 |
 |
|
 | Virusi |  |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
 Objavljeno: 27 Jun 2006 23:29 |
 |
|
Tukaj bo tekla debata o novih virusih, ter o tem, kako se rešiti virusov skušal vam bompomagati kolikor znam!
Najprej pa nekaj o virusih.
* Računalniški virusi so programi in so danes tako razširjeni kot računalniki sami. Nimajo samostojne datoteke, zato jih s preprostim pregledom vsebine področij ne moremo opaziti.
* Program je škodljiv ker uničuje podatke na pomnilnih medijih (tekstovne datoteke, datoteke kot datoteke, elektronsko pošto, programske datoteke, gonilnike …)
* Širjenje: preko okuženih datotek (diski, diskete, CD-ji, omrežja, elektronska pošta, internet..)
* Družine virusov in način okužbe:
* - zapišejo se na tisti del diska, kjer so zapisani podatki za zagon računalnika: računalnik viruse prebere in jih naloži v
* delovni pomnilnik
* - prilepijo se k izvršnim datotekam (programom) in se ob zagonu programa izvršijo
* - makro virusi - prilepijo se na na makro programe znotraj nekega orodja (npr. Word-a)
* Zaščita: "da nič novega ne naložiš", zaščitni - protivirusni programi
* Kaj počnejo protivirusni programi:
* - So ravno tako programi
* - Nastanejo kasneje kot virusi (ali pa ...)
* - Pregledujejo datoteke na tvojem računalniku (A, C, D..), tudi v notranjih pomnilnikih (RAM, ROM …)
* - Kdaj pregledujejo: ob našem ukazu, lahko določimo kot dnevno opravilo, preverja ob vstavitvi diskete, CD-ja, ob
* prejemanju e-mailov
* Vrste protivirusnih programov: F-prot, Sophos, Norton, Norman, Zone Alarm (eden boljših)
* Inštalacija: za posamezen računalnik ali mrežno, običajno nastavimo:
* - kateri disk ali disketo in katera področja naj pregleda
* - katere datoteke naj pregleduje
* - kaj naj naredi, če najde virus |
|
|
|
| | | |
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 27 Jun 2006 23:38 |
|
|
Maribor, 16. junij 2006 - Finsko podjetje za računalniško varnost F-Secure (HEX: FSC), ki ga v Sloveniji zastopa podjetje Amis, sporoča, da se je pojavil prvi Javascript črv, ki se samodejno razpošilja preko elektronskih sporočil na spletni strani Yahoo! Mail.
Črv deluje tako, da se samodejno aktivira ob branju sporočil preko spletnega vmesnika Yahoo! Mail. Sporočila nimajo priponk, temveč se Javascript ukazi nahajajo v vsebini sporočil. Ob aktiviranju se črv razpošlje na vse naslove @yahoo.com in @yahoogroups.com, ki jih ima uporabnik navedene med kontakti.
Zadeva sporočil je "New Graphic Site" in naj bi bila poslana z naslova "av3@yahoo.com".
Protivirusni programi F-Secure črva zaznajo s podatki od 13. junija 2006 dalje. Črv se sicer ne namesti na računalnik in se zgolj razpošlje ob odpiranju sporočila, tako da ne predstavlja velike nevarnosti. Priporočljivo je, da uporabniki sporočila z zadevo "New Graphic Site" enostavno pobrišejo že na seznamu prejetih sporočil, brez da bi jih brali oziroma odpirali.
Microsoft je sicer v torek objavil junijske popravke napak v programih Internet Explorer, Word, Powerpoint in operacijskem sistemu Windows. Ker se po internetu že širijo programi, ki izkoriščajo popravljene napake, je pomembno, da popravke uporabniki čimprej namestijo.
Viri:F-prot |
|
|
|
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 27 Jun 2006 23:39 |
|
|
Maribor, 20. maja 2006 - Finsko podjetje za računalniško varnost F-Secure (HEX: FSC), ki ga v Sloveniji zastopa podjetje Amis, je sporočilo, da je v teh dneh več podjetij po elektronski pošti prejelo dokument, ki z izkoriščanjem doslej neznane napake v urejevalniku besedil Microsoft Word na računalnik namesti vohunski program, ki omogoča popoln nadzor nad računalnikom. Uporabnikom interneta priporočajo, naj bodo v teh dneh zelo pazljivi pri odpiranju dokumentov, ki jih prejmejo po elektronski pošti.
Ob odprtju dokumenta v programih Microsoft Word XP in Word 2003 se na računalnik namesti vohunski program Ginwui. Ogled dokumenta v programu Word viewer je varen.
Vohunski program se namesti v datoteko winguis.dll v Windows sistemski imenik in poskrbi, da proces, datoteka in zagonski ključ v registru na okuženem računalniku nista vidna (uporablja tako imenovan "rootkit" način skrivanja).
