Jump to content
wildchild

Ceapa lor de virusi!

Recommended Posts

Posted

Neata tuturor!

Pana imi termin cafeaua am zis sa fac un tutorial in care sa evidentiez niste chestii de baza ce tin de virusi.

Vad pe rst tot feluri de post-uri gen (programul e virusat,vai de capul meu) asa ca m-am decis sa scriu ce stiu din experienta despre cum sa nu iti mai pese de virusi in cazul in care aveti de-a face cu asa ceva.

Fie ca vrem fie ca nu, virusii sunt omniprezenti pe internet.Nu visati la un internet fara virusi sau la un risc 0 pentru ca exceptand atacatorii care se folosesc de ei pentru diverse scopuri, va mai exista intotdeauna si categoria aceea care ii vor creea doar sa isi mentina afacerile firmele de antivirusi. Daca va miroase a conspiratie, ei bine imaginati-va ce s-ar face medicii fara pacienti si faceti legatura dintre virusi si antivirusi.

Modul ideal pentru mine de a nu-mi face griji pentru virusi ar fi sa folosesc tot timpul orice e bazat pe Unix din motive evidente.

Adevarata problema este windowsul care este foarte susceptibil cu toate programele de antivirusi instalate pe el.Windowsul ti se carbonizeaza daca apare un virus nou care nu este prezent in baza de date aantivirusului(vorbim aici de un virus nou care nu se bazeaza pe vechile tehnici de infectare sau raspandire).

In primul si in primul rand este esential sa facem cate un backup la windows.Este de preferinta sa folosim un sofware gen Acronis True Image.Este ok si pachetul de System Restore inclus in Windows insa de obicei este pe lista neagra a virusului.Spun asta pentru ca ai putea sa dai inapoi sistemul si astfel ai scapa, asa ca de multe ori virusul afecteaza System Restore-ul oprind procesul de monitorizare si stergand fisierele de backup.In schimb, daca ai o copie a unei imagini backup facuta cu acronis si pusa pe un hard extern sa zicem, sansele sunt minime ca acea imagine sa fie afectata.

Mai avem la dispozitie Deep Freeze-ul dezvoltat de cei da la Faronics.Este o unealta foarte puternica care ingheata partitia asa ca te poti juca cu virusii cat vrei deoarece dupa restart sistemul iti este intact.Aici trebuie sa aveti grija si cu ce va jucati deoarece unele aplicatii infectate va pot fura adresele de mail si parole stocate pe browser si dupa atac chiar nu mai conteaza ca dai restart si scapi de el.In cazul in care aveti salvate in Firefox sa zicem parolele, e un MUST sa puneti un master password cat de complex si sa nu includeti in acea lista adresa de mail alternativa si parola cu care sa va puteti recupera conturile in caz ca vi se fura.Mi s-a intamplat sa iau niste fisiere de firefox de la cineva si mare mi-a fost mirarea cand master password-ul era "root" si l-am pus la vrajeala.Atentie la parola!

Daca aveti chef sa studiati virusi, cel mai indicat ar fi o statie de VMware care e izolata de restul sistemului.Alocati un 10 gb pe o partitie si il lasati sa isi faca de cap.Este ideala si un exercitiu bun pentru cei ce intentioneaza sa lucreze la companii de Antivirusi.

Sa zicem ca ati luat in virus.Exista diverse metode de a-i gasi locatia si de a-l sterge de pe hard.Una ar fi Start,Run, si msconfig.In tab-ul de startup ar trebui sa fie numele virusului sicel mai tare, locatia bastardului.Dupa ce il debifati mergeti in fisierul respectiv si il stergeti.Daca nu puteti incercati sa ii dati kill in task manager si daca nici asa nu merge, un safe mode sau un cd cu backtrack sau un slax ar trebui sa faca treaba.De asemenea, trebuie sa verificati si in regedit daca in shell-ul din

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] mai este un executabil pe langa Explorer.exe.Daca da,il stergeti din Value Data si ii dati search pe partitia cu windowsul si il stergeti si de acolo.

Am vazut tone de virusi la viata mea si cel mai penibil era unu care facea ecranul negru la logare si apoi nu puteai sa vezi nimic, respectiv sa il cauti.Greseala creatorului deoarece virusul s-a dat de gol si practic mai lipsea sa il cauti si sa-i vii de hac.O bootare in safe mode l-a rezolvat fara alte complicatii.Oricum, daca nu puteti face nimic incarcati backup-ul cu acronis imediat dupa ce intrati pe un slax sau un backtrack si scanati mai intai cu ajutorul unui serviciu online de av. partitia care nu foloseste windows ca sa nu fie infectata .Vrem sa evitam ca dupa restore sa se viruseze iar sistemul.

