Paczki, malware, złośliwe pliki, linki itp.

[zbyszek]

Ja już też nic nie testuje. Zostaje przy takim zabezpieczeniu jakie mam .

[VenomX]

Cześć, ja też już nie testuję, bo komp mi zwolnił od tego instalowania ;(
Idę go czyścić.

Przed takimi testami warto zrobić kopie systemu . Nie musiałbyś czyścić...

[Pablosss]

Wystarczy zainstalować Returnil i uruchomić go przed rozpoczęciem testu ( pamiętając o restarcie PC co program sam proponuje ) - nic prostszego

[Ratatui]

Ja się nabijam z forumowiczów , którzy pisali bardzo niepochlebne zdania na temat Nortona .. Ja go zawsze broniłem gdyż uważałem/uważam , że jest to dobry antywirus .

Zrób tak: wgraj sobie NIS2009, a potem ściągnij tę paczkę:

[Aby zobaczyć linki, zarejestruj się tutaj]

Przeskanuj ją Nortonem, a na pliki, których nie usunie, klikaj. Święcie mu wierzysz, więc się nie obawiaj. Nie zainfekujesz komputera, bo przecież wszystkie wirusyusunie.

Dobrze jednak radzę, jak już sobie poklikasz, to odinstaluj Nortona, wgraj KIS 2009 i pozwól mu usunąć wszystko, co Norton wpuścił. Powiem tylko tyle: będzie tego dużo, lecz KIS sobie poradzi. Zrób ten eksperyment i nie mędrkuj więcej.

Zainstalowałem trial NIS 2009 90 - dniowy z płyty PC World. Ściągnąłem tą paczkę z megaupload. Po ustawieniu największej czułości skanera przeskanowałem tą paczkę i zostało 12 plików, których nie wykrył w skanowaniu. Kliknąłem dwa razy na nie aby je uruchomić i... NIS jest zablokował - usunął. Wszystkie 12 plików, które nie usunął w skanowaniu uruchomiłem i taka sama procedura była. Odinstalowałem NIS 2009, zainstalowałem KIS 2009 z CHIP - a i nic nie wykrył... Więc o co chodzi?

[VenomX]

Chodzi o to , że często ludzie n tym forum bzdury piszą .

[Jurek]

Odinstalowałem NIS 2009, zainstalowałem KIS 2009 z CHIP - a i nic nie wykrył... Więc o co chodzi?

Nie wiem, czy dobrze rozumiem? KIS nie wykrył żadnego wirusa w paczce?

[zord]

Strona z trojanem jak by ktoś chciał zobaczyć jedną z technik przemycenia trojana do systemu

UWAGA WCHODZISZ NA WŁASNE RYZYKO I NIE INSTALOWAĆ TEGO
na stronę najlepiej wchodzić z sandboxowanej przeglądarki

Kod:

http://www.securithyonsite.com/scan/index2.php?affid=06300

[mateusxzz]

Nie wiem czy to normalne, ale avira premium nawet nie zareagowała na tej stronie ;(

[Pablosss]

Avira dała tutaj pełną plamę niestety. Nie wykrywa szkodnika nawet podczas skanowania na żądanie. Niewiele skanerów wykrywa zagrożenie w tej instalce - 7 / 39.

[VenomX]

Avira dała tutaj pełną plamę niestety. Nie wykrywa szkodnika nawet podczas skanowania na żądanie. Niewiele skanerów wykrywa zagrożenie w tej instalce - 7 / 39.

Może po prostu czas zrozumieć , że każdy program antywirusowy jest w stanie czegoś nie wykryć .

[Pablosss]

Nie od dziś wiadomo że nie ma programu który jest w 100% skuteczny.

[tommyklab]

Wczoraj ten pliczek install.exepo ściągnięciu KIS2009 jeszcze nie detektował, dziś rano włączam kompa i proszę bardzo: Trojan-Downloader.Win32.FraudLoad.vgwo

Oczywiście nie odpalałem go wogóle


A jak dziś na Avira? Wykrywa?

[Pablosss]

A jak dziś na Avira? Wykrywa?

Nie.

[polak900]

nie wiem dlaczego ale nowa avira 9 beta wykrywa w tym pliku coś takiego:

macie tutaj screen z mojego scanu na żądanie:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Jurek]

Może po prostu czas zrozumieć , że każdy program antywirusowy jest w stanie czegoś nie wykryć .

Wchodziłeś na tę stronę? Jak Twój NOD sobie radzi?

[VenomX]

Może po prostu czas zrozumieć , że każdy program antywirusowy jest w stanie czegoś nie wykryć .

Wchodziłeś na tę stronę? Jak Twój NOD sobie radzi?

Wczoraj nie wykrywał nie wiem jak dziś .

