Jump to content

GloBy

Members
  • Δημοσιεύσεις

    877
  • Εγγραφή

  • Αξιολογήσεις

    0%

Everything posted by GloBy

  1. Give it a try: http://www.it-jobs.stepstone.de/
  2. Καλησπέρα. Α. Δε με βοηθάει η εικόνα. Ήθελα το url (τουτέστιν, δεξί κλικ, ιδιότητες, διεύθυνση url). Β. Τα dialers, δεν τα βρήκε το NOD; (μου φαίνεται λιγάκι περίεργο - υποθέτω πως πρώτα κόλλησες τα ποπ-απ, μετά έκανες σκάν με το Νοντ και δεν βρήκε κάτι, και μετά ότι είχες κολλήσει σου έφερε τα dialers) Γ. Κι εγώ ελπίζω να σκόλασαν όλα (αν και στη θέση σου δε θα εμπιστευόμουν πλήρως το σύστημα με την πρώτη). Δ. Μην ευχαριστάς αγόρι μου, εσύ να'σαι καλά. Καλό βραδάκι. :)
  3. GloBy

    Trojan

    New Malware.n Type Trojan SubType Heuristic Discovery Date 08/01/2005 Length Varies Minimum DAT 4547 (08/01/2005) Updated DAT 4850 (09/12/2006) Minimum Engine 4.4.00 Description Added 08/01/2005 Description Modified 11/16/2005 3:50 PM (PT) This is a heuristic detection that detects a wide variety of malware. The detection was created to proactively protect users from new and unknown threats. Specific features and symptoms of the detected sample will vary. Files triggering this detection should be sent to AVERT for analysis.
  4. Tίποτα αγόρι μου, να'σαι καλά. :)
  5. O φάκελος μπορεί να διαγραφεί με το Unlocker. http://www.softpedia.com/get/System/System-Miscellaneous/Unlocker.shtml
  6. Σώπα αγορίνα μου που μας ζαλίζεις. Πάνε εδώ: http://files3.majorgeeks.com/files/85ffb002f52455e760e4c90cc3b71ac3/spyware/hijackthis.zip Κατέβασέ το, τρέξε το, και κράτησε ενα Log το οποίο και μας επισυννάπτεις (ταυτόχρονα, μπορείς και μόνο σου να το αναλύσεις στο http://www.hijackthis.de). Επίσης πες μου ποια εφαρμογή σου έδωσε το όνομα του αρχείου που σε μόλυνε.
  7. Καλησπέρα. Κάποιο νεότερο; Βιαστικός προχθές, αμέλησα να σου πω πως πως μπορείς να επισυννάψεις το log στην σελίδα http://www.hijackthis.de και, πατώντας το analyse, να έχει μια ανάλυση των διεργασιών που εκτελούνται στον υπολογιστή σου αλλά και όσων εκκινούν με την εκκίνηση του συστήματος. Εν συνεχεία, προσπάθησε να κάνεις ενα πλήρες scan με το Ewido (anti-malware). Θα συνιστούσα ένα εκ των προαναφερθέντων εφαρμογών, μα ήδη εξήγησα ποιο είναι το πρόβλημα. :)
  8. Δοκίμασε ότι είπε ο mcde. Επίσης, έχε κατά νου το εργαλείο SmitFraudFix v2.90 (WinXP, Win2K) http://siri.urz.free.fr/Fix/SmitfraudFix.zip Αφαιρεί τα: AdwarePunisher, AdwareSheriff, AlphaCleaner, Antispyware Soldier, AntivirusGolden, AVGold, BraveSentry, MalwareWipe, PestTrap, PSGuard, quicknavigate.com, Security iGuard, Smitfraud, SpyAxe, SpyFalcon, SpyGuard, SpyHeal, SpySheriff, Spyware Vanisher, Spyware Soft Stop, SpywareQuake, SpywareSheriff, SpywareStrike, Startsearches.net, TitanShield Antispyware, Trust Cleaner, UpdateSearches.com, Virtual Maid, VirusBlast, VirusBurst, Win32.puper, WinHound, eMedia Codec, HQ Codec, iCodecPack, IntCodec, Media-Codec, PornMag Pass, PCODEC, strCodec, X Password Manager, ZipCodec...
  9. Οχί μόνον οι Symbian, μα και οι Windows Mobile. Γενικευμένα, όσες συσκευές τρέχουν πλήρες λειτουργικό σύστημα.
  10. Καλημέρα. Προσπάθησε να δεις ποιο είναι το ακριβές μήνυμα σφάλματος. Δώσε μας ποια είναι η ιστοσελίδα στην οποία σε οδηγεί ο Internet Explorer. Δοκίμασε να κάνεις scan με κάποια πιο ισχυρή εφαρμογή όπως το Ewido, Spyware Doctor ή Spysweeper. Nα θυμάσαι, πως στις δοκιμαστικές τους εκδόσεις, πλέον, τα Spyware Doctor και Spysweeper είναι έτσι φτιαγμένα ώστε μόνο να εντοπίζουν και όχι να αφαιρούν. Για να αφαιρέσουν θεα πρέπει να περάσεις στην πλήρη έκδοση της εφαρμογής. Υ.α.γ Φιλική συμβουλή: Το format πρέπει να είναι η τελευταία λύση. Υ.β.γ Παλέψτε το! και αν δεν γνωρίζετε, ζητήστε βοήθεια. Υ.γ.γ Υπάρχουν τόσα forums dedicated γι'αυτό το σκοπό. :)
  11. Για αρχή έχεις το netmedia.exe Σύμφωνα με το http://www.bleepingcomputer.com/startups/netmedia.exe-15815.html δεν πρέπει να υπάρχει και οφείλεται σε κακόβουλη εφαρμογή. Θα σε συμβούλευα -δεν εχω πολύ χρονο να κοιτάξω πλήρως το λογκ τωρα- να τρέξεις καποια antispyware εφαρμογή. Τα καλύτερα ειναι τα Spysweeper και Spyware Doctor μα στις trial εκδόσεις απλά ανιχνεύουνε και δεν αφαιρούνε. Περισσότερα πιο μετά. Καλό μεσημέρι.
