veestuli uzreiz mestu podaa...

Tu ne labāk raksti.Vai tiešām ir tik grūti rakstīt ar garumzīmēm?Tu valodu izkropļo. 

Link to comment
Share on other sites

nevertell

Gadījumā nav tā, ka arhivējot failu var viņu iedalīt kā palaižamu ? Un atarhivējot tas nesaglabā visas tās pašas "tiesības"? 

 

Šitādu muļķību dēļ gados pieredzējušiem cilvēkiem uz mājas laptopiem un desktopiem ir linux. Izdara visu, ko viņi vēlas, un būtībā tas ir set it and forget it variants.

  • Patīk 1
Link to comment
Share on other sites

 

 

drunk_lizard, on 09 Dec 2013 - 10:55, said: ja blondaas daamas apguutu pareizrakstiibu, kaa tam buutu jaabuut, sjitik kljuudainu veestuli uzreiz mestu podaa... Tu ne labāk raksti.Vai tiešām ir tik grūti rakstīt ar garumzīmēm?Tu valodu izkropļo.

Kas atļauts dranklizārdam, nav atļauts blondām dāmām. :)  

  • Patīk 1
Link to comment
Share on other sites

laikamTak

Beidz te spamot. Blondajām dāmām ofisos būtu labāk jāpārzin valsts valoda, a šinī gadījumā pokemonu valodā un vēl no VID...absurds 

Link to comment
Share on other sites

 

 

Bet vispār.. cik tupam jābūt, lai kaut ko tādu atvērtu?
Lielāko daļu cilvēku neinteresē tehnoloģijas pašas par sevi. Lai lietotu ledusskapi nav jāzina kā tas ir uzbūvēts un kā tas darbojas. Mūsdienu cilvēkiem dators ir tas pats, kas televizors, ledusskapis vai automašīna – lai to lietotu nav jāzina kā tas strādā. Tu zinu, es zinu, mēs zinām, ka pa e-pastu atsūtīts fails ar paplašinājumu EXE, SCR nevar būt nekas labs, bet lielākā daļa datorlietotāju to nezina, un principā tas nav viņu pienākums to zināt.
Ja tehnikā pastāv iespēja, ka lietotājs kaut kādu štekeri var iespraust nepareizi, vai iespraust nepareizajā caurumā, tad tas ir ražotāja pienākums padarīt neiespējamu  nepareizu vadu saslēgšanu. Tam pašam principam vajadzētu būt arī uz datoriem, ja pastāv iespēja, ka lietotājs var izdarīt kaut ko nepareizi (kaķis palēkāja pa klaviatūru), tad būtu labi par to brīdināt lietotāju vai pat neļaut to darīt. Dīvaini sanāk – lai nodzēstu vienu failu no datora, Windows prasa lietotājam apstiprināt šo darbību, bet tai pat laikā tas pat neiepīkstat, ja lietotājas palaiž programmu, kura bez prasīšanas nodzēš (nošifrē) lietotāja failus.

Būtu dīvaini, ja lietojot televizoru lietotājam vajadzētu sekot ziņām internetā, vai tik kāda tv pārraide nesatur vīrusu un to nedrīkst skatīties, vai uz TV pults nedrīkst spiest pogu XYZ, jo tas sabojās televizoru, un pēc tam mēs internetā gudri spriestu: „cik tupam jābūt”, lai nospiestu nepareizo pogu uz pults vai ieslēgtu nepareizo TV kanālu.

  • Patīk 2
Link to comment
Share on other sites

Ja kāds ir saņēmis šito pastkastē, kāds sūtītājs ierakstīts e-pasta headerī? Liekas ofisa ugunsmūris norādīja uz kaut kādu amīšu adreses, bet līdz e-pasta serverim netika lai varētu ievākt paraugus

Link to comment
Share on other sites

Firza, patiesībā, Microsoft Outlook jau laikam kādus gadus 10 vismaz pēc defaulta neļauj .exe/.scr/.dll utml atvērt vai pat saglabāt. Speciāli ir jāieslēdz ar reģistra atslēgu.

 

Bet tas jau ir pofig. Problēma jau ir tur, ka Tu vari sakarināt kādus vien aizliegumus gribi, ja lietotājs gribēs pie tā faila tikt, viņš to izdarīs. Ja nesanāks vienkārši, tad uzgooglēs, kā lai to apiet. Vai arī paši zarazas veidotāji to apies. Jau tagad var pavisam vienkārši ielikt linku, nevis e-pasta pievienojumu. Ko tagad - neļausim browseriem .exe failus downloadot?

