|
Poslao: 21 Apr 2010 23:18
|
offline
- FarscapeFan
- Legendarni građanin
- Pridružio: 30 Dec 2007
- Poruke: 4759
- Gde živiš: Niš
|
mislim da i ja imam neki grub ili grldr ili grub.exe , za juxlala linux za decu 
(negde je na flešci malo je komplikovan postupak butovanja ne sećam se trenutno da li on zove syslinux ili se iz njega poziva  )
|
|
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
|
|
|
|
Poslao: 22 Apr 2010 08:01
|
offline
- higuy
- Legendarni građanin
- penzionisani tabijatlija
- crni hronicar
- Pridružio: 21 Apr 2010
- Poruke: 8565
- Gde živiš: Dubocica
|
Evo loga i nista mi nije jasno,
<<< MCShield v1.0.1 >>> Monitoring started at 4/21/2010 2:30:06 PM
4/21/2010 2:30:12 PM > Checking C: ( ~17 GB, NTFS HDD )...
---> Warning: the database is damaged or missing.
---> Please, update MCShield.
>>> C:\AUTOEXEC.BAT - Worm.Sus > Renamed.
>>> C:\f.bat - Worm.Sus > Renamed.
>>> C:\o.bat - Worm.Sus > Renamed.
>>> C:\r.bat - Worm.Sus > Renamed.
>>> C:\sound32.dll - Worm.Sus > Renamed.
4/21/2010 2:30:13 PM > Checking D: (data 2 ~29 GB, NTFS HDD )...
---> Warning: the database is damaged or missing.
---> Please, update MCShield.
4/21/2010 2:30:14 PM > Checking F: (data 1 ~29 GB, NTFS HDD )...
---> Warning: the database is damaged or missing.
---> Please, update MCShield.
4/21/2010 2:38:43 PM > Checking G: ( ~2 GB, FAT flash drive )...
<<< MCShield v1.0.1 >>> Monitoring started at 4/22/2010 7:24:11 AM
4/22/2010 7:24:17 AM > Checking C: ( ~17 GB, NTFS HDD )...
>>> C:\AUTOEXEC.BAT - Worm.Sus > Renamed.
>>> C:\sound32.dll - Worm.Sus > Renamed.
4/22/2010 7:24:18 AM > Checking D: (data 2 ~29 GB, NTFS HDD )...
4/22/2010 7:24:19 AM > Checking F: (data 1 ~29 GB, NTFS HDD )...
https://www.mycity.rs/must-login.png
https://www.mycity.rs/must-login.png
https://www.mycity.rs/must-login.png
https://www.mycity.rs/must-login.png
Nisam uspeo da okacim autoexec.bat posto mcshield kaze da je fajl veci od 1mb sto je glupost jer fajl ima velicinu 0 bit-a, a kamoli kbyte ili mbyte. Svi bach fajlovi se koriste za knjigovodstvene programe.
|
|
|
|
|
|
|
Poslao: 22 Apr 2010 17:06
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Citat:>>> C:\f.bat - Worm.Sus > Renamed.
>>> C:\o.bat - Worm.Sus > Renamed.
>>> C:\r.bat - Worm.Sus > Renamed.
File-ovi su sumnjivi zbog besmislenog naziva (a pri tome se nalaze u rootu, gde nikako ne treba da budu).
Potreban je rename file-ova u duži naziv (npr. neki koji ukazuje na funkciju) da bi se izbegla detekcija (ili isključivanje dodatne heuristike, što nikako ne preporučujem).
Citat:>>> C:\sound32.dll - Worm.Sus > Renamed.
Ovaj file biva markiran samo u slučaju da je skriven. Važi isto što i gore.
Citat:>>> C:\AUTOEXEC.BAT - Worm.Sus > Renamed.
Zašto je taj file sumnjiv u ovom slučaju?
Njegova funkcionalnost na XP-u i novijim Windowsima je svedena na smešno malu meru i isti se gotovo isključivo (zlo)upotrebljava od strane malware-a (npr. Brontok crv ga modifikuje). Upravo iz tog razloga taj file nije whitelistovan (čemu štititi nešto što u svom standardnom obliku ne može biti detektovano?).
U ovom konkretnom slučaju, (ručno) su menjani atributi file-a (zato je sumnjiv).
Znači, smisleni, pojmljivi nazivi file-ova i uklanjanje hidden atributa će biti dovoljni da se ove detekcije izbegnu.
|
|
|
|
|
|
|
Poslao: 22 Apr 2010 17:47
|
offline
- FarscapeFan
- Legendarni građanin
- Pridružio: 30 Dec 2007
- Poruke: 4759
- Gde živiš: Niš
|
Citat:
U ovom konkretnom slučaju, (ručno) su menjani atributi file-a (zato je sumnjiv).
jeste da postoje ručno menjani atributi ali kako da zaštitite neki sistemski file
da ga recimo dete ne prebriše 
(bilo je slučajeva da korisnici obrišu sami sve iz root a C: , sve što vide )
zato što imaju superuser privilegije po difoltu
|
|
|
|
|
|
|
Poslao: 22 Apr 2010 18:34
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Sistemski file-ovi su po defaultu skriveni, lock-ovani i/ili zaštićeni od strane WFP-a, dok ovaj, s razlogom, nije.
Anyway, u v1.1 će biti ignorisani atributi ovog file-a (ne zato što je njegov rename problem, jer nije, već da ne bih svako malo objašnjavao istu stvar).
|
|
|
|
|
|
|
Poslao: 22 Apr 2010 19:38
|
offline
- higuy
- Legendarni građanin
- penzionisani tabijatlija
- crni hronicar
- Pridružio: 21 Apr 2010
- Poruke: 8565
- Gde živiš: Dubocica
|
Citat:Nisam uspeo da okacim autoexec.bat posto mcshield kaze da je fajl veci od 1mb sto je glupost jer fajl ima velicinu 0 bit-a, a kamoli kbyte ili mbyte.
Da li nameravate da napravite ispravku za ovaj problem, a problem je kako fajl velicine 0 bit-a moze da bude problem.
|
|
|
|
|
|
|
Poslao: 22 Apr 2010 20:54
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Biće javljeno vlasniku foruma...
|
|
|
|
|
|
|
Poslao: 23 Apr 2010 11:35
|
offline
- Pridružio: 22 Okt 2007
- Poruke: 84
- Gde živiš: Nigde, autostopiram kroz galaksiju...
|
dr_Bora ::The inevitable, u principu, feature. 
Strogo govoreći, to nisu FP-ovi. Markirani su (najverovatnije) rutinom za dodatnu heuristiku kao sumnjivi (postoji više mogućih kriterijuma za procenu da li je nešto sumnjivo).
Ako im se uklone hidden atributi (pretpostavljam da ih imaju), verujem da neće biti markirani kao sumnjivi (kao što rekoh, postoji više elemenata koji odlučuju o tome - uklanjanje ovoga će da ih zadrži u "legitimnoj zoni").
Ako imaš kopije file-ova, mogao bi da mi ih pošalješ, pa ću videti da li je moguće odraditi whitelisting (tako da više uopšte ne mogu biti detektovani).
Bio si u pravu, nakon skidanja hidden atributa McShield ih više ne detektuje.
Evo u prilogu pomenuti fajlovi (mada mislim da je Farscape Fan postavio grub.exe) ako vam šta pomažu. Pošto su u pitanju boot fajlovi bilo bi korisno da ostanu skriveni da se ne mešaju sa ostalim podacima na flešu.
mycity.rs/must-login.png
mycity.rs/must-login.png
|
|
|
|
|
|
