Jump to content

Par svaigu vīrusu


Svekris
 Share

Recommended Posts

vai ta ar kasperski neviens šo intelektuālo vērtību nav noķēris,  totbiš, nesankcionēti ierāvis nāsī?

Labots - ggg97
Link to comment
Share on other sites

laikamTak

 

 

Uzskatu par idiotisku windows fīču ka visi zināmie failu paplašinājumi pēc noklusēšanas ir noslēpti

Nu jā, bet doma apakšā tam dziļa. Ta kuram pārsvarā tie failu paplašinājumi sasodīts vajadzīgi, tagad ir svarīgi socportālos tusēties. Zooombie...

Link to comment
Share on other sites

Vito Ventura

Sanāca uz rezerves, putekļiem apaugušas sistēmas šo OS "addonu" iemēģināt. Kasperskis pabļauj, palielās ka vīruss ir pieveikts un jūtas lepns. Pēc restarta atkal Kasperskis vīrusu pieveic un jūtas lepns. Iepriekšējo teikumu var atkārtot, cik vien tīk. Kasperskis neko neizārstē, eksperi izgāzās un var doties prom atkal uz kādu gadu, vai kādiem padsmit.

 

PS. Kā jau citiem, arī manā gadījumā pirmais simptoms bija apostrofa noziedēšana.

Labots - iThrowToilets
Link to comment
Share on other sites

 

 

Bildes afigenna lielas, tāpēc ieliktas spoilerī. Lūdzu, nākamreiz pacenties lietot mazākus variantus. Vilx-.

 

Paldies par aizrādījumu, bet es neesmu nekāds klaviatūras (web) kovbojs un man ir grūti iespigt uz mazām bildēm, jo tas ir čakars.

 

A par sievietēm... Tas ir apmēram tas pats.

Link to comment
Share on other sites

versatile

Nekad netraucē palaist autoruns un papētīt, kas un no kurienes lādējas startupā. Dažādas interesantas lietas var atrast.

Ja vīrusa faili izdzēšas, pazūd, bet pēc restarta ir atpakaļ, tad iemesls tikai viens - startupā joprojām ir kāds process, kas tos izveido.

Ja iespējams, protams, labāk ir system restore.

Katrā gadījumā, bija visai dīvaini - ceturtdien vienam pacientam pazuda apostrofs (tildes variants), uzliku laacza, līdz restartam strādāja. Pirmdienā atradu un izravēju attiecīgos failus, bet, ievēroju ka mapes, kurās atradās vīrusi bija ar vairākus gadus veciem timestampiem. CERT saka, ka timestamp netiek tīts atpakaļ - tādad, vai nu ceļo vairākas versijas uz viena kodola, vai arī tiešām tika aktivizēts senāks botnets.

Uz datora bija apdeitots antivīruss, nulle reakcijas.

Liela problēma bija faktā, ka jūzeris bija admins uz lokālās xp mašīnas. Pie ieslēgšanās vairakas reizes izmeta security center ziņojumu par to, ka izslēgts av. Noņemot admina tiesības, pēkšņi tā problēma pazuda. Atlika vien izdzēst attiecīgos startupa ierakstus.

Katrā gadījumā, prieks, ka drīzumā atvadīšos no pēdējām tīklam pieslēgtajām xp kastēm. Ar 7+ šādi incidenti ir daudz kontrolējamāki un vieglāk labojami.

Link to comment
Share on other sites

Kaspersky Eksperti
Tomēr gribētos zināt kā konkrēti doto zarazu likvidēt.

 

Zbot saime izmanto rootkit tehnoloģijas, lai slēptu sevi. Pamēģiniet Kaspersky Lab programmu ZbotKiller. To var lejupielādēt šeit http://support.kaspersky.com/viruses/utility. Apraksts: http://support.kaspersky.com/viruses/disinfection/2020.

Gadījumā, ja ar šo utilītprogrammu neizdodas likvidēt jauno vīrusu, tad būtu interesanti sakontaktēties un mēģināt atrast vaininieku.

 

 

vai ta ar kasperski neviens šo intelektuālo vērtību nav noķēris,  totbiš, nesankcionēti ierāvis nāsī?