 

Diemžēl, gudri profesori ar garām baltām bārdām ir pierādījuši, ka bez pilnvērtīga mākslīgā intelekta nav iespējams atšķirt labvēlīgu programmu no nelabvēlīgas. Tu nevari uzaisīt "superantivīrusu, kuram nav nepieciešamas definīcijas".

 

Ja Tev ir kāds ģeniāls priekšlikums, kā šo problēmu atrisināt saknē, saki! :)

Labots - Vilx-
Link to comment
Share on other sites

Vienkārši, arī neta sniegtās iespējas ir pārāk nekontrolējamas, tur tā sāls.

Labots - Zuxters
Link to comment
Share on other sites

 

 

Microsoft Outlook jau laikam kādus gadus 10 vismaz pēc defaulta neļauj .exe/.scr/.dll utml atvērt vai pat saglabāt.
Vīrusu rakstītāji to arī zina, un labu laiku kā vairs nesūta pa e-pastu izpildāmos failus tiešā veidā. Slinkums, tagad mēģināt, bet ir aizdomas, ka pat, ja izodies e-pasta vēstulei pievienoti izpildāmo failu, adresāts to tik un tā nesaņems – izejot cauri visādiem e-pasta servera filtriem izpildāmais fails būs pirmais, kas tiks amputēts.
Tagad vīrusu sūtīšanai tiek izmantoti arhivatori un linki uz izpildāmo failu. Bija pat vīrusi, kuri tika sūtīti izmantojot šifrētus arhīvus (tādā veidā apejot antivīrusu pārbaudu uz e-pasta serveriem) ieliekot vēstules tekstā arhīva paroli. Un tik un tā lietotāji iemanījās atarhivēt šifrēto failu un palaist izpildāmo failu. Morāle tam – tikmēr kamēr jebkuru izpildāmo failu varēs palaist vienkārši 2x uzklikšķinot, tikmēr vīrusu būs, un nelīdzēs te ne morāles lasīšana, ne super-puper antivīrusa izmantošana. Datora aizsardzība ir jābūt „muļķu drošai” - tā lai kaķis palēkājot pa klaviatūru nevarētu nokaut OS, vai  sačakarēt visus lietotāja failus. Nav lietotāja pienākums iegaumēt kādus failus drīkst atvērt un kādus nedrīkst. Tas nav normāli, ja lietotājam ir jāsēž un jālozē, kuru no 2 failiem drīkst atvērt foto.jpg vai foto.jpg(200 tukšumi).exe, ja abiem ikonas vienādas.

 

Caur SRP (applocker) var noregulēt Windows tā, ka lietotājs pat ļoti gribēdams nevarēs palaist svešas izpildāmas programmas, bet tagad tas ir tāds čakars (programmētāji sākuši biezā slānī bāzt savus gara darbus %userprofile” mapē), ka maz būs tādu, kuri gribēs ar to ķepāties un pēc tam vēl klausīties datorlietotāja pārmetumus, par to, ka atkal kaut kas nestrādā dēļ uzliktajiem ierobežojumiem. Agrāk bija vienkāršāk – atļaujam palaist programmas no %Windir% un %ProgramFiles%, un parējās mapes aizliedzam. Bet, tagad nākas meklēt kurā vietā %userprofile% mapē atkal kāds programmētājs izdomājis iebāzt savu programmu un tasīt šai mapei izņēmumu, bet tas vairs nav labi, jo lietotājam uz šo mapi ir pilnas tiesības, un ja reiz lietotājs var instalēt šajā mapē programmas, tad to var darīt arī vīrusi.

Link to comment
Share on other sites

Datora aizsardzība ir jābūt „muļķu drošai”

Kā reiz izteicās pasniedzēja LU - 100% drošība ir 0% lietojamība. Vienīgais muļķodrošais vīrusudrošais dators ir atslēgts no elektrības un iebetonēts pazemes glabātuvē.

 

Bez tam, mūsdienās lielākā daļa vīrusu (ieskaitot šo) balstās uz sociālo inžnieriju. T.i. hakeri hako nevis datoru, bet lietotāju. Viņi pārliecina to, ka viņam VAJAG atvērt šo linku/failu/whatever. Pēc tam ir vienalga, kādus baļķus Tu metīsi lietotājam ceļā, viņš tos visus cītīgi apies - vai arī sāks lamāties uz OS/adminu, ka neļauj viņam veikt lietas, kuras viņš grib veikt.

Labots - Vilx-
Link to comment
Share on other sites

superKrona

Galu galā, ko iesākšu es, ja nebūs tādu vīrusu un grāmatvežu, kas ieraugot uzrakstu "VID, finanses Window", ir gatavas izlēkt pa logu?

