Varování - Viry, viry, viry
Moderátoři: World Builder, Dungeon Master
-
- Příspěvky: 6702
- Registrován: 18. 12. 2005 1.27
- Bydliště: Sídlo u Amfiberai, sféra Equilibrie
- Kontaktovat uživatele:
Varování - Viry, viry, viry
Viry, viry, viry
Tak jsem chytil vira. Tedy přesněji ne já, ale můj počítač v práci Quatro (nějak prošel vším zabezpečením). A hned mrcha ukradl FTP hesla ke všem webům včetně pracovního a stránek a fóra Equilibrie, kam do iframe hnízd nakladl nebezpečný humus.
Humus jsem všude pečlivě vyčistil, hesla změnil, zabezpečil je v Tottal Commanderu master heslem a vyhubil havěť u sebe. Ale pro jistotu si zkontrolujte svoje počítače pokud jste se koukali na stránky Equilibrie, fórum Equilibrie či na stránky azfoto.cz během uplynulých cca 2 dnů.
Tak jsem chytil vira. Tedy přesněji ne já, ale můj počítač v práci Quatro (nějak prošel vším zabezpečením). A hned mrcha ukradl FTP hesla ke všem webům včetně pracovního a stránek a fóra Equilibrie, kam do iframe hnízd nakladl nebezpečný humus.
Humus jsem všude pečlivě vyčistil, hesla změnil, zabezpečil je v Tottal Commanderu master heslem a vyhubil havěť u sebe. Ale pro jistotu si zkontrolujte svoje počítače pokud jste se koukali na stránky Equilibrie, fórum Equilibrie či na stránky azfoto.cz během uplynulých cca 2 dnů.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
-
- Příspěvky: 6702
- Registrován: 18. 12. 2005 1.27
- Bydliště: Sídlo u Amfiberai, sféra Equilibrie
- Kontaktovat uživatele:
ESET Smart Security s automatickou aktualizací (NOD32 je tohohle součástí). Docela dobré řešení, ale tahle mrcha přes to prošla. Vím že mi včera ESET hlásil 2x vira v nějakém PDFku a zabil je. Je docela možné že než je dostal tak stihly bestie infikovat weby, protože dnes po skenování nikde ani stopa a včera večer byl jeden index.php silně poškozený, jakoby se zapisoval ale nedozapsal celý - možná v tu chvíli po něm ESET skočil a zabil je.
Záhadou je jak to mohl udělat, když mám interaktivní režim firewallu - jen podle pravidel a když neví tak se optá. Musel zneužít nějaký program co to má povolené jako službu pokud to jde... no děs.
Záhadou je jak to mohl udělat, když mám interaktivní režim firewallu - jen podle pravidel a když neví tak se optá. Musel zneužít nějaký program co to má povolené jako službu pokud to jde... no děs.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
Z testu ktere jsme delali pred lety na kybernetice kazdym zabezpecenim cas od casu neco projde a kazdy antivir neco nerozpozna. Od tech domacich neprilis spolehlivych hracek typu Avast nebo AVG na jedne strane, jako jeden z nejlepsich se ukazal NOD ale tim tehdy tusim asi dve nebo tri haveti prosly.
Jedine co naprosto spolehlive najde vse je MWAV - proste uchylne pomalu projizdi kod vseho. Kontrola 500GB disku je pomalu na dva dny ale zas je to jistota.
Nicmene Labire jestli se menila hesla muzes mi prosim do PM/na ICQ hodit nova hesla pro EPP az budes mit cas? Diky.
Jedine co naprosto spolehlive najde vse je MWAV - proste uchylne pomalu projizdi kod vseho. Kontrola 500GB disku je pomalu na dva dny ale zas je to jistota.
Nicmene Labire jestli se menila hesla muzes mi prosim do PM/na ICQ hodit nova hesla pro EPP az budes mit cas? Diky.
Na docasne dovolene od EQ
---
Zelgova hlava a novy portret [180kb] pro zajemce ke stazeni zde: http://wendigo.wz.cz/Zelg.rar
---
Zelgova hlava a novy portret [180kb] pro zajemce ke stazeni zde: http://wendigo.wz.cz/Zelg.rar
Osobně vím, že i MWAV všechno neodhalí (ale dobrej, to jo). Spíš bych se zeptal labira jaký vir to konkrétně byl... Chci říci, že pokud to prošlo Tobě se Smatkou, může to být i na jiných počítačích stále neodhalené a budu-li vědět na jaký sajrajt se konkrétně zaměřit budete kontrola rychlejší a přesnější.
Roma Spouštěč pro Equilibrii 2.0 NWN Camera mod Listování v PM
Get the ability to choose: (.Y.) (oYo) (.)(.) (*)(*) (o)(0)
Get the ability to choose: (.Y.) (oYo) (.)(.) (*)(*) (o)(0)
-
- Příspěvky: 6702
- Registrován: 18. 12. 2005 1.27
- Bydliště: Sídlo u Amfiberai, sféra Equilibrie
- Kontaktovat uživatele:
No pravděpodobně se jednalo o trojany Win32/Wigon.LW a Win32/Rustock.NKU. Zřejmě se ke mě dostaly v PDFku. ESET je najde.Roma píše:Osobně vím, že i MWAV všechno neodhalí (ale dobrej, to jo). Spíš bych se zeptal labira jaký vir to konkrétně byl... Chci říci, že pokud to prošlo Tobě se Smatkou, může to být i na jiných počítačích stále neodhalené a budu-li vědět na jaký sajrajt se konkrétně zaměřit budete kontrola rychlejší a přesnější.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
To jsme dva, ale obávám se, že to vůbec o ničem nevypovídá. Nic lepšího nemám a ani moc neplánuju, nemůže se mi to vyplatit.George píše:Avast u mě nic nenašel
Mimochodem, Wendigo … nemám rád prohlášení, že "tohle je naprosto spolehlivé". Zrovna v souvislosti s viry tohle nemůže soudnej člověk vypustit z pusy (ani z klávesnice ).
