Опять вирус

  1. Weblancer
  2. Форум фрилансеров
  3. Общение
Владимир М.
578 сообщений
#15 лет назад
А что, если злобный хаkеP просканирует порты ноута моей благоверной и увидет что они у нее все открыты, то он сможет этим воспользоваться? иными словами если под вином не запущены никакие доп. или расширенные сервисы - его можно ломануть? (я имею ввиду именно лом путем неспецифичного обмена по не-http протоколам через нестандартные порты)\
Цитата ("voron_76"):
Если же троян уже подсажен, никакие порты сканировать не надо, он сам открывает канал наружу
а если троян кидает хозяину только айпи жертвы да при том по почте, а сам открывет один из набора заданных портов произвольно, при каждом запуске новый (допустим что-бы запутать следы) - тогда без сканирования не обойтись.
Роман К.
6970 сообщений
#15 лет назад
Цитата ("vladmax"):
А что, если злобный хаkеP просканирует порты ноута моей благоверной и увидет что они у нее все открыты, то он сможет этим воспользоваться? иными словами если под вином не запущены никакие доп. или расширенные сервисы - его можно ломануть? (я имею ввиду именно лом путем неспецифичного обмена по не-http протоколам через нестандартные порты)\

А никакие расширенные сервисы и не нужны - вполне достаточно дыр в стандартных. Я не думаю, что у неё все заплатки поставлены.

Цитата:
Цитата ("voron_76"):
Если же троян уже подсажен, никакие порты сканировать не надо, он сам открывает канал наружу
а если троян кидает хозяину только айпи жертвы да при том по почте, а сам открывет один из набора заданных портов произвольно, при каждом запуске новый (допустим что-бы запутать следы) - тогда без сканирования не обойтись.

Это да. Но на практике посылать IP жертвы смысла нет - в подавляющем большинстве случаев он динамичный, а во многих случаях - ещё и за NATом. Проще вытянуть с заданного адреса нужный набор утилит, который сделает всё, что нужно, без участия хозяина.
Владимир М.
578 сообщений
#15 лет назад
Да уж, сервиспаки у меня никто не ставит. коллекционируем дыры винды ))..
------------------
вы просто таки убедили всех нас и меня )). согласен с вами.
------------------
выход опять же один - заведите (это я к Людям в широком смысле слова) для вебмани-яндекс-рбк-телебанк-кошелька отдельный комп. ведь не смотря на собственную ценность автомобильного средства, которое стоит у вас около офиса вы не кладете в него на весь день барсетку\портмоне\сумочку (кто что)... так и сдесь - пусть уж если ломанут то утащют хистори переписки с Васей из одноклассников или квартальный отчет вашего ооо (у кого что), но кошель не получат...
Кирилл Г.
164 сообщения
#15 лет назад


Не знаю что это за файл такой, но при попытке его удалить, вот так меня выносит и сразу ругается. Unclocker его тоже не успевает перехватить. Если отрубить в процессах explorer, то ПК вообще виснет. Я короче не знаю что это такое и с чем его едят.
Александра Б.
8018 сообщений
#15 лет назад
Попробуйте фаром
Кирилл Г.
164 сообщения
#15 лет назад
Цитата ("Wildcat"):
Попробуйте фаром

Эээ.. а что это такое? ))
Роман К.
6970 сообщений
#15 лет назад
Вообще-то этот файл - временный у какой-то программы. Ничего страшного в нём нет.
Александра Б.
8018 сообщений
#15 лет назад
FAR manager
Михайлович А.
6 сообщений
#15 лет назад
А точно комп виснет? обычно при закрытии explorer комп не виснет. попробуй запустить Far, потом закрыть explorer, и потом уже удалить этот файл
Роман К.
6970 сообщений
#15 лет назад
Цитата ("Macaaa"):
А точно комп виснет? обычно при закрытии explorer комп не виснет. попробуй запустить Far, потом закрыть explorer, и потом уже удалить этот файл

Для непосвящённого отключение Эксплорера выглядит как зависание: значков нет, комп на клавиатуру не реагирует, на мышь - тоже...
Кирилл Г.
164 сообщения
#15 лет назад
Цитата ("voron_76"):
Цитата ("Macaaa"):
А точно комп виснет? обычно при закрытии explorer комп не виснет. попробуй запустить Far, потом закрыть explorer, и потом уже удалить этот файл

Для непосвящённого отключение Эксплорера выглядит как зависание: значков нет, комп на клавиатуру не реагирует, на мышь - тоже...

