Jump to content

Jauns vīruss Fedex


JDat
 Share

Recommended Posts

Tiko birojā iekrita kārtējais e-mail (kolēģiem ir, man nav, vot sukas).

Subjeks: Fedex tracking notification

Saturs: Fedex Tracking number, svars uc info lai izskatās ticami.

Pielikumā ZIP. ZIPā ~39 KB .EXE

Pārējais atkarīgs no curved_hands.dll

 

Papildus info: https://www.virustotal.com/file/07afab48bd93ac6e6bd734a78ec66c17c639608dbf6ce5597d2455da3d2053ea/analysis/1344332558/

 

Gmail pēc definīcijas nepieņem tādu attachmentus.

Inbox, ar visu kašperovski aplaizās. Lai arī virustotal saka ka kašperovski māk detektēt...

Latnets neliekas ne zinis un laiž visu cauri.

Link to comment
Share on other sites

Darbā, visiem datoriem apgriezu tiesības darbināt neinstalētas programmas (caur Software Restriction Policy) un tagad, lai nu par ko, bet vismaz par vīrusiem vairs nav jāuztraucas. Pat antivīrusu nav uz datoriem. Protams, jēga tam „Software Restriction Policy” ir tikai tad, ja lietotājs nestaigā pa kantori ar pielādētu ieroci rokās nestrādā ar administratora tiesībām.

 

P.S. Datoru apkalopšana nav mans maizes dabs, tā ir tikai tāda "bezmaksas" halturka.

Link to comment
Share on other sites

Piekrītu firzam. Uztaisi balto sarakstu un par (anti)vīrusiem aizmirsti. :wave:

Tagad jau nāk next generation prikols windai - BitLocker. Tas šito pašu dara vēl advancētāk, tikai šis darbojas tikai uz Ultimate/Enterprise versijām žīdi tādi.

Labots - lexxx
Link to comment
Share on other sites

Mezavecis

Nez kas tādas vēstules ver vaļā, labi zinot, ka loterijā nav piedalījies, caur fedex nekas nav paredzēts saņemt.

Link to comment
Share on other sites

(labots)

Fedex automāts atsūta tracking numuru uz e-mail noteiktos apsākļos.

Šamais ir balstīts tieši uz muļķiem, kuri gaida kādu paciņu. Atvērs ZIPā esošo pielikumu un lieta darīta.

 

Administrēšana. Pie mums pilns ar tehniķiem, kuriem nestrādā apgriešana. Da i admins uz 10 kompjiem birojā nav baigi vajadzīgs. Katrs pats sev admins. Kurš gudrāks, tad nobīstas no tāda e-mail un izmet ārā. Izaudzināti jau uz šamām lietām. A es rullēju gurķi. Ievelku datorā un čakarēju bobi. Noskenēju, ievācu piapildus info utt.

 

Lielākā sāpe priek usera vulgaris tas ka pagaidām antivīrusu softi pagaidām neņem pretī.

 

Vienk iespamoju aiz nav ko darīt. Lai tauta zin.

 

Varbūt kādam uz @inbox.lv aizsūtīt?

Labots - JDat
Link to comment
Share on other sites

Ko šis precīzi dara?

Pieslēdzās botu tīklam vai atslēdz ugunsmūri vai vēl kaut ko?

Link to comment
Share on other sites

Hz. Nemeklēju aprakstu. Jāpagaida lai labaratorijas izpīpē. Man slinkums gatavot jaunu virt. mašīnu šim pasākumam.

Link to comment
Share on other sites

Virtuālo mašīnu varu sagatavot 2 minūtēs.

Rīt patestēšu, ko zvērs dara :)

atsūti ēpastu uz badman9694[ET]inbox,elvē

Labots - lexxx
Link to comment
Share on other sites

Kmēr uztaisīšhu vHDD faila kopiju. Kamēr ar roku izlabošu mašinas failā esošos ceļus un failus. Boring. Pēti un pastāsi ko redzēji.

Link to comment
Share on other sites

Palaidu uz Windows XP SP3 32 bitiem. Tīkla kabeli protams atvienoju :D

Pagaidām novērotās lietas:

1)Prasa atļaut programmai tikt caur ugunsmūri.

2)Izveidojis all users mapē svchost.exe failu un iemetis iekš startupa.

Procesoru nenoslogo un ja jau nav pieslēgts tīkls, tad arī paketes nekur nesūta.

Kaut kā negribās slēgt tīklu klāt.

 

Asambleri nerubīju, tāpēc tik sīki neiedziļināšos.

 

Pieslēdzu netu.

Ar wireshark nerāda nevienu paketi sūtītu/saņemtu.

 

Avira atrada TR/Zhuo.A

AVG atrada trojan horse Crypt.AYPV

Avast atrada Win32:Downloader-PXV [Trj]

MS Essentials atrada Worm: Win32/Gamarue.I

Labots - lexxx
Link to comment
Share on other sites

  • 2 weeks later...
Kaspersky Eksperti
Darbā, visiem datoriem apgriezu tiesības darbināt neinstalētas programmas (caur Software Restriction Policy) un tagad, lai nu par ko, bet vismaz par vīrusiem vairs nav jāuztraucas. Pat antivīrusu nav uz datoriem. Protams, jēga tam „Software Restriction Policy” ir tikai tad, ja lietotājs nestaigā pa kantori ar pielādētu ieroci rokās nestrādā ar administratora tiesībām.

 

P.S. Datoru apkalopšana nav mans maizes dabs, tā ir tikai tāda "bezmaksas" halturka.