[Jurek]

Gdyby Cwajcylindry z Aviry nas nie olewali, to wiedzieliby już, że jest taka stronka z trojanem i że Combofix to nie jest nawóz sztuczny, tylko taki programik, który trzeba wykluczyć ze skanowania

[Creer]

Zabralem sie za tę stronke z moim zestawem

Pierwsza rzecza jaka zrobilem bylo uruchomienie ShadowDefendera (na wszelki wypadek), poza tym dzialaly u mnie takie programy: Avira Personal, Online Armor Premium Firewall, DefenseWall.

Po wejsciu na strone, moim oczom ukazal sie komunikat - czy chce uruchomic/pobrac/anulowac plik install.exe - kliknalem - Uruchom.
Przegladarka z ktorej korzystalem - Opera - zdefiniowana jest w OA jako Run Safer - czyli dziala bez praw administratora mimo iz pracuje na koncie Admina.
Od razu HIPS OA zaczal pokazywac informacje co plik chce zrobic w danym momencie w moim systemie, klikalem wszedzie Allow - i tak plik pobrany przed momentem zaczal zmieniac DNSy w systemie na wlasne wczesniej zdefiniowane, zaczal tworzyc w systemie nowe zainfekowane pliki, pobierac nowe i nadpisywac dzialajace procesy takie jak np. ctfmon.exe, ktory nalezy pierwotnie do Microsoft Office Suite i jest odpowiedzialny za aktywowanie Alternative User Input Text Input Processor (TIP) oraz paska jezykowego w Office.
Na pulpicie wyswietlal sie falszywy AV i jego pasek postepu sciagania "aktualizacji" - po 20 min pasek stal dalej w tym samym miejscu co przedtem, zadna ikonka w try-u sie nie pojawila, zadne inne okienka nie wyskoczyly, ktore sugerowac mogly ze wirus rozprzestrzenia sie w systemie - to wlasnie byla zasluga Przegladarki uruchomionej w trybie Run Safer.

Podejscie drugie - postanowilem zmienic ustawienei w OA i uruchomic przegladarke w normalnym trybie, trybie konta z uprawnieniami administratora.
Poza tym wylaczylem mechanizm HIPS, od tej chwili w systemie dzialaly tylko te programy:
DefenseWall oraz Avira Personal.

Znow wszedlem na zainfekowana strone, kliknalem Uruchom, plik zaczal sie wykonywac - HIPS DefenseWall informowal mnie o wszystkim, jednak przyjalem zasade ze przy komputerze w tym momencie moze znajdowac sie osoba ktora nie bedzie miala wystarczajacej wiedzy by zareagowac - zostawilem HIPS DW, nie klikalem ani na Allow ani na Terminate, zostawilem go samemu sobie, okienka samoistnie wraz z postepem ladowania zainfekowanych plikow same sie pojawialy i po kilku chwilach bez reakcji uzytkownika - znikaly.
Znow pojawilo sie okienko z falszywym AV, znow okno pobierania - tym razem wszystko sie pobralo, nowy process zostal uruchomiony na liscie procesow, pojawila sie ikonka wirusa w tray''u... i to tyle, nic wiecej sie nie dzialo - strony wyszukiwane w google i klikanie na ich odnosniki przenosilo dokladnie do tych ston, nie bylo zadnych przekierowac, ktore mogl generowac wirus. Nic dodatkowego nie dzialo sie w systemie, dysk nie "mielil". Wszedlem w DW i na liscie Untrusted process w oknie procesow kliknalem na proces ktory sie uruchomil i wybralem Terminate - proces natychmiast zniknal. System dzialal stabilnie, logi HiJackThis niczego nie pokazaly.

Dodatkowo dzis skontaktowalem sie z tworca programu, podajac linka do zainfekowanej strony i opisujac krok po kroku co sie dzialo u mnie w systemie. Ilya potwierdzil moje przypuszczenia - ze w tym przypadku, nic nie zagrazalo mojemu systemowi, po restarcie, nic nowego nie zostalo by uruchomione, poniewaz DW czesciowo poddal wirtualizacji niektore wpisy w rejestrze oraz nalozyl blokade na pliki Untrusted.
Zasada jest taka ze pliki Untrusted nie moga modyfikowac plikow ktore sa oznaczone jako Trusted, co stawia te pliki po dwoch oddzielnych stronach muru nie do sforsowania. Proste ale skuteczne.

---

Acha - Avira zapadla chyba w zimowy sen u mnie tzn zero reakcji!

[polak900]

no to nie wiem ale u mnie avira wywaliła monit o zagrożeniu jak przeskanowałęm ten plik na żądanie

[Creer]

no to nie wiem ale u mnie avira wywaliła monit o zagrożeniu jak przeskanowałęm ten plik na żądanie

Nie skanowalem tego pliku na zadanie. Mam v. 8 Aviry.