+1
Дмитрий О.
50 сообщений
#15 лет назад
Цитата ("Vitaflax"):
Объясните, как foto.jpg можно запустить, как exe? Если просматривать через программы-смотрелки, типа IrfanView.


Скорее всего, фокус с двойным расширением. Настоящее имя файла выглядит так: photo.jpg.exe, Винда по умолчанию отбрасывает .exe - получается photo.jpg, только как был он эксом, так и остался - и система запускает его как программу. Для того, чтобы этого не происходило надо включить отображение расширений.
Дмитрий О.
50 сообщений
#15 лет назад
Цитата ("Multisanti"):
Конечно ярлык я запускать не стал, мне интересно мог ли я заразиться открыв Foto.jpg через InfranView?


Нет, IrfanView не запускает, а открывает файлы. Чтобы заразиться, нужно, чтобы вирус запустился как программа
Роман К.
6970 сообщений
#15 лет назад
Цитата ("ITML"):
Цитата ("Vitaflax"):
Объясните, как foto.jpg можно запустить, как exe? Если просматривать через программы-смотрелки, типа IrfanView.

Скорее всего, фокус с двойным расширением. Настоящее имя файла выглядит так: photo.jpg.exe, Винда по умолчанию отбрасывает .exe - получается photo.jpg, только как был он эксом, так и остался - и система запускает его как программу. Для того, чтобы этого не происходило надо включить отображение расширений.

Нет. Читайте тему, где-то подробно описывался механизм внедрения этого зловреда.
В файле с расширением .jpg (реальным) находился бинарный исполнимый код. А вместе с ним прилагался ярлык, запускающий этот код через консоль. Пользователь пытался открыть файл редактором или просмотрщиком - у него ничего не получалось. Тогда он запускал ярлык (который, к тому же, был замаскирован под текстовый документ) - и код внедрялся в систему.
Ярлыков люди обычно не боятся - поэтому метод будет достаточно эффективен даже при отображении реального расширения файлов.
Дмитрий О.
50 сообщений
#15 лет назад
voron_76, Вы правы, прочитал тему полностью. Об этом методе тогда не подумал, первое, что пришло в голову - фокус с двойным расширением.
Александр С.
1050 сообщений
#15 лет назад
Цитата ("OlderSergeant"):
Ребята, у мя вот такой вопрос: вот минут 20 назад, сидел за компом смотрел макет, потом фаирвол выдал на меня атаку с 21:51:40 91.200.28.76 Подсеть заблокирована на 5 мин. SCAN (34052, 18693, 8710) , я пропустил квозь пальцы это дело. Через 5 минут, опачки, пк выдал синий фон, циферки забегали на две строчки и перезапустился. Затем фаер выдает что случилась какая-то ошибка и надо бы отослать отсчет. Я полез в процессы и нашел процесс, которого на днях я не видел, а именно – E_S10IC2.EXE (под администратором работает, я его в первый раз вырубил и затем сам перезапустил, он опять присутствует), именно на фоне всех exe мелкого регистра. Я полез в Temp, хотел его почистить, как сразу explorer выдает ошибку. Люди, подскажите!!!


Судя по описанию - у Вас Agnitum Outpost Firewall. В нем есть уязвимости, из-за которых вылетает синий экран.
Мои догадки:
1. Атакующий сканирует порты на Вашей машине (по умолчанию фаервол блокирует на 5 минут)
2. Пробует сканировать снова, не получается.
3. Если неудачи скана портов заканчиваются через 5 минут, значит атакующий понимает, что у Вас стоит Outpost.
4. Атакующий, знающий в нем уязвимость, подсовывает специально сформированные пакеты, запросы и т. д. Вашей машине, пытаясь вызвать ошибку фаервола.
5. ???
6. PROFIT

Регулярное обновление базы сигнатур фаервола закрывает в нем дыры. У меня сначала тоже перезагружался с синим экраном, пока я не обновил. А еще рекомендоваю регулярно обновлять винду.
Александр С.
1050 сообщений
#15 лет назад
Цитата ("OlderSergeant"):
Не знаю что это за файл такой, но при попытке его удалить, вот так меня выносит и сразу ругается. Unclocker его тоже не успевает перехватить. Если отрубить в процессах explorer, то ПК вообще виснет. Я короче не знаю что это такое и с чем его едят.