 

 

Mums neviens klients Latvijā nav sūdzējies. Kaspersky diezgan labi tiek galā arī ar jauniem vīrusiem un it īpaši jauniem variantiem. Esam šad tad mēģinājuši uz testa datoriem aktivizēt vīrusus, kuriem nav izlaistas signatūras, un pagaidām nav izdevies inficēt ar Kaspersky Internet Security aizsargātu sistēmu. Tikai nevajag to uztvert kā apgalvojumu, ka eksistē 100% antivīruss  :)

Labots - Kaspersky Eksperti
Link to comment
Share on other sites

 

 

Ja iespējams, protams, labāk ir system restore.

Man tuvs cilvēks dabūja Skype vīrusu, kas dzēsa saraksti. Antivirusi un dr. Web neko neuzrādīja un system restore arī nelīdzēja. Tīkai tīrīšana, kā ieteikts attiecīgajā šā foruma tēmā.

Link to comment
Share on other sites

Kaspersky Lab programmu ZbotKiller - neko neatrod

Kaspersky Virus Removal tool - arī 

 

MalwareBytes  iekš faila Unlocker1.9.2.exe (tūļa kas ļauj izdzēst lietošanā esošos failu instalācija) atrod PUP.Optional.Babylon.A 

Instalācija tika novilkta no interneta lai izdzēstu inficēto lietotāja profilu. 

 

Izdzēšot šo failu un kādu laiku pastrādājot ar pc MalwareBytes atrod jaunus failus ar šo vīrusu inficētus. Tātad galvenais vīrusa process darbojas bet nekas viņu neatrod. 

Nekādu aizdomīgu atslēgu reģistrā nav - domāju ka vīruss ir pieķēries pie kāda jau sistēmā esoša exe faila. 

 

Manas idejas (un ari laiks) ir beigušās - pārinstalēju.

Link to comment
Share on other sites

Kaspersky Eksperti

 

 

Sanāca uz rezerves, putekļiem apaugušas sistēmas šo OS "addonu" iemēģināt. Kasperskis pabļauj, palielās ka vīruss ir pieveikts un jūtas lepns. Pēc restarta atkal Kasperskis vīrusu pieveic un jūtas lepns. Iepriekšējo teikumu var atkārtot, cik vien tīk. Kasperskis neko neizārstē

 

Šorīt veicām atkārtotu izmēģinājumu ar vīrusu, kas bija pienācis 9. decembrī failā COMPLAINT.doc.zip, un, kuru Kaspersky detektē kā Trojan-Spy.Win32.Zbot.qvro, uz Windows 7 64-bit. Lietotāja konts ar administratora tiesībām, sistēma pieslēgta internetam. Pēc ārstēšanas ar Kaspersky Virus Removal Tool un sistēmas restarta vīruss vairāk netika atrasts. Arī pēc vairākiem restartiem infekcija neatdzīvojās. Uz kādas OS un ar kādu Kaspersky Jūs mēģinājāt? Varbūt Jūs varētu atsūtīt vīrusa paraugu uz support@antivirus.lv aizparolētā arhīvā un paroli e-pasta tekstā?

Link to comment
Share on other sites

Donkeyhot

Arhīvam jāliek parole, lai tur pie jums kāda blondīne netīšām neatver? :shok:

Link to comment
Share on other sites

Ikoniņa nav slikts variants, bet ir jābūt diez gan dumjam, lai atvertu izpildāmu failu no arhīva, kurā noteikti jābūt dokumentam. Foršāks variants ir ar U+202E rakstzīmi - sanāk fails, kuram beigās aiz punkta tiešām ir .docx :D Dīvaini, ka šie kadri to neizmantoja. Pie visiem aprakstiem gan vēl joprojām būs rakstīts, ka tas ir izpildāms ekrānsaudzētāja fails, tomēr arī kāds gudrāks un acīgāks (par vidējo blondīni) lietotājs var iekrist. Vienmēr vajag būt ļoti uzmanīgam.

 

.gb2qaz31o18meqjghy9.jpg

Labots - LVArturs
Link to comment
Share on other sites

 

 