 

Citāts no Microsoft Software Restriction Policies Technical Overview: "Important! Software restriction policies should not be used as a replacement for antivirus software. Software restriction policies only restrict whether a program can be run from Windows Explorer, the Run command, a Command Prompt window, or Windows Script Host (wscript.exe). Programs started in other ways, such as by using perl.exe, cannot be restricted through software restriction policies."

Link to comment
Share on other sites

-> Kaspersky Eksperti

 

Cik procentu no visiem, dabā esošiem vīrusiem ir tādi, kuri nav izpildāmi EXE faili (bat, com, inf, dll, scr u.c)? Ja tādi ir, tad ir aizdomas, ka to nebūs vairāk par 1%. Tātad „Software restriction policies” kopā ar „Limited User” aizsargā pret 99% vīrusu. Un tam 1% vīrusu dzīve nebūt nebūs salda, jo „Limited User” uzliek tik nežēlīgus ierobežojumus vīrusu destruktīvai darbībai, ka vīrusa rakstītājam vieglāk būs uzrakstīt 100 vīrusus priekš „normāliem cilvēkiem” ar administratora tiesībām, un bez visādiem muļķīgiem ierobežojumiem, nekā uzrakstīt 1 vīrusu, kurš spēj apiet SRP un vēl izdzīvot „Limited User” nedraudzīgajā vidē.

Jā, jā zinu, zinu, gan programmu ievainojamībām, gan par privilēģiju eskalāciju, bet tas gan nebūs tas iemels, lai tagad skrietu pirkt antivīrusus. Programmu ievainojamības ir gan uz MacOS, gan Linux, bet kaut kā nemana, ka to lietotāji tagad masveidā iegādātos antivīrusus šim sistēmām.

  • Patīk 1
Link to comment
Share on other sites

Tak skaidrs ka kašperovskim tas ir bizness, tapēc cepās. Muļķibas tas viss. Man ar admin tiesībām kaste griežas Un Kā vīrusi nenāk, ta nenķ. Pat pa e-mail. USB vīrusi man logos ir tipa pat "kaitīgi" kā linuxā. Nu nepalaidīsies tei draņki kastē un miers.

 

Stulbais maksā dvereiz. Gan par atnivŗisusu, gan par kastes pārinstalēšanu.

  • Patīk 1
Link to comment
Share on other sites

Kaspersky Eksperti
Tak skaidrs ka kašperovskim tas ir bizness, tapēc cepās. Muļķibas tas viss. Man ar admin tiesībām kaste griežas Un Kā vīrusi nenāk, ta nenķ.

 

Aizsardzība vienmēr sastāv no ierobežojumiem, kas ļauj pazemināt riskus līdz pieņemamam līmenim. Piemēram, Firzam ir savs apdraudējumu novērtējums un līdzekļi, kas pēc viņa domām ir pietiekoši, lai riski būtu pieņemami zemā līmenī. Viss skaidri un saprotami. Cits jautājums, protams, ir, vai viņa novērtējumi un pieņēmumi ir pareizi.

 

Savukārt, "Man ar admin tiesībām kaste griežas Un Kā vīrusi nenāk, ta nenķ." drīzāk atgādina krievu ruletes spēlēšanu, kā saprātīgu pieeju. Ja tas ir Windows dators, tad tas, iespējams, jau ir bijis inficēts vairākas reizes un izārstēts ar Malicious Software Removal Tool, kas pienāk ar katru Windows atjauninājumu porciju. Mūsdienās infekcija pārsvarā gadījumu ir ļoti grūti pamanāma. Starp citu, drīz situācija var kardināli mainīties. Daudzi ir piemirsuši, bet daudzi vispār neko nezina par destruktīvajām kaitīgajām programmām. Tādas atkal sāk parādīties: Disttrack Sabotage Malware Wipes Data. Šajā rakstā minētā jaunā kaitīgā programma nav tik saudzīga, kā kādreizējās - tā pārraksta datus cietajā diskā ar citiem datiem.

 

Kas attiecas uz cepšanos ... mēs arī turpināsim cepties. Kāpēc? Nu, ja tas būtu tikai bizness, tad tā dzīve būtu vienkārši garlaicīga :)

Link to comment
Share on other sites

Ja zina pa kurieni draņis var ienākt, tad ieeju apcērt jau saknē. Pirmārt galva uz pleciem. Web lapas? Gogoļa Hroms. LAN/ Win shāres? Nepalaižam EXE šārētā mapē. Kādreiz bija RPC bugs, nu jā savulaik tas bija nepatīkami. Gaidam jaunus brīnumus no Billija un meklējam risinājumus pie Gogoļa. E-mail? Pareiza rīkošanās ar pielikumiem. Skype? Skatīt e-mail. USB Flash uml? Atslēdzam autorun. Kamēr notiek izmeklēšana, darbstacijai nokniebjam tīkla vadu nost. Izārstējam saknē un darīts.

 

Ne uz visām kastēm var atļauties turēt antivīrusu. Piemēram Newtek Videotoaster. Bremzēs ētera mašīnu, tai pat laikā pēdējā brīdi tiek atnesta USB Fleška ar video rullīti, kur nevar zināt kas vēl ieperinājies. Laipni lūdzam realtime pasaulē. Tad kad vajadzīgais fails tiek atnests 1 minūti pirms lielā ekšna. Nu nav tur laika vēl ar antivīrusiem krāmēties.

 

Cita problēma ka to visu nav iespējams iemācīt grāmatvedei, attiecīgi tur arī vajag kašperovsky.

Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...