Link to comment
Share on other sites

 

 

Kā reiz izteicās pasniedzēja LU - 100% drošība ir 0% lietojamība. Vienīgais muļķodrošais vīrusudrošais dators ir atslēgts no elektrības un iebetonēts pazemes glabātuvē.

Kaapeec tik paarspiileeti? Arii taadu var atbetoneet un piesleegt pie elektriibas..tad jau labaak uzreiz saki "Visdroshaakais dators ir taads kas neeksistee".

 

Vispaar jau ikdienai pilniigi pietiek ar Limited|Guest tiesiibaam un paranoikjiem LiveOS no vienreiz ierakstaama datu neseeja lai neiebrauktu auzaas.

Link to comment
Share on other sites

Jauns vīruss ir tik pat noslēpumains kā jauna sieviete. Pati atnāk, bet nezini kar ko tas viss beigsies, tāpēc vienmēr jālieto gumija.

 

Bildes afigenna lielas, tāpēc ieliktas spoilerī. Lūdzu, nākamreiz pacenties lietot mazākus variantus. Vilx-.

 

 

funny_antivirus_protection.jpg

Lips-Antivirus--3121.jpg

2491497766_846ef50c06_o.jpg

 

 

Labots - Vilx-
Link to comment
Share on other sites

Interesanti palasīt spamu par tēmu.

 

Tomēr gribētos zināt kā konkrēti doto zarazu likvidēt. (ja vien vispār to var izdarīt nepārinstalējot pc)

 

Mana šodienas pieredze.

 

https://cert.lv/resource/show/412 - nelīdz! tika izdzēsts inficētais profils, uzlaists Malwarebytes Anti-Malware. Zaraza tika atrasta un tipa veiksmīgi likvidēta! Bet pēc restarta viss bija atpakaļ. Reģistrā nekādu aizdomīgu atslēgu nebija (ne kaspersky, ne Malwarebytes, ne manuālais apskats neko neatrada. Malwarebytes katru reizi atrada citus exe failus kurus bija inficējis vīruss. Bez tam tie bija parasti exe faili kas bija uz pc.

 

Izskatās ka šis vīruss ir "čaula" kas nodrošina kādas zināmas spiegu programmas izplatību. Šo programmu daži antivīrusi ķer, bet čaulu liekas ka pagaidām neviens neatpazīst.  Bez tam čaula māk inficēt sistēmā jau esošos exe failus - tā kā ar kādu konkrētu failu dzēšanu nebūs līdzēts.

 

Bez tam ja useris stādā bez admina tiesībām, tas liekas ka šajā gadījumā nelīdz - tikko kāds ielogojas ar admina tiesībām (lai viņu izdzēstu) zaraza aiziet tālāk. 

 

Varētu līdzēt kāds livecd, bet tad jāzina kas konkrēti jādzēš ārā..... Kur zaraza ieperinās gaidot adminu.

 

Pie manis ir viens laptops, kurš rīt tiks pārinstalēts- bet pagaidām gaidu idejas kā iztīrīt.  



ps. šeit ir labi tas ka userim pašam jāpalaiž vīruss. 

Uzskatu par idiotisku windows fīču ka visi zināmie failu paplašinājumi pēc noklusēšanas ir noslēpti līdz ar to useri pavisam viegli var apmānīt ar failu tipa.doc.zip  

 

Es visiem saviem klientiem šo slēdzu ārā,  

Link to comment
Share on other sites

Savulaik, kad vienam kompim netiku galā ar policijas vīrusa modifikāciju, caur safe mode laikam palaidu esset node live online. bet precīzi vairs neatceros, ko. Bet tāpat nācās to darīt caur adminu un netu, tā kā lieta tāpat bija slidena. Bet toreiz man izdevās. Caur windas parasto modi, ne cureit, ne ineta pamācības, man nedeva rezultātu.

Labots - ggg97
Link to comment
Share on other sites

 

 

dr web cureit visai veiksmīgi atpazīst un izravē

 

Šis nav ne ar ko labāk par Malwarebytes = atrod un izravē spiegu programmu, bet "čaula" paliek!

 

Rīt izmēģināšu Kaspersky live cd. - redzēsim kaspersky tiks galā vai nē.

Ziņošu par rezultātiem. Ja kaspersky tiks galā rekomendēšu klientiem nopirkt kasperski. ;)   

Šis būs labs tests kasperskim - tipa labākajam antivirusam. MSE ir pierādījis savu bezspēcību..... 

Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...