100% drošība ir 0% lietojamība.
Nav vajadzīga 100% drošība. Pilnīgi pietiktu, ja OS atdalītu „mušas no kotletēm” un lietotājs skaidri zinātu, ka fails bilde.jpg ir bilde, bet bilde.jpg(200_tukšumi).exe nav bilde. Pagaidām starp šiem failiem nav nekāda nodalījumu un datora drošību garantē vienīgi tas, vai lietotājs pievērsīs uzmanību tam kāds izskatās faila nosaukums un faila tips. Bet vizuālā starpības starp šādiem failiem ir tik minimāla (īstajai bilde nav redzams jpg paplašinājums), ka nav par ko brīnīties, ka lietotāji uz to uzķeras. Tas ko es gribētu redzēt uz Windows nav 100% garantija, pilnīgi pietiktu ar to, ka neleģitīmas programmas (programmas, kuras nav normālā veidā uzinstalētas) pie katras palaišanas lietotajam radītu brīdinājumu, par to, ka tā ir programma un tās darbināšana var nodarīti kaitēju datoram, un lietotājam būtu iespēja izvēlēties turpināt darbību vai nē. Tas ir – gribētos, lai „veselu” datoru līdz „slimībai” atdalītu nevis viens automātiski izdarīts dubultklikšķis, bet vismaz 3 klikšķi (2+1), kur pēdējais apstiprina, turpināt lietotājs saprot, ko dara. Vot, ja pēc tam, ja lietotājs iemanās palaist pa e-pastu saņemto programmu, tad gan var teikt „kā var būt tik tups”. Pagaidām galīgi nav ko brīnīties, par to, ka daudzu uz tādiem vīrusiem uzķeras, jo atšķirt normālu failu no vīrusu, var datorspeciālists, nevis parasts lietotājs, kuram dators ir tāda pati sadzīves manta kā ledusskapis vai televizors. Ledusskapi un televizoru taču nevar sabojāt vienkārši nospiežot vienu nepareizo pogu.
Piemēram, drošība uz Android arī nedod 100% garantiju, ka uz tā netiks uzinstalēta destruktīva programma, bet tai pat laikā uz tā nav iespējam šāda tipa vīrusu eksistence, jo visas programmas ir jāinstalē, un to var izdarīt vienīgi pats lietotājs apstiprinot licenzēšanas noteikumus un izlasot vajadzīgo tiesību sarakstu. Vai šāda drošība stipri ierobežo lietojamību? Es protams neizslēdzu iespēju, ka ir tādas sfēras, kur lietotājiem obligāti vajag apmainīts ar „plikiem” EXE failiem (tādiem, kuri nav jāinstalē), bet lielākajai daļai lietotāja tas nav vajadzīgs.  

 

Bez tam ja useris stādā bez admina tiesībām, tas liekas ka šajā gadījumā nelīdz - tikko kāds ielogojas ar admina tiesībām (lai viņu izdzēstu) zaraza aiziet tālāk.
|Nebūs gan tā. Lietotāja darbināts vīruss tiek klāt vienīgi savām Startup vietām. Globālās Startup vietas lietotājam un viņa darbinātajām programmām nav tiesību labot vai pievienot jaunus ierakstus (nav jēgas apspriest situāciju, kad kāds ir ir uzinstalējis Windows uz FAT partīcijas, jo tad arī starpība starp lietotāju un administratoru ir ļoti minimāla). Tā, ka nav pamata baidīties, ka lietotāja darbināts vīruss varētu pārsviesties uz citu lietotāju profiliem, vai gaidīt, kad administrators ielogosies, lai inficētu datoru pilnība.
Link to comment
Share on other sites

Kaspersky Eksperti

 

 

Arhīvam jāliek parole, lai tur pie jums kāda blondīne netīšām neatver?
 

 

Vienīgā blondīne nesen devās dekrēta atvaļinājumā  :) un parole tagad jāliek tikai, lai kāds antivīruss vērtīgo sūtījumu neizvāc no no e-pasta.

Link to comment
Share on other sites

 

 

Nebūs gan tā. Lietotāja darbināts vīruss tiek klāt vienīgi savām Startup vietām. Globālās Startup vietas lietotājam un viņa darbinātajām programmām nav tiesību labot vai pievienot jaunus ierakstus

 

Par to ka vīruss izplatīsies tālāk kad ielogojas admins 100% pārliecināts neesmu, tomēr tāda aizdoma man pastāv. Izskatās ka šis vīruss izmanto rootkit vai kādu windows viltību/kļūdu lai palaistos jo neatradu reģistros (vismaz parastajās startup vietās) nekādus aizdomīgus ierakstus. Tas gan jau ka ir iemesls kāpēc neviens antivīruss viņu nespēj likvidēt. 

 

Par kasperski teicu ka ieteikšu viņu klientiem ja viņš spēs tikt ar šo zarazu galā - bet nespēja.....

 

Šis ir pirmais nopietnais vīruss pa daudziem gadiem (labi ka nespēj pats bez usera līdzdalības izplatīties), bet neviens antivīruss nespēj palīdzēt! Te rodas jautājums NAH tādi antivīrusi kuri sēž fonā un tikai patērē datora resursus bet reāli nepasargā/nespēj vīrusu likvidēt vispār ir vajadzīgi..... 