  12. Πήγαινε εδώ: http://files3.majorgeeks.com/files/85ffb002f52455e760e4c90cc3b71ac3/spyware/hijackthis.zip Εκτέλεσέ το, κράτησε ένα log, και επισυνναψέ το. Να δούμε τι είναι (αν ξεκινά κάτι με την εκκίνηση του υπολογιστή που δεν θα έπρεπε). Επίσης, μπορείς να μας πείς ποια ειναι η σελίδα αυτή; :)
  13. Kaspersky Internet Security. (To μόνο που αργεί: είναι το scan, για το οποίο όμως απο τις ρυθμίσεις μπορείς να κάνεις χρήση τεχνολογιών που ενσωματώνονται και επιτρέπουν την ανίχνευση μόνο όσων αρχείων έχουν τροποποιηθεί απο το τελευταίο scan. Αρκετά παραγωγικό. Και γενικά, απο τις σουίτες είναι η πιο ελαφριά) Απο εκεί και πέρα, υπάρχει στα σκαριά (ή καλύτερα, απλά την τελειοποιούν) η αντίστοιχη λύση προστασίας απο την ESET (την εταιρία που αναπτύσσει το NOD32). Επίσημες πληροφορίες στο θέμα δυστυχώς δεν έχω, ωστόσο, υποθέτω πως θα βγεί στον αέρα με τη νέα έκδοση του NOD32 (3). Κατά πάσα πιθανότητα θα ονομάζεται ESET Security Suite, θα παρέχει προστασία απο κάθε λογής απειλή και .. όσοι την δοκίμασαν είπαν πως θα είναι πανάλαφρη. Όπως άλλωστε είναι και το NOD. Φευγοντας από το θέμα σουίτες: Το NOD32 σε συνδυασμό μ'ενα καλό firewall (αν θέλεις κάτι παραπάνω απο το Firewall των XP), και ένα anti-spyware είναι απλά ότι χρειάζεσαι. Τέλος, ναι, το NOD αν μη τι άλλο αξίζει τα λεφτά του.
  14. Problem confirmed. Αυτή τη στιγμή όλα πάνε καλά. Υποθέτω κάποιο πρόβλημα των εξυπηρετητών.
  15. Αντώνη καλημέρα. θα σου συνιστούσα για αρχή και στο λάπτοπ να εγκαταστήσεις το NOD. Για λόγους καλύτερης εκμετάλλευσης των πόρων σου. Εν συνεχεία, θεωρώ πως με το Anti-Hacker (kaspersky) ρυθμισμένο στο training mode και εύκολο θα είναι στη χρήση, και ελαφρύ, και απο όσο θυμάμαι δεν αντιμετώπισα κάποιο πρόβλημα συμβατότητας. Για οποιαδήποτε απορία, στη διάθεσή σου. :)
  16. Λιγάκι καθυστερημένη απάντηση: Αν δεν κάνω λάθος, η συσκευή δεν πληρεί τις προυποθέσεις για να είναι σε θέση να μολυνθεί απο τον ιό. :)
  17. Την περασμένη Τρίτη, και στα πλαίσια του μηνιαίου κύκλου αναβαθμίσεων ασφάλειας, η Microsoft επιδιόρθωσε συνολικά 23 κενά ασφάλειας στα λειτουργικά συστήματα που υποστηρίζει, στις εφαρμογές γραφείου που αναπτύσσει καθώς και στον Internet Explorer. Το κενό ασφάλειας που πραγματεύεται το παρόν άρθρο είναι ένα από τα 16 που η εταιρία χαρακτήρισε ως κρίσιμα, μπορεί να εκμεταλλευθεί από κακόβουλους χρήστες χωρίς να απαιτείται οποιαδήποτε κίνηση από τον κάτοχο του ευάλωτου συστήματος ενώ στα μάτια κάποιων ειδικών ανταγωνίζεται το κενό ασφάλειας που οδήγησε στην επίθεση MSBlast το 2003! To κενό ασφάλειας επιδιορθώνεται από το security bulletin με κωδική ονομασία MS06-040 και υφίσταται στην υπηρεσία Server Service, ένα συστατικό των λειτουργικών συστημάτων της εταιρίας υπεύθυνο για την κοινή χρήση τοπικών πόρων όπως π.χ. σκληροί δίσκοι ή εκτυπωτές. Την κρισιμότητά του ανέδειξε πριν μερικές ημέρες το Department of Homeland Defense με μία σπάνια κίνηση-ανακοίνωση με την οποία προέτρεψε τους χρήστες να προβούν άμεσα στην εφαρμογή του patch. Την ίδια στιγμή, σύμφωνα με δηλώσεις του διευθυντή προγράμματος στο Κέντρο Ερευνών Ασφάλειας της Microsoft, η Microsoft αν και συνηθίζει να συνιστά στους πελάτες της την άμεση εφαρμογή κάθε αναβάθμισης που χαρακτηρίζεται ως κρίσιμη, δίνει σαφή προτεραιότητα στην άμεση εγκατάσταση της συγκεκριμένης αναβάθμισης. Ο Adrian Stone τόνισε πως η εταιρία θα κάνει ότι περνά από το χέρι της ώστε οι πελάτες της να λάβουν την συγκεκριμένη αναβάθμιση με την υψηλότερη δυνατή προτεραιότητα. Για να το πετύχει