|
Poslao: 09 Feb 2013 16:05
|
offline
- code381
- Građanin
- Pridružio: 27 Jul 2012
- Poruke: 196
- Gde živiš: Serbia
|
Imam dva pitanja
dr_Bora ::Neki drugi crvi će da sakriju/preimenuju/obrišu korisnikove datoteke na prenosivim diskovima i na njihovo mesto postave kopije sebe.
Dok u prvom slučaju korisnik može da primeti da nešto nije u redu (ako mu je aktiviran prikaz svih datoteka/fascikli i ekstenzija), ovde je to malo teže jer je legitiman program zamenjen malicioznim.
1. Kada malver izbrise neki legitiman fajl i na njegovo mesto postavi kopiju sebe, mene zanima kako izgleda ta kopija, da li se moze original datoteka razlikovati od fake datoteke po velicini (size), npr ako je neki fajl bio velicine 100 MB da li ce fake fajl biti obavezno iste velicine? I da pitam za svaki slucaj sta se sve podrazumeva pod datotekom u ovom slucaju (sr.wikipedia.org/sr/Datoteka#Vrste_datoteka)
2. Koje sve vrste datoteka moze da zarazi malver? Ja znam da moze da zarazi sam USB disk i foldere (direktorijume) u njemu a sta je sa ostalim poznatijim fajlovima kao sto su: .mkv, .avi, .mp3, .doc, .docx, .pdf, .exe, .cmd, .jpeg, .ppt, .png itd.
Npr imam situaciju: donese mi neko film na USB-u i ja otvorim USB disk sa ukljucenim prikazom ekstenzija i prikazom svih skrivenih i sistemskih fajlova i vidim da na USB disku postoji skriveni sistemski fajl Body of lies.mkv i vidljivi fajl Body of lies.exe, ja skontam da je USB zarazen i sada se pitam ako je USB disk zarazen da li je i fajl Body of lies.mkv zarazen (ovo pitanje se odnosi i u slucaju slika, muzike, instalacija programa, pdf dokumenata, Word dokumenata itd). U ovom slucaju da li da kopiram na moj kompjuter film Body of lies.mkv ili ne posto se i on zarazio jer se nalazi na zarazenom USB disku?
|
|
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
Poslao: 09 Feb 2013 17:32
|
offline
- NIx Car
- Legendarni građanin
- Més que un club
- Glavni vokal @ Harpun
- Pridružio: 27 Feb 2009
- Poruke: 3898
- Gde živiš: Novi Sad,Klisa
|
1.Original mozes najlakse razlikovati od malware-a po MD5 hashu koji je razlicit kod svih fajlova.
2.Skini MCShield
http://amf.mycity.rs/mcshield/
Štrikliraj stavku Always unhide items on flash drive u kartici Scanner
Ubaci fleš sa „nestalim” fajlovima i sačekaj da završi skeniranje
Nakon povratka fajlova isključi opciju Always unhide items
Ostavi MCShield da te čuva od napasti sa USB diskova.
hvala Sass na ovom drugom
|
|
|
|
|
|
|
Poslao: 09 Feb 2013 18:19
|
offline
- code381
- Građanin
- Pridružio: 27 Jul 2012
- Poruke: 196
- Gde živiš: Serbia
|
NIx Car ::1.Original mozes najlakse razlikovati od malware-a po MD5 hashu koji je razlicit kod svih fajlova.
1. Moze neki primer. I kako ja da procitam taj MD5 hash a tek kako da ga uporedim sa originalom kada je original izbrisan.
NIx Car ::2.Skini MCShield
amf.mycity.rs/mcshield/
2. Nemam ja sta da skidam, nego pitam cisto informativno.
dr_Bora ::
Koristite alternativne file managere koji prikazuju sve fascikle/datoteke/ekstenzije i edukujte se kako bi razumeli šta vam je to prikazano.
Evo ja otvaram preko Multi Commander-a (freeware) pa pitam sta bi korisnik prvo trebalo da uradi a na drugom mestu je zastitni program.
dr_Bora ::Kada se priča o zaštiti, korisnici obično imaju tendenciju da se busaju u (cyber) prsa svojim antivirusom pri tome zaboravljajući da je to samo jedna od karika u lancu.
|
|
|
|
|
|
|
Poslao: 09 Feb 2013 21:12
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
1. Malo je verovatno da će maliciozni file biti iste veličine kao i legitimni.
Datoteka? Programi, razni dokumenti, muzika...
2. Ako pričamo o flash infektorima, onda pričamo o crvima (sa izuzetkom par virusa/file infektora).
U primeru koji si naveo je vrlo malo verovatno da nešto ne valja sa tim mkv file-om.