Imagination is the only weapon in the war against reality.
-
- Příspěvky: 6702
- Registrován: 18. 12. 2005 1.27
- Bydliště: Sídlo u Amfiberai, sféra Equilibrie
- Kontaktovat uživatele:
No tak dneska je to tu opět. A opět nachlup stejně. ESET Smart Security nic nenašlo. Anti-malvare taky ne. A na 100% to bylo zase ode mě. Master heslo v Total Commanderu 8.5 beta je úplně k ničemu, zjevně chrání hesla jen v době mimo používání. Takže už si FTP hesla v Total Commanderu neukládám a hledám způsob jak vůbec tu bestii detekovat.
Edit: To je šílené, ono to dokonce do firewallu nastavilo dvě obecné díry! Holt je nutné master heslo i na Eset.
Edit: To je šílené, ono to dokonce do firewallu nastavilo dvě obecné díry! Holt je nutné master heslo i na Eset.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
Jestli pouzivas body obnoveni, tak je docela dobry figl:labir píše:No tak dneska je to tu opět. A opět nachlup stejně. ESET Smart Security nic nenašlo. Anti-malvare taky ne. A na 100% to bylo zase ode mě. Master heslo v Total Commanderu 8.5 beta je úplně k ničemu, zjevně chrání hesla jen v době mimo používání. Takže už si FTP hesla v Total Commanderu neukládám a hledám způsob jak vůbec tu bestii detekovat.
Edit: To je šílené, ono to dokonce do firewallu nastavilo dvě obecné díry! Holt je nutné master heslo i na Eset.
1. zrusit ve woknech moznost obnoveni
2. restart do nouzovyho rezimu a v tom udelat hloubkovou kontrolu antivirem, pak antispyware/malware/adaware
3. restart v normalnim rezimu a projet vse regcleanerem (napr. WiseRegistry Cleaner 4)
4. pak si zapnout obnoveni
Takhle likviduju tu havet ja
EDIT: Jojo, zakladem mit zaheslovany antivir, aby neslo menit nastaveni - to se mi na NODU desne libi. A taky je dulezity ve woknech vypnout sluzbu vzdaleneho pristupu k registrum, pokud ji teda nevyuzivas.
-
- Příspěvky: 6702
- Registrován: 18. 12. 2005 1.27
- Bydliště: Sídlo u Amfiberai, sféra Equilibrie
- Kontaktovat uživatele:
Zatím jsem zjistil že tu mrchu mám skutečně u sebe, odesílá data při libovolném FTP připojení přes TotalCommandera na IP 78.109.24.105. Jenže ani Ad-aware ji zatím nenašlo. A pozor dovede odposlouchávat hesla jenž zapisujete v Total Commanderu a tak ani nemusí být uložená. Eset ani Anti-Malware to nenajde.
Apropo kde se vypíná vzdálený přístup k registrům?
Apropo kde se vypíná vzdálený přístup k registrům?
Naposledy upravil(a) labir dne 13. 8. 2009 16.22, celkem upraveno 2 x.
Když něco chcete, nevynucujte si to od okolí. Ptejte se, co vy sami pro to můžete udělat.
99,8% bych rekla, absolutne ti nereknu ani jestli zejtra nezbori karluv most meteorit ;] Kazdopadne mwav se pouziva na viry.cz na diagnostiku uz nejaky ten patk stejne jako na spouste zahranicnich serveru takz bych se drzela toho ze nejpresnejsi zato uchylne pomaly.Sethiel píše:To jsme dva, ale obávám se, že to vůbec o ničem nevypovídá. Nic lepšího nemám a ani moc neplánuju, nemůže se mi to vyplatit.George píše:Avast u mě nic nenašel
Mimochodem, Wendigo … nemám rád prohlášení, že "tohle je naprosto spolehlivé". Zrovna v souvislosti s viry tohle nemůže soudnej člověk vypustit z pusy (ani z klávesnice ).
Na docasne dovolene od EQ
---
Zelgova hlava a novy portret [180kb] pro zajemce ke stazeni zde: http://wendigo.wz.cz/Zelg.rar
---
Zelgova hlava a novy portret [180kb] pro zajemce ke stazeni zde: http://wendigo.wz.cz/Zelg.rar
A u XP to běží jako "service", takže msconfig a vzdálený přístup odfajfknout... Nevím přesně jak se to jmenuje, mám to úplně odebrané, ale dá se to podle názvu rozpoznat.labir píše:Apropo kde se vypíná vzdálený přístup k registrům?
Roma Spouštěč pro Equilibrii 2.0 NWN Camera mod Listování v PM
Get the ability to choose: (.Y.) (oYo) (.)(.) (*)(*) (o)(0)
Get the ability to choose: (.Y.) (oYo) (.)(.) (*)(*) (o)(0)
Na XP jsem to našel jako "Vzdálený registr"Roma píše:A u XP to běží jako "service", takže msconfig a vzdálený přístup odfajfknout... Nevím přesně jak se to jmenuje, mám to úplně odebrané, ale dá se to podle názvu rozpoznat.labir píše:Apropo kde se vypíná vzdálený přístup k registrům?
Sell drugs. Run guns. Nail sluts and fuck the law.