αυτό, η Microsoft έκανε χρήση των δυνατοτήτων που της προσφέρει το σύστημα αναβάθμισης των Windows. Όπως ο κ. Stone δήλωσε, με το σύστημα windows update η εταιρία μπορεί να δώσει άμεση προτεραιότητα σε όποια αναβάθμιση ασφάλειας επιθυμεί ώστε να διασφαλίσει την καλύτερη δυνατή διανομή του διορθωτικού κώδικα. Για το λόγο αυτό, όσοι από εσάς δεν είδατε ακόμη στους υπολογιστές σας τις υπόλοιπες αναβαθμίσεις αυτού του μήνα, μην ανησυχείτε καθώς τα updates «έρχονται» και η μέχρι στιγμής απουσία του είναι άκρως φυσιολογική. Πηγή: :cool:
  18. Είναι ίσως το σημαντικότερο –μέχρι το επόμενο- κενό ασφάλειας που εμφανίστηκε στα Windows λειτουργικά συστήματα μέσα στο 2006 και αφορά την υπηρεσία Server Service. Στα μάτια κάποιων ειδικών ανταγωνίζεται το κενό ασφάλειας που οδήγησε στην επίθεση MSBlast το 2003! Την κρισιμότητά του ανέδειξε πριν μερικές ημέρες το Department of Homeland Defense με μία σπάνια κίνηση-ανακοίνωση με την οποία προέτρεψε τους χρήστες να προβούν άμεσα στην εφαρμογή της αναβάθμισης ασφάλειας. Την ίδια στιγμή η Microsoft κάνει ότι μπορεί ώστε όλοι -εάν εφικτό- να εγκαταστήσουν, τουλάχιστον, τη συγκεκριμένη αναβάθμιση. Ο λόγος; Ένα νέο σκουλήκι (worm) που εκμεταλλεύεται το κενό ασφάλειας MS06-040 για να μολύνει ολοένα και περισσότερους υπολογιστές δημιουργώντας ένα Botnet δίκτυο. Ελάτε να γνωρίσουμε καλύτερα την κακόβουλη εφαρμογή (και την πρώτη της παραλλαγή), να μάθουμε πως θα προστατευθούμε αλλά και πώς θα αναγνωρίσουμε το worm, πως αφαιρείται, ποιες είναι οι ζημιές που μπορεί να προκαλέσει, κ.α. Malware Analysis: Η ταυτότητα του ιού Όνομα: CME-762 [Common Malware Enumeration], CME-482 [Common Malware Enumeration], WORM_IRCBOT.JK [Trend Micro], WORM_IRCBOT.JL [Trend Micro], W32.Wargbot [symantec], IRC-Mocbot!MS06-040 [McAfee], Cuebot.J [Computer Associates], W32/Cuebot-L [sophos], IRCBot.ST [F-Secure]. Τύπος: Worm / Backdoor Όνομα αρχείου: wgareg.exe Μέγεθος αρχείου: 9.609 bytes MD5: 9928a1e6601cf00d0b7826d13fb556f0 SHA1: 352a276346eabde7bfce9efee732a973e0d26baa Malware Analysis: Το ιστορικό To Mocbot εμφανίστηκε για πρώτη φορά στα τέλη του 2005 χρησιμοποιώντας το MS05-039 PNP κενό ασφάλειας για να εξαπλωθεί. Αν κανείς εξαιρέσει τα signatures των antivirus εταιριών, το Mocbot έλαβε ελάχιστη προσοχή καθώς πρόκειται ουσιαστικά για ένα συνηθισμένο IRC Bot συν το γεγονός ότι δεν αποτέλεσε την πρώτη κακόβουλη εφαρμογή που προσπάθησε να εκμεταλλευθεί το MS05-039 κενό ασφάλειας. Όμως, μετά από τόσους μήνες και κατά έναν περίεργο τρόπο, η νέα αυτή εκδοχή χρησιμοποιεί τους ίδιους IRC server hostnames για την λειτουργία του μηχανισμού εντολοδότησης και ελέγχου Εν μέρει συνδράμει το χαμηλό προφίλ που διατήρησε, όμως, κανείς δε μπορεί να αγνοήσει το γεγονός πως οι hostnames και οι ip διευθύνσεις που το Mocbot χρησιμοποιεί στεγάζονται όλοι στην Κίνα. Παραδοσιακά, οι κινέζικοι ISPs αλλά και οι κυβερνητικοί φορείς της χώρας είναι κάτι λιγότερο από συνεργάσιμοι όσων αφορά την καταπολέμηση κακόβουλων εφαρμογών και/ή επιθέσεων που στεγάζονται και ελέγχονται στα δίκτυά τους. Malware Analysis: Προληπτικά μέτρα προστασίας Εγκαταστήστε την αναβάθμιση ασφαλείας που επιδιορθώνει το πρόβλημα που περιγράφεται στο MS06-040 security bulletin. Μην ξεχάσετε να επανεκκινήσετε το/τα σύστημα/τα. Αναβαθμίστε την antivirus προστασίας σας. Malware Analysis: Ποια λειτουργικά συστήματα επηρεάζονται Αν και το κενό ασφάλειας υφίσταται σε κάθε Service Pack των λειτουργικών συστημάτων Windows XP/2003/2000/NT, το exploit δεν φαίνεται να λειτουργεί