Stvari su malo komplikovanije ako je u pitanju neki program. Uopšte, sve što poseduje izvršivi kod (exe, cmd, bat, html, vbs, ...) je komplikovano za odokativnu procenu. Sam crv koji je zarazio flash disk verovatno neće modifikovati korisnikove file-ove (njihov sadržaj), ali treba imati na umu da je taj disk spajan na drugi PC na kome može biti svakakvog malware-a, pa i klasičnih virusa, a to opet znači da bi file-ovi mogli biti inficirani. U ovom slučaju je antivirus jedino što može bar donekle da pomogne.
Šta može korisnik da uradi? Može da obriše sve što sam nije stavio na flash, da proveri digitalne potpise programa koji (treba da) ih imaju, da uporedi hash svakog file-a sa originalnim... Sve skripte (batch, vbs/html...) može ručno da pregleda i analizira (ako zna kako).
Citat: I kako ja da procitam taj MD5 hash a tek kako da ga uporedim sa originalom kada je original izbrisan.
Postoje programi za računanje raznih hash-eva. Možeš unapred da napraviš listing sadržaja diska sa hash-evima svih file-ova i da to koristiš za kasnije poređenje.
|
|
|
|
|
|
|
Poslao: 09 Feb 2013 22:52
|
offline
- TwinHeadedEagle
- Anti Malware Fighter
Rank 2
- Pridružio: 09 Avg 2011
- Poruke: 15879
- Gde živiš: Beograd
|
code381 ::Imam dva pitanja
dr_Bora ::Neki drugi crvi će da sakriju/preimenuju/obrišu korisnikove datoteke na prenosivim diskovima i na njihovo mesto postave kopije sebe.
Dok u prvom slučaju korisnik može da primeti da nešto nije u redu (ako mu je aktiviran prikaz svih datoteka/fascikli i ekstenzija), ovde je to malo teže jer je legitiman program zamenjen malicioznim.
1. Kada malver izbrise neki legitiman fajl i na njegovo mesto postavi kopiju sebe, mene zanima kako izgleda ta kopija, da li se moze original datoteka razlikovati od fake datoteke po velicini (size), npr ako je neki fajl bio velicine 100 MB da li ce fake fajl biti obavezno iste velicine? I da pitam za svaki slucaj sta se sve podrazumeva pod datotekom u ovom slucaju (http://sr.wikipedia.org/sr/Datoteka#Vrste_datoteka)
2. Koje sve vrste datoteka moze da zarazi malver? Ja znam da moze da zarazi sam USB disk i foldere (direktorijume) u njemu a sta je sa ostalim poznatijim fajlovima kao sto su: .mkv, .avi, .mp3, .doc, .docx, .pdf, .exe, .cmd, .jpeg, .ppt, .png itd.
Npr imam situaciju: donese mi neko film na USB-u i ja otvorim USB disk sa ukljucenim prikazom ekstenzija i prikazom svih skrivenih i sistemskih fajlova i vidim da na USB disku postoji skriveni sistemski fajl Body of lies.mkv i vidljivi fajl Body of lies.exe, ja skontam da je USB zarazen i sada se pitam ako je USB disk zarazen da li je i fajl Body of lies.mkv zarazen (ovo pitanje se odnosi i u slucaju slika, muzike, instalacija programa, pdf dokumenata, Word dokumenata itd). U ovom slucaju da li da kopiram na moj kompjuter film Body of lies.mkv ili ne posto se i on zarazio jer se nalazi na zarazenom USB disku?
1. Skoro smo imali slucaj u Ambulanti gde je Auto.IT crv inficirao racunar sa fleske. Instaliran je MCShield i naravno pregazio je crva kao Panta pitu 
+ izvestajCitat:>>> MCShield ::Anti-Malware Tool:: v 2.4.3.18 / DB: 2013.2.2.1 <<<
2/8/2013 10:36:24 PM > Drive F: - scan started (no label ~1935 MB, FAT32 flash drive )...
>>> F:\autorun.inf > Suspicious > Renamed.
---> Note: traces of file replicators have been found!
---> Executing generic S&D routine...
>>> F:\adrenilando.exe - Malware > Deleted. (13.02.08. 22.36 adrenilando.exe.31246; MD5: 56dec30ef90d4b0439349bb23dc32b51)
>>> F:\12.exe - Malware > Deleted. (13.02.08. 22.36 12.exe.820823; MD5: 56dec30ef90d4b0439349bb23dc32b51)
>>> F:\publikacije.exe - Malware > Deleted. (13.02.08. 22.36 publikacije.exe.733983; MD5: 56dec30ef90d4b0439349bb23dc32b51)
>>> F:\STAN.exe - Malware > Deleted. (13.02.08. 22.36 STAN.exe.532788; MD5: 56dec30ef90d4b0439349bb23dc32b51)
>>> F:\New Folder (5).exe - Malware > Deleted. (13.02.08. 22.36 New Folder (5).exe.949424; MD5: 56dec30ef90d4b0439349bb23dc32b51)
> Resetting attributes: F:\adrenilando < Successful.
> Resetting attributes: F:\12 < Successful.
> Resetting attributes: F:\publikacije < Successful.