Link to comment
Share on other sites

Iespējams, nožēlošu, ka pajautāju, tomēr ziņkāre ir briesmīgs posts. 

 

Zemāk lasāmā idioma, uz ko tā atsaucas/nozīmē?

tad tomeer "Машу выебал белый медведь?"

Mašu *** baltais lācis? Ko?

 

 

Labots - Svekris
Link to comment
Share on other sites

paskaties task sheduler. nebūs nekāds brīnums, ka tur ieperinājies - regulāri atjaunoties.

Link to comment
Share on other sites

 

 

ronalds_, ar autoruns arī neparādās startupa ieraksts?

Protams ka nē!!!

 

 

 

paskaties task sheduler. nebūs nekāds brīnums, ka tur ieperinājies - regulāri atjaunoties.

Vo par šo biju piemirsis... Bet nu jau par vēlu - ir pārinstalēts.....  

Link to comment
Share on other sites

 

 

Izskatās ka šis vīruss izmanto rootkit vai kādu windows viltību/kļūdu lai palaistos

Ja vīruss, palaists ar lietotāja tiesībām, inficē datoru izmantojot rootkit tehnoloģijas, tad steigšus vajag uzlikt visus Windows ielāpus, vai ja tas nelīdz, tad rakstīt sūdzību uz Microsoft par jaunu, bīstamu, nezināmu Windows ievainojamību.

Viena lieta ir rootkit tehnoloģijas vīrusam ar administratora tiesībām, jo būtībā tur nekāds „rootkit” šī vārda klasiskajā izpratnē nav vajadzīgs, jo root (priviliģētā lietotāja) tiesības vīrusam jau ir tāpat. Uz Windows ar „rootkit tehnoloģijas” saprot dažādus paņēmienus kā slēpt vīrusa klātbūtni sistēmā. Lai vīruss ar lietotāja tiesībām varētu izmantot „rootkit tehnoloģijas” savas klātbūtnes slēpšanai, tam vispirms ir jāiegūst root tiesības un tiekai pēc tam var izmantot „rootkit tehnoloģijas” sevis slēpšaanai. Bet iegūt root tiesības (Windows gadījumā SYSTEM tiesības) lietotāja darbināts vīruss var vienīgi tad, ja sistēmā ir ievainojamība, kas dod iespēju paaugstināt savas privilēģijas. Ja tādas ievainojamības nav, tad vīruss ar visām „rootkit tehnoloģijas” labākajā gadījumā var turpināt strādā konkrētā lietotāja profilā, neskarot citu lietotāju profilus un sistēmu kopumā.

Netradicionāla Startup vieta ir:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
„"Shell"="Pilns_ceļš_uz_vīrusu.exe"

Faila nosaukums var arī būt jebkāds, un tas pat var būt ar kādu neitrālu paplašinājumu (piemēram DAT), kas normālā veidā nav pa nav palaižams, bet šādā veidā, pie katras ieslēgšanas tiks palaist vīrusa fails konkrētajam lietotājam (šis paņēmiens nedod iespēju "gaidīt kamēr atnāk admistrators", jo darbojas tikai vienam konkrētam inficētajam lietotājam). Šādā veidā ierakstīts vīruss neuzrādas caur msconfig un tas darbojas arī SAFE MODE.

Šādu paņēmienu izmantoja viena no Policijas vīrusa versijām.

Link to comment
Share on other sites

Kaspersky Eksperti

ronalds_, on 12 Dec 2013 - 09:33, said: Par kasperski teicu ka ieteikšu viņu klientiem ja viņš; spēs tikt ar šo zarazu galā - bet nespēja.....

Vispirms jau paldies "ronaldam" par to, ka sakontaktējās ar mums! Tas ļāva saprast viņa problēmu un, visticamāk, ja viņš nebūtu pasteidzies pārinstalēt datoru, mēs kopīgi varētu būt atrisinājuši situāciju.

 

Tas, ar ko viņš finālā nesekmīgi cīnījās, pēc mūsu viedokļa bija mārketinga rīkjosla (toolbar), kas nāk komplektā viņa izmantotajai bezmaksas programmai Unlocker. Pie Unlocker instalācijas licences tekstā tiek skaidri norādīts, ka tā satur šādu komponenti, un no šīs komponentes var atteikties Unlocker instalācijas procesā, saliekot ķeksīšus pareizajās vietās. Tie, kas grib pārliecināties paši, te būs links uz šo visnotaļ noderīgo utilītprogrammiņu, kuras kopiju mums atsūtīja "ronalds" http://download.cnet.com/Unlocker/3000-2248_4-10493998.html.