σε Windows XP με SP2 ή Windows 2003 με SP1. Οι κάτοχοι των υπολοίπων εκδόσεων Windows XP/2003/2000/NT διατρέχουν τον υψηλότερο κίνδυνο. Γενικευμένα, η τεχνική ανάλυση του worm από την Symantec τονίζει πως υπολογιστές που τρέχουν τα ακόλουθα λειτουργικά μπορούν να μολυνθούν: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Malware Analysis: Εγκατάσταση. Μόλυνση. Δράση. Όταν εκτελεστεί δημιουργεί ένα Mutex με την ονομασία «wgareg» για να αποτραπεί η εκτέλεση δύο ή περισσοτέρων αντιγράφων του. Την ίδια στιγμή ελέγχει για την υπηρεσία «wgareg» και αν εκείνη είναι ενεργή παραλείπει την διαδικασία εγκατάστασης. Στην φάση εκκίνησης δημιουργεί ένα thread που εξετάζει την ύπαρξη ή μη ενεργού debugger, και αν εντοπίζει κάποιον, τερματίζει την διεργασία του. Λίγο πριν την «έξοδο», κωδικοποιεί τον κώδικά του με την ίδια διαδικασία που χρησιμοποίησε στην φάση έναρξης για να αποκωδικοποιηθεί. Κατά την διαδικασία εγκατάστασης, αντιγράφει τον εαυτό μου στον φάκελο συστήματος των Windows (συνήθως C:\Windows\System32\ ) με ονομασία wgareg.exe ενώ δημιουργεί για το αρχείο αυτό μια με υπηρεσία με το ακόλουθο όνομα και περιγραφή: Windows Genuine Advantage Registration Service Ensures that your copy of Microsoft Windows is genuine and registered. Stopping or disabling this service will result in system instability. Εν συνεχεία τροποποιεί αρκετές ρυθμίσεις του Μητρώου (registry), συμπεριλαμβανομένων και αυτών που αφορούν το Κέντρο Ασφάλειας αλλά και το Firewall των Windows. Κάποιες, και/ή όλες, από τις ακόλουθες τιμές κλειδιών καθορίζονται: HKEY_LOCAL_MACHINE\software\microsoft\ole\enabledcom: REG_SZ = "n" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\restrictanonymous: REG_DWORD = 1 HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\restrictanonymoussam: REG_DWORD = 1 HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters\autoshareserver: REG_DWORD = 0 HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters\autosharewks: REG_DWORD = 0 HKEY_LOCAL_MACHINE\software\microsoft\security center\antivirusdisablenotify: REG_DWORD = 1 HKEY_LOCAL_MACHINE\software\microsoft\security center\antivirusoverride: REG_DWORD = 1 HKEY_LOCAL_MACHINE\software\microsoft\security center\firewalldisablenotify: REG_DWORD = 1 HKEY_LOCAL_MACHINE\software\microsoft\security center\firewalldisableoverride: REG_DWORD = 1 HKEY_LOCAL_MACHINE\software\policies\microsoft\windowsfirewall\domainprofile\enablefirewall: REG_DWORD = 0 HKEY_LOCAL_MACHINE\software\policies\microsoft\windowsfirewall\standardprofile\enablefirewall: REG_DWORD = 0 Όταν ενεργοποιηθεί, προσπαθεί να συνδεθεί σε έναν από τους ακόλουθους IRC Servers στην TCP πόρτα 18067: bniu.househot.com: (the main one) 61.189.243.240 202.121.199.200 210.75.211.111 211.154.135.30 218.61.146.86 58.81.137.157 61.163.231.115 [*]ypgw.wallloan.com: (the fallback one) 58.81.137.157 61.163.231.115 61.189.243.240 202.121.199.200 211.154.135.30 218.61.146.86 Malware Analysis: Δράση και συνέπειες Αφότου ενεργοποιηθεί δημιουργεί ένα τυχαίο nickname, συνδέεται σε ένα password-protected κανάλι, το #n1, και περιμένει εντολές από τον χειριστή του καναλιού. Ένας απομακρυσμένος κακόβουλος χρήστης που πιθανά το ελέγχει, μπορεί να κάνει κάθε μία κίνηση από τις ακόλουθες: Να εκτελέσει οποιοδήποτε αρχείο στεγάζεται στον απομακρυσμένο (μολυσμένο) υπολογιστή. Να ανανεώσει το κακόβουλο αρχείο δια του διαδικτύου. Να απενεργοποιήσει και απεγκαταστήσει το backdoor. Να αναζητήσει αρχεία στον απομακρυσμένο (μολυσμένο) υπολογιστή. Να δημιουργήσει ένα απομακρυσμένο command shell. Nα κάνει Flush την DNS cache Να αποστείλει εντολές σε ένα AIM (AOL Instant Messenger) παράθυρο. Να συνδεθεί σε διαφορετικό IRC server. Να δημιουργήσει έναν απλό proxy Να εκτελέσει SYN flood Να εκτελέσει μία DDoS (Distributed Denial of Service) επίθεση Να μεταδοθεί σε άλλου ευάλωτους υπολογιστές χρησιμοποιώντας την ίδια αδυναμία (MS06-040 Όταν ο επιτιθέμενος χρήστης εκκινήσει αναζήτηση σε προκαθορισμένη σειρά ip διευθύνσεων, προσπαθεί να συνδεθεί στην επιλεγμένη διεύθυνση και να αποστείλει τον κακόβουλο κώδικα. Αν ο απομακρυσμένος υπολογιστής είναι ευάλωτος στην συγκεκριμένη ευπάθεια τότε μολύνεται και αυτός. Malware Analysis: Αφαίρεση. Απεγκατάσταση. Ανάκαμψη. Η γενικευμένη οδηγία είναι να εγκαταστήσετε την αναβάθμιση ασφάλειας που αντιμετωπίζει την ευπάθεια της υπηρεσίας Server Service. Από εκεί και μετά, θα παρατηρήσετε πιθανώς πως κάθε φορά που τερματίζετε την διεργασία, εκείνη εκκινείται στιγμιαία, ξανά. Η εταιρία eEye δίνει τις ακόλουθες συμβουλές με χρήση του Faultmon: Ανοίξτε το παράθυρο διεργασιών: Πίνακας Ελέγχου, Εργαλεία διαχείρισης, Υπηρεσίες. (services.msc) Επιλέξτε την διεργασία με ονομασία: «Windows Genuine Advantage Registration Service». Κάντε δεξί κλικ πάνω σε αυτή και εν συνεχεία επιλέξτε ιδιότητες. Τροποποιήστε τον τύπο εκκίνησης επιλέγοντας «Ανενεργός». Στην καρτέλα «Αποκατάσταση» τροποποιήστε τα drop-down menu ώστε οι επιλεγμένες τιμές να εμφανίζουν «Καμία ενέργεια». Ανοίξτε την διαχείριση εργασιών των Windows (Task Manager) και βρείτε την διεργασία «wgareg.exe». Εκτελέστε το Faultmon.exe PID, όπου PID είναι το ID της διεργασίας «wgareg.exe». Η διεργασία θα τερματιστεί όταν εντοπίσει τον debugger. Για να εντοπίσετε τον αριθμό PID της διεργασίας, ανοίξτε τον Task Manager. Από το μενού «Προβολή» επιλέξτε «Επιλογή στηλών» και τσεκάρετε την επιλογή «Αναγνωριστικό διεργασίας (PID)». Τέλος, όπως σας αναφέραμε, η κακόβουλη εφαρμογή δημιουργεί κάποια κλειδιά στο μητρώο του συστήματος ενώ τροποποιεί κάποια άλλα. Αντιπαραθέστε τις τιμές των ακόλουθων κλειδιών με αυτές ενός μη μολυσμένου συστήματος, και επαναφέρετέ τες στην προκαθορισμένη μορφή τους: HKEY_LOCAL_MACHINE\software\microsoft\ole\enabledcom HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\restrictanonymous HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa\restrictanonymoussam HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters\autoshareserver HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters\autosharewks HKEY_LOCAL_MACHINE\software\microsoft\security center\antivirusdisablenotify HKEY_LOCAL_MACHINE\software\microsoft\security center\antivirusoverride HKEY_LOCAL_MACHINE\software\microsoft\security center\firewalldisablenotify HKEY_LOCAL_MACHINE\software\microsoft\security center\firewalldisableoverride HKEY_LOCAL_MACHINE\software\policies\microsoft\windowsfirewall\domainprofile\enablefirewall HKEY_LOCAL_MACHINE\software\policies\microsoft\windowsfirewall\standardprofile\enablefirewall Τα βήματα που αναφέρθηκαν μέχρι στιγμής θα εξουδετερώσουν την κακόβουλη εφαρμογή, ωστόσο, η εταιρία θεωρεί πως για να είστε σε θέση να εμπιστευθείτε πλήρως ένα σύστημα καλό θα ήταν να ξεκινήσετε με μία νέα και επιδιορθωμένη (patched) έκδοση. Πηγή: ;)
  19. GloBy

    whitepages

    Καλησπέρα. EasyTarget, πριν απο λίγο που (ξανά) χρησιμοποιήσα την υπηρεσία, τα πάντα λειτουργησαν φυσιολογικά: Τόσο η αναζήτηση με βάση τον τηλεφωνικό αριθμό όσο και αυτή με βάση το ονοματεπώνυμο. :)