> Resetting attributes: F:\STAN < Successful.
> Resetting attributes: F:\New Folder (5) < Successful.
=> Malicious files : 5/5 deleted.
=> Suspicious files : 1/1 renamed.
=> Hidden folders : 5/5 unhidden.
Iz izvestaja se da videti da je malware sakrio foldere, a na mesto njih napravio lazni shortcut sa istim nazivom, samo sto sada ima ekstenziju .exe i korisnik koji nema pojma, klikne na lazni folder i tako zarazi racunar.
Inficirao sam Windows XP na VM sa istim malware-om kao iz slucaja i evo sta kaze Total Commander
Ova infekcija ne inficira fajlove, vec samo foldere. Nisam imao prilike da vidim infekciju koja inficira/skriva fajlove (ako naidjem, rado cu prezentovati metod rada), vecinom je trik sa folderom kao u ovom slucaju ili skriveni fajl koji se aktivira uz autorun.inf metod.
Npr. cuveni Conficker radi ovo
On dodaje opciju Open folder to view files — Publisher not specified. Kada kliknes na to, crv se aktivira.
Ima tu jos nacina koje koriste, npr. LNK exploit
|
|
|
|
|
|
|
Poslao: 10 Feb 2013 12:49
|
offline
- code381
- Građanin
- Pridružio: 27 Jul 2012
- Poruke: 196
- Gde živiš: Serbia
|
dr_Bora ::1. Malo je verovatno da će maliciozni file biti iste veličine kao i legitimni.
OK to smo razresili, ipak virusi nisu toliko "pametni"
Citat:Da razjasnimo neke stvari. Virusu treba neka vrsta matica preko koje će da deluje. Treba da ima neki okidač kako bi izvršio zadatak. Što znači da virusom ne može da bude zaražena mp3 muzika, fotke sa žurke, poznati današnji formati za video zapis, filmove itd. Međutim, mogu da budu zaražene medije na koje iste datoteke kopiramo. Setite se samo situacije: odete kod prijatelja, ubodete usb memoriju u njegov komp i počne da „vrišti“ anti virus program. Nije znak da je fotografija zaražena koju ste hteli da prekopirate na njegov računar, već postoji neki maliciozan program na usb memoriju.
Virusi obožavaju da zaraze datoteke sa ekstenzijama .EXE, .COM, .DOC, .DOCX, .XLS, .VBS ili slične datoteke koje mogu da izvrše neku skriptu ili programsku rutinu prilikom pokretanje. Moram napomenuti da datoteke koje su zaražene virusom obično ne može više da se kako mi to kažemo „očistiti“ jel je jedan deo sadržaja te datoteke prepisana instrukcijom virusa i šta? izgorela mi soba, sve je pepeo, šta mogu da uradim? da očistim pepeo i da kupim sve novo. Iz pepela ne mogu da napravim TV... :-)
Ovo sam procitao u jednom clanku pa zbog toga pitam, da proverim. Po ovome nije moguce zaraziti video, slike, muziku pa sam zbog toga pitao na primeru mkv filma, neko skine sa interneta "cist" film ali mu je komp zarazen sa svime i svacime, posle prebaci film sa tog zarazenog kompa na zarazeni USB i donese meni da ga prebacim. Ja znam kako da "iscupam" samo film pa se pitam da li je film uopste mogao biti zarazen. Ovaj gore sto je pisao clanak kaze da "ne može da bude zaražena mp3 muzika, fotke sa žurke, poznati današnji formati za video zapis, filmove itd." pa opet pitam: moze ili ne moze i ako moze koliko je to cesto zastupljeno u praksi.
|
|
|
|
|
|
|
Poslao: 11 Feb 2013 02:14
|
offline
- 1l padr1n0
- Anti Malware Fighter
Rank 2
- Pridružio: 02 Feb 2008
- Poruke: 14018
- Gde živiš: Nish
|
Citat:Po ovome nije moguce zaraziti video, slike, muziku pa sam zbog toga pitao na primeru mkv filma, neko skine sa interneta "cist" film ali mu je komp zarazen sa svime i svacime, posle prebaci film sa tog zarazenog kompa na zarazeni USB i donese meni da ga prebacim. Ja znam kako da "iscupam" samo film pa se pitam da li je film uopste mogao biti zarazen. Ovaj gore sto je pisao clanak kaze da "ne može da bude zaražena mp3 muzika, fotke sa žurke, poznati današnji formati za video zapis, filmove itd." pa opet pitam: moze ili ne moze i ako moze koliko je to cesto zastupljeno u praksi.
Ne moze. Jednostavno, virus se zakaci za datoteku koja ce moci da ga startuje. mp3 datoteka nije izvrsna, vec je u pitanju audio format zapisa fajla (ne moze preko nje da se startuje nikakav kod (program/malware)). mkv datoteka je vrsta video formata koji nikako ne moze da startuje neki kod (program/malware). itd ...
|
|
|
|
|
|