1. Не используйте explorer для работы с файловой системой. Это самый страшный файловый менеджер!
2. Если не получается удалить файл, делаем так:
2.1 заходим в свойства этого файла \ безопасность (если нет этого пункта, нужно зайти в панель управления \ свойства папки \ снять галку с "использовать простой общий доступ к файлам и папкам"... ) \ дополнительно \ снять галку наследования \ со всем согласиться и нажать везде на окей
дальше проверка на малварь идет:
2.2 завершить explorer.exe (завершайте не задачу, а процесс! Или выполните команду "taskkill /im explorer.exe /f", закрыть диспетчер задач и остальные ненужные приложения, сделать восстановление системных файлов (вставьте диск с дистрибутивом Вашей виндовс и запустите команду "sfc /scannow")
2.3 скопировать полное имя файла, и в редакторе реестра найти все записи и удалить подозрительные
2.4 проверить хотя бы эти разделы реестра на наличие подозрительностей:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

в этом разделе проверьте ключ Shell (должен быть explorer.exe) и userinit (должен быть C:\WINDOWS\system32\userinit.exe, (запятая должна быть тоже))
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

тут не должно быть либо ничего, либо библиотека Agnitum или Kaspersky
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows параметр AppInit_DLLs

если безопасный режим работает подозрительно, проверям раздел, в котором лежат параметры безопасного режима
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
2.5 перезагрузиться

Если не сложно, лучше сие вытворять в безопасном режиме.
Роман К.
6970 сообщений
#15 лет назад
Цитата ("LSD-Team"):
сделать восстановление системных файлов (вставьте диск с дистрибутивом Вашей виндовс и запустите команду sfc /scannow

Не поможет. На наиболее распространённых пиратках эта функция почему-то не видит дистрибутива.
Александр С.
1050 сообщений
#15 лет назад
Цитата ("voron_76"):
Цитата ("LSD-Team"):
сделать восстановление системных файлов (вставьте диск с дистрибутивом Вашей виндовс и запустите команду sfc /scannow

Не поможет. На наиболее распространённых пиратках эта функция почему-то не видит дистрибутива.


Если не работает "sfc /scannow", вновь идем в реестр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
смотрим параметр SourcePath, если нет, создаем и прописываем туда путь к компакт-диску, если не будет работать, прописываем путь до папки I386 на диске

Ежели лень лезть в реестр, ставим утилитку XPTweaker, в ней заходим в раздел "Система" \ вкладка "Система" ищем "Путь к дистрибутиву Виндофс ИксПи", прописываем или выбираем путь, потом идем в разделе "Система" на вкладку "Решение проблем", ищем и давим на кнопачку "Проверить" (запускается комманда "sfc /scannow", если ручками лень вводить)
Also с помощью этой же утилитки можно разблокировать диспетчер задач и реестр, если какая-нибудь тварь его заблокировала. Если нет утилитки, лезем в реестр.... что-то я уже достал с этим реестром.

SFC у меня работает, но я не помню, прописывал ли я этот путь... винду уже больше года назад ставил, запамятовал уже.
Роман К.
6970 сообщений
#15 лет назад
Цитата ("LSD-Team"):
Цитата ("voron_76"):
Цитата ("LSD-Team"):
сделать восстановление системных файлов (вставьте диск с дистрибутивом Вашей виндовс и запустите команду sfc /scannow

Не поможет. На наиболее распространённых пиратках эта функция почему-то не видит дистрибутива.

Если не не работает "sfc /scannow", вновь идем в реестр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
смотрим параметр SourcePath, если нет, создаем и прописываем туда путь к компакт-диску, если не будет работать, прописываем путь до папки I386 на диске

Пробовал. Не помогает.
Первая
3435363738
Последняя