  20. You can try: http://www.emule-project.net
  21. Theka, ευχαριστώ θερμά για την διόρθωση. :)
  22. Ο ιός Commwarrior.Q δεν αποτελεί μια απλή παραλλαγή του Commwarrior.B, όπως οι περισσότεροι τύποι ιών που έχουν λάβει οι ερευνητές στα εργαστήρια της F-Secure (από όπου και προέρχεται η πλειοψηφία των πληροφοριών του παρόντος κειμένου). Πρόκειται για ένα νέο σκουλήκι (worm), βασισμένο στον ιό Commwarrior C, με τις ίδιες ιδιότητες αλλά και πολλές νέες δυνατότητες. Όνομα: Commwarrior.Q Άλλες ονομασίες: SymbOS/Commwarrior.Q, CommWarrior worm v3.0, CW3 Τύπος: Σκουλήκι (Worm) Κατηγορία: Ιός (Virus) Πλατφόρμα: Symbian OS (Symbian Operating System) εκδόσεις 8.1 και παλαιότερες Χώρα προέλευσης: Ρωσία Ημερομηνία ανακάλυψης: Αυγούστου 01, 2006 1. Ποια λειτουργικά συστήματα / κινητά τηλέφωνα επηρεάζει; Ο Commwarrior.Q επηρεάζει μόνο τις συσκευές κινητής τηλεφωνίας Symbian Series 60 που χρησιμοποιούν το λειτουργικό σύστημα Symbian OS έκδοση 8.1 ή παλαιότερη. Αυτό σημαίνει πως το τελευταίο μοντέλο κινητών τηλεφώνων που θα επηρεαστεί είναι το Nokia N72. Συσκευές που χρησιμοποιούν το λειτουργικό σύστημα Symbian OS έκδοση 9.0, όπως τα Nokia E70 και Nokia 3250 δεν θα επηρεαστούν από τον ιό. 2. Το χρονικό μιας μόλυνσης: Πως μεταδίδεται, πως μολύνει, πως εγκαθίσταται; Αν και μεταδίδεται αυτοματοποιημένα, ο Commwarrior.Q δεν μπορεί να μολύνει άλλες συσκευές κινητής τηλεφωνίας. Στην οθόνη του χρήστη θα εμφανιστεί μήνυμα που θα του ζητήσει την αποδοχή του μολυσμένου SIS αρχείου. Την αποδοχή θα ακολουθήσει ένα νέο μήνυμα ασφαλείας. Όταν ο χρήστης απαντήσει θετικά σε αυτό, ο Commwarrior.Q θα ξεκινήσει να εκτελείται. Ας δούμε όμως αναλυτικά πως δρα ο ιός. 2.1 Δημιουργία SIS αρχείων εγκατάστασης προς αποστολή σε άλλες συσκευές Ο Commwarrior.Q αναπαράγει τον εαυτό του σε SIS πακέτα εγκατάστασης που αποστέλλει σε άλλες συσκευές μέσω ασύρματης σύνδεσης Bluetooth ή μηνυμάτων πολυμέσων (MMS), με τον ίδιο τρόπο που χρησιμοποιούσαν οι προηγούμενες παραλλαγές του. Τα SIS αρχεία που δημιουργούνται φέρουν τυχαία ονόματα, όπως για παράδειγμα: anyrah5y.sis ή xyr88b0muh7.sis. Αυτά τα αρχεία περιέχουν το «σώμα» του worm, έχουν μέγεθος που κυμαίνεται από 32100 έως 32200 bytes και συνήθως θα τα βρείτε στη διαδρομή C:\ ή σε κάποιο κατάλογο με τυχαίο όνομα. Σε αντίθεση με τις προηγούμενες παραλλαγές του Commwarrior, η «Έκδοση Q» δεν χρησιμοποιεί κάποιο σταθερό όνομα προϊόντος, όνομα το οποίο εμφανίζεται κατά την διάρκεια της εγκατάστασης. Περιέχει μια σειρά στοιχείων για την παραγωγή τυχαίων πλην όμως αληθοφανών ονομάτων αρχείων. Επιλέγοντας από τις ακόλουθες τρεις σειρές στοιχείων, η ταυτοποίηση / αναγνώριση γίνεται ακόμη πιο δύσκολη: smart, nokia, symbian, nice, fatal, cool, c00l, virtual, final, safe, abstract, static, zend, jedi, trend, micro, mega, hard, nice, good, lost. www, web, wap, e-mail, mail, game, graphics, java, hood, sex, max, audio, memory, RAM, ROM, HDD, WinAmp, jedi, hardware, display, keyboard, key. antivirus, anti-virus, guard, ****er, hacker, *****er, checker, driver, manager, uninstaller, remover, engine, tool, machine ,box, stuff, videoplayer, player ,trust, ringtone, explorer, timer, game, AppMan, recorder, dictaphone, team, images, calculator, objects, documents, clips, docs. 2.2 Μετάδοση μέσω Bluetooth Ο Commwarrior.Q αναπαράγει και αποστέλλει τον εαυτό του κάνοντας χρήση ασύρματης σύνδεσης Bluetooth σε αρχεία SIS που φέρουν τυχαία ονόματα. Όταν σε μια μολυσμένη συσκευή το worm είναι ενεργό, ξεκινά την αναζήτηση