 

 

Kaspersky nedetektē Unlocker pievienoto mārketinga piedevu, tāpat kā gandrīz visi citi antivīrusi. Toties detektē Malwarebytes, bet, acīmredzot, nespēj to izārstēt. Kaspersky attieksme varētu būt izskaidrojama ar to, ka Unlocker pievienotā mārketinga programmatūra tiek izplatīta legālā ceļā un, detektējot to, var uzrauties uz ļoti dārgiem tiesu darbiem. Tāda pieredze Kaspersky Lab jau ir ASV. Protams, ka nekāda sakara ar šajā tēmā apspriežamo jauno vīrusu tam visam nav un arī par datorvīrusu šeit nav runa. Te ir arī izskaidrojums, kāpēc mūsu ieteiktās Kaspersky programmas kaitīgās programmas Trojan-Spy.Win32.Zbot.qvro ārstēšanai "ronaldam" nelīdzēja.

 

Finalizējot, arī uz šodienu mēs neesam saņēmuši nevienu tehniskās palīdzības pieprasījumu no desmitiem tūkstošu legālo Kaspersky Lab produktu lietotāju Latvijā sakarā ar jauno vīrusu Trojan-Spy.Win32.Zbot.qvro, no kā mēs secinām, ka viņiem problēmu nav bijis.

Labots - Kaspersky Eksperti
Link to comment
Share on other sites

Tēmas sākumā esošais vīruss sudziba.doc.zip ne pārāk labi strādā uz Windows XP ar lietotāja tiesībām. Neizskatās, ka tas izmantotu kādus rootkit slēpšanās paņēmieni, un automātikai palaišanai tiek izmantots visparastākais:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Onuha="%Appdata%\Raamr\rotem.exe"

Pie vīrusa palaišanas parādās iebūvētā Windows Firewall brīdinājumu logs par to, drošības apsvērumu dēļ tas ir nobloķējis dažas programmas „Windows Explorer” funkcijas. Bet tā kā Windows iebūvēts firewall ir „mēsls, kurš nekam neder”, tad atšķirībā no citiem super-puper personal firewalls, uz Windows firewall kaut ko atļaut vai aizliegt var vienīgi administrators, par ko arī teikts tā paziņojumā. Lietotājam ir vien 2 iespējas, ielikt ķeksi, lai vairāk nerāda paziņojumu un vēl var nospiest [OK].
Lietotāja palaists šis vīruss točna negaida kad ielogosies administrators, lai pēc tam inficētu datoru pilnībā. Tā, ka neizkatās ka dotais vīruss izmantotu kādu nezināmu Windows ievainojamību ar iespējām paaugstināt privilēģijas.
Protams, nevar izslēgt, ka tas vīruss ir advancētāks nekā izskatās, un savu patieso darbību slēpj no virtuālajām mašīnām (manā gadījumā „Oracle VM VirtualBox”).

Link to comment
Share on other sites

Paldies kaspersky ekspertiem par skaidrojumu. Gan jau vīruss jau bija izķerts, bet unloker līdzi nākošā reklāmas programma ko detektēja malwarebytes man sajauca galvu....

Link to comment
Share on other sites

ai, ar tiem `next next un - jippii = jauns tūlbaris` ir traki ... entie kompji redzēti ar 3 līdz 5 rindām dažādu toolbāru :/ , pašam pēdējo gadu laikā tikai vienu reizi gadījās - aizvakar, kad izdomāju uzlikt qtorrentu, čota nepaskatījos :D , jebkurā gadījumā - pēc sev vēlamā faila lejuplādes noinstalēju i toolbāri i pašu qtorrentu

Link to comment
Share on other sites

 

 

np, speciaali prieksj tevis :>
 

 

Tencinu. 
Atminos pirms ~gada izgāju visu bash komiksu arhīvu. 

Good stuff. 

Link to comment
Share on other sites

Interesanti, ja jautā cik tupam jābūt, tad ņemot vērā ka ir grāmatveži, kas kaut kādus kopsavilkumus, rēķinus mēdz kriptēt izmantojot zip un tad tikai sūtīt, diezgan viegli uzrauties uz tādu,tīri ieraduma pēc.

Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...