O alta metoda mai putin folosita prin care puteti detecta un virus din cadrul unui program este de a va uita la semnatura digitala sau MD5-ul original.Daca fisierul ce il descarcati are cativa biti in plus sau hashurile nu dau,inseamna ca a fost alterat, prin urmare poate contine si un virus.

Cam asta e,am scris tutorialul in graba si s-ar putea sa fi zis chestii care s-au updatat in timp si care nu mai sunt corecte.Daca sunt ceva nelamuriri sau completari sunt nerabdator sa invat.

Posted

Foarte interesant, dar trebuie adusa o completara. Tot mai multi virusi folosesc in componenta lor si root-kits, care ascund virusul respectiv de sistemul de operare. O idee ar fi eventual sa iei un index al tuturor fisierelor dupa hdd(dupa cum le vede sistemul de operare) si dupa asta comparat cu un index vazut dupa un alt sistem de operare(eventual un live cd ceva , dar nu stiu daca exista programe care pot afisa tot index-ul hdd-ului)

Posted

la asta ma gandeam si eu insa avand in vedere faptul ca un simplu update la un adobe flash sa zicem ar schimba intregul index as windowsului, ar fi destul de greu sa tina o evidenta.un simplu cookie salvat de pe un site deja ar aduce fisiere pe partitie.

Posted

Eu ma refeream pentru a detecta root-kitul, nu pentru altceva.

Pentru a putea detecta rootkit-ul se foloseste un program(daca exista) care listeaza intreg index-ul hdd-ului sau partitiei. Acesta este salvat undeva fie pe hdd fie pe un mediu extern, dupa care se booteaza dupa un live cd si se creeaza un nou index al paritiei respectiva, acestea 2 se compara, ce e in plus e ori rootkit ori ceva de pe la windows.

Bine inteles exista si programe create special pentru detectia si eliminarea rootkit-urilor dar nici acestea nu sunt perfecte, o astfel de metoda zic eu este mai minutioasa dar mai sigura.

Este posibil totusi sa ma insel.

Posted

Mersi usr6, nu stiam de SysTracer, de eset stiu. Problema ar fi ca ai nevoie de ceva cros platform, pentru a putea face scanarea initiala din interiorul sistemului infectat, si a 2-a oara din afara sistemului infectat.

Posted (edited)

sistemul este in continua schimbare indiferent daca ai virusi sau nu, cand faci un update se schimba, nu te ajuta cu nimic daca ai un snapshoot de acu 1-2 luni.

//in cazul in care gasesti fisiere modificate, le cauti pe google si iei identic cu originalu

Dar acuma depinde de tipul de malware cu care esti infectat, un stealer de ex nu lasa urme la nivelul fisierelor ;)

practic daca vrei sa fi protejat trebuie sa testezi fiecare aplicatie noua inainte de a o instala pe sistem, intrucat mai nou orice malware are anti vm/sandbox etc(daca e bindat cu fisierul original a.i. in vm sa ruleze numa fisieru original iti iei o tzeapa de nu stii cum te cheama la instalarea pe sistemul normal) ai nev de un pc dedicat special pt teste altfel... esti la mila lu allah

antivirul ar fi bun doar in cazul in care poti obtine azi updateurile de anu viitor, altfel e doar un fel de anti-(noob)-virus

ID Install Watch

este asemeni cu systrace-ul + restore (daca ii gasesti un serial/crack ...lasa si mie pe pm pls)

Edited by Usr6
//
Posted

Salut, vad ca nu ati inteles unde bat eu. Atat scanarea din sistem si din afara sistemului s-ar face la difereta de minute, nu de luni. Eu ma refeream ca aia ar fi o metoda de detectie a rootkiturilor, nu o metoda de prevenire. Chestia asta ar fi o tehnica pentru a detecta, indeparta, si repara ceea ce deja au facut rootkiturile. Ganditi-va, un rootkit intercepteaza call-urile de sistem si sterge orice urma ale virusului, dupa care returneaza sistemului valoarea alterata, fara urmele virusului. Pentru a putea detecta rootkit-ul majoritatea anti rootkiturilor compara indexul vizibil primit de la sistemul de operare cu o scanare directa a hdd-ului astfel diferentele apar pe post de rootkits, dar aceasta metoda poate fi ocolita. In schimb daca intai vezi ce vede sistemul de operare si compari cu ce se vede din afara sistemului de operare, rootkitul v-a putea fi vazut usor.

Sper ca am explicat indeajuns de bine.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...