άλλων συσκευών με ενεργοποιημένη σύνδεση Bluetooth και αποστέλλει ταυτόχρονα, σε κάθε μια συσκευή που ανιχνεύσει, αντίγραφο του εαυτού του που εμπεριέχει εντολές και ρυθμίσεις αυτόματης εκκίνησης για αυτοματοποιημένη εγκατάσταση. Εάν η συσκευή-στόχος βρεθεί εκτός εμβέλειας ή δεν αποδεχθεί το αρχείο, o Commwarrior.Q θα ψάξει για νέες συσκευές. Ο μηχανισμός αναπαραγωγής και μετάδοσης του Commwarrior.Q διαφέρει από το μηχανισμό του Cabir καθώς εκείνος κλειδώνει τον στόχο σε μία συσκευή-θύμα. 2.3 Μετάδοση μέσω MMS (Μηνύματα Πολυμέσων) Ο Commwarrior.Q διαθέτει και χρησιμοποιεί τρεις διαφορετικές στρατηγικές στην προσπάθειά του να εξαπλωθεί μέσω μηνυμάτων MMS: Όταν ο Commwarrior.Q ξεκινήσει, επισκέπτεται το βιβλίο διευθύνσεων της συσκευής και αποστέλλει μηνύματα πολυμέσων σε κάθε αριθμό που εντοπίζει και είναι χαρακτηρισμένος ως αριθμός κινητού τηλεφώνου. Ο Commwarrior.Q παρακολουθεί σιωπηλά κάθε εισερχόμενο MMS και SMS και απαντά σε κάθε ένα από αυτά με ένα μήνυμα πολυμέσων που εμπεριέχει το Commwarrior.Q SIS αρχείο. Ο Commwarrior.Q παρακολουθεί σιωπηλά κάθε εξερχόμενο SMS και, αμέσως μετά την αποστολή του, αποστέλλει ένα μήνυμα πολυμέσων. Τα κείμενα που αποστέλλει ο Commwarrior.Q στα MMS μηνύματα είναι κείμενα που ήδη υπάρχουνε στον φάκελο εισερχομένων της συσκευής. Με αυτό τον τρόπο, οι παραλήπτες των μηνυμάτων λαμβάνουν μηνύματα που ενδέχεται να περιμένουν από τον αποστολέα. 2.4 Μετάδοση και αντιγραφή σε MMC κάρτες Ο Commwarrior.Q παρακολουθεί για τυχόν εισαγωγή MMC καρτών μνήμης στην συσκευή ώστε να αντιγράψει τον εαυτό του στην κάρτα. Η μολυσμένη πλέον κάρτα θα περιέχει τόσο το εκτελέσιμο αρχείο του worm όσο και το συστατικό με τις εντολές για την αυτόματη φόρτωση του προγράμματος έτσι ώστε να μολυνθεί και η επόμενη συσκευή στην οποία θα εισαχθεί η κάρτα μνήμης. 2.5 Μετάδοση με μόλυνση άλλων SIS αρχείων O Commwarrior ψάχνει το δίσκο C: της συσκευής και τυχόν κάρτες μνήμες για SIS αρχεία εγκατάστασης τα οποία μολύνει μόλις τα εντοπίσει. Όταν ο κάτοχος της συσκευής προσπαθήσει να εγκαταστήσει τα μολυσμένα πλέον αρχεία SIS, πρώτα θα εγκαταστήσει τον Commwarrior και αμέσως μετά την αρχική εφαρμογή. Τα μολυσμένα αρχεία διατηρούν το αρχικό όνομα προϊόντος έτσι ο χρήστης δεν είναι σε θέση να διαπιστώσει την μόλυνση. 2.6 Μόλυνση Όταν το αρχείο SIS του Commwarrior.Q εγκατασταθεί, θα αφήσει το εκτελέσιμο αρχείο του με τυχαίο όνομα, για παράδειγμα 5k8jb1fo.exe, είτε στην διαδρομή C:\ είτε σε έναν κατάλογο που φέρει τυχαία ονομασία όπως C:\uqxo5dh7xtyc5. 2.7 Εγκατάσταση Όταν το εκτελέσιμο αρχείο του Commwarrior.Q εκτελεστεί θα αντιγράψει τον εαυτό του στην διαδρομή C:\System\Libs\cw.exe και θα δημιουργήσει ένα αρχείο με τις εντολές για τη φόρτωση του προγράμματος στη διαδρομή C:\System\Recogs\cw3rec.mdl. Εάν στην συσκευή βρίσκεται ενσωματωμένη μια κάρτα μνήμης, τότε τα ίδια αρχεία δημιουργούνται και σε αυτήν. 3. Ποιες είναι οι συνέπειες του CommwarriorQ στη συσκευή μου; 3.1 Εμφάνιση html μηνύματος σε τυχαία χρονική στιγμή Από τη στιγμή που ο Commwarrior.Q μολύνει τη συσκευή, μετά από τυχαίο χρονικό διάστημα καθυστέρησης, δημιουργεί μια HTML ιστοσελίδα η οποία θα εμφανιστεί στον χρήστη χρησιμοποιώντας τον προεπιλεγμένο browser της συσκευής. Η HTML σελίδα δημιουργείται στον κατάλογο C:\system\Libs\cwinfo.html και περιέχει το ακόλουθο μήνυμα στην αγγλική γλώσσα: Introduction Surprise! Your phone infected by CommWarrior worm v3.0. Matrix has you, CommWarrior inside. No panic please, is it very interesting to have mobile virus at own phone. This worm does not bring any harm to your phone and your significant data. About CommWarrior CommWarrior worm for Nokia Series60 provides automatic real-time protection against harmful Anti-Virus content. CommWarrior is free software and is distributed in the hope that it will be useful, without any warranty. Thank you for using CommWarrior. CommWarrior © 2005-2006 by e10d0r 3.2 Συνεχής αποστολή μηνυμάτων πολυμέσων Στην προσπάθεια για διάδοση του, ο Commwarrior.Q αποστέλλει μεγάλο αριθμό μηνυμάτων MMS 3.3 Αντικατάσταση του λογότυπου του πάροχου υπηρεσιών (provider) O Commwarrior.Q δημιουργεί ένα αρχείο εικόνας bitmap με ονομασία όμοια με αυτή που χρησιμοποιεί ο τρέχων πάροχος και το αποθηκεύει στη διαδρομή: C:\system\Apps\Phone\oplogo\. Το αρχείο bitmap εμφανίζεται στη θέση του λογότυπου του πάροχου υπηρεσιών κινητής τηλεφωνίας όταν η συσκευή βρίσκεται εντός δικτύου. 4. Πως μπορώ να αφαιρέσω από το κινητό μου τηλέφωνο τον Commwarrior.Q; 4.1 Οδηγίες τερματισμού διεργασίας Εγκαταστήστε κάποιον File Explorer, όπως για παράδειγμα ο FExplorer. Εκκινήστε την εφαρμογή. Επιλέξτε και αντιγράψτε ένα τυχαίο αρχείο. Περιηγηθείτε στα αρχεία συστήματος με το πλήκτρο πλοήγησης. Πιέστε προς τα δεξιά για να εισέλθετε στον κατάλογο, προς τα αριστερά για να αφήσετε τον κατάλογο. Επιλέξτε C: και πιέστε προς τα δεξιά, επιλέξτε τον φάκελο System και πιέστε ξανά προς τα δεξιά. Επιλέξτε ένα τυχαίο αρχείο από το φάκελο C:\System, όπως για παράδειγμα το backup.xml Επιλέξτε Edit/Copy από το μενού. [*]Αντιγράψτε το αρχείο στον φάκελο: E:\system\temp Πιέστε αριστερά έως ότου βρεθείτε στην κεντρική οθόνη επιλογής. Επιλέξτε Ε: και πιέστε προς τα δεξιά. Επιλέξτε System και πιέστε δεξιά, εν συνεχεία επιλέξτε temp και πιέστε ξανά προς τα δεξιά. Επιλέξτε Edit/Paste από το μενού. [*]Μετονομάστε το αρχείο σε «noboot» [*]Επιλέξτε File/Rename από το μενού. [*]Αλλάξτε το όνομα του αντιγραμμένου αρχείο σε «noboot». [*]Ξεκινήστε ξανά τη συσκευή σας (reboot). 4.2 Χρήση αntivirus εφαρμογής Εν συνεχεία εγκαταστήστε κάποια antivirus εφαρμογή που να ανιχνεύει τον ιό, για να ολοκληρώσετε τη διαδικασία.
  23. Αν καταλαβα καλά: Κλείσε όλα τα παραθυρα Internet Explorer. Ανοιξε ένα νέο παράθυρο Internet Explorer. Πήγαινε: Προβολη - Μέγεθος κειμένου και επέλεξε Μεσαίο μέγεθος. Κλείσε το παράθυρο. Ανοιξε ένα νέο παράθυρο, και ξαναπροσπάθησε να δεις τις σελίδες που εμφανίζουν πρόβλημα.
  24. Kαλημέρα. Άνοιξε τον Internet Explorer. Πήγαινε στην καρτέλα «Εργαλεία» και επέλεξε «Επιλογές Internet». Στο παράθυρο που θα εμφανιστεί επέλεξε την καρτέλα «Περιεχόμενο». Στην καρτέλα αυτή, στο τμήμα «Προσωπικές πληροφορίες» υπάρχει ένα κουμπί με τίτλο «Αυτόματη καταχώρηση». Κλίκαρέ το. Απο εδώ, διαγράφεις ότι θέλεις μα επιλέγεις και το μέλλον της δυνατότητας. Καλή μας ημέρα και καλή εβδομάδα. :)
  25. Well, χαίρομαι που δουλεύει, μα!, όσο οι εκδόσεις ανεβαίνουν σε νούμερα, οι αποδόσεις δεν βελτιώνονται. Υπάρχουν περιπτώσεις απο ξένα φορά υποστήριξης όπου αποδεδειγμένα σε πολλα προβλήματα ευθύνοταν η εφαρμογή. Ενυγουεη, είναι λιγάκι περίπλοκο. Αυτά όσων αφορά το δικό μου σχόλιο. Επι του θέματος, ο φίλος μας εχει εγκατεστημένο το Kaspersky Internet Security με ενσωματωμένο Firewall και IDS, εξού και η συμβουλή «Δεν το χρειάζεσαι» και ακολούθως το προσωπικό σχόλιο. Δυο antivirus να τρέχουν μαζί... οφ δε ρέκορντ και χωρίς να το συνιστώ σε κανέναν, ΓΙΝΕΤΑΙ!, μα... δυο firewall Να εκτελούνται ταυτόχρονα, εκεί είναι πιο περίεργα τα πράγματα. :)
×
×
  • Create New...