Na napadenem računalniku je zatem možno na daljavo izvajati naslednje ukaze:
- branje, pisanje, brisanje in iskanje datotek in imenikov
- pregled in spreminjanje vnosov v registru
- upravljanje s sistemskimi servisi
- zagon in ustavljanje procesov
- zajem slike zaslona
- prikaz seznama odprtih oken
- prikaz informacij o napadenem računalniku
- ponovni zagon ali zaustavitev operacijskega sistema
- izvajanje ukazne vrstice
- pregled dostopnih omrežnih storitev
Vohunski program se ne more namestiti, če uporabnik na računalniku nima administratorskih pravic.
Microsoft bo popravek napake v programu Microsoft Word predvidoma objavil najkasneje do 13. junija 2006.
Protivirusni programi F-Secure prirejene dokumente in vohunski program prepoznajo od podatkov 2006-05-19_03 dalje.
Vir: F-prot |
|
|
|
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 27 Jun 2006 23:41 |
|
|
Črv 'Nyxem.e' se širi preko elektronske pošte in imenikov v skupni rabi. Onemogoči nekatere varnostne programe in programe za izmenjavo datotek ter tretjega v mesecu povozi vsebino datotek z nekaterimi podaljški. Podoben je črvu 'Email-Worm.Win32.VB.bi', ki se je pojavil pred nekaj dnevi.
Podroben opis
Namestitev na računalnik
Nyxem.E je napisan v Visual Basicu. Dolžina programa je 95744 znakov. Po zagonu se črv skopira v datoteke:
%Windows%\rundll16.exe
%System%\scanregw.exe
%System%\Update.exe
%System%\Winzip.exe
pri tem je '%Windows%' osnovni imenik Windows (običajno C:\WINDOWS), '%System%' pa sistemski imenik Windows.
Črv doda vnos v register, tako da se požene ob vsakem zagonu računalnika:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"
Širjenje po elektronski pošti
Črv naslove, na katere se razpošilja, nabere iz datotek s podaljški:
.HTM
.DBX
.EML
.MSG
.OFT
.NWS
.VCF
.MBX
.IMH
.TXT
.MSF
Datoteke s temi podaljški poišče tudi v začasnem imeniku spletnega brskalnika Internet Explorer.
Zadeva sporočil, v katerih se črv razpišilja, je lahko:
The Best Videoclip Ever
School girl fantasies gone bad
A Great Video
Fuckin Kama Sutra pics
Arab sex DSC-00465.jpg
give me a kiss
*Hot Movie*
Fw: Funny :)
Fwd: Photo
Fwd: image.jpg
Fw: Sexy
Re:
Fw:
Fw: Picturs
Fw: DSC-00465.jpg
Word file
eBook.pdf
the file
Part 1 of 6 Video clipe
You Must View This Videoclip!
Miss Lebanon 2006
Re: Sex Video
My photos
Vsebina sporočil je lahko:
Note: forwarded message attached.
Hot XXX Yahoo Groups
F*ckin Kama Sutra pics
ready to be F*CKED 
forwarded message attached.
VIDEOS! FREE! (US$ 0,00)
Please see the file.
>> forwarded message
----- forwarded message -----
i just any one see my photos. It's Free :)
how are you?
i send the details.
OK ?
Priponka, v kateri je črv, ima ime:
007.pif
School.pif
04.pif
photo.pif
DSC-00465.Pif
image04.pif
677.pif
New_Document_file.pif
eBook.PIF
document.pif
DSC-00465.pIf
Občasno črv naredi sporočila, v katere se doda kot MIME dodatek, v tem primeru je ime lahko:
Video_part.mim
Attachments00.HQX
Attachments001.BHX
Attachments[001].B64
3.92315089702606E02.UUE
SeX.mim
Sex.mim
Original Message.B64
WinZip.BHX
eBook.Uu
Word_Document.hqx
Word_Document.uu
Datoteka znotraj MIME dodatka pa ima lahko ime:
New Video,zip .sCr
Attachments,zip .SCR
Atta[001],zip .SCR
Clipe,zip .sCr
WinZip,zip .scR
Adults_9,zip .sCR
Photos,zip .sCR
Attachments[001],B64 .sCr
392315089702606E-02,UUE .scR
SeX,zip .scR
WinZip.zip .sCR
ATT01.zip .sCR
Word.zip .sCR
Širjenje preko imenikov v skupni rabi
Črv pregleda imenike v skupni rabi in se poizkuša skopirati nanje pod imeni:
\Admin$\WINZIP_TMP.exe
\c$\WINZIP_TMP.exe
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.exe
Pri tem pobriše datoteko:
\c$\Documents and Settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk
Uporabniku tako namesto programa WinZip namesti sebe, požene se ob naslednji prijavi v računalnik.
Pred širjenjem preveri, ali obstaja kakšen izmed naslednjih imenikov, ter pobriše vse datoteke v njih:
\C$\Program Files\Norton AntiVirus
\C$\Program Files\Common Files\symantec shared
\C$\Program Files\Symantec\LiveUpdate
\C$\Program Files\McAfee.com\VSO
\C$\Program Files\McAfee.com\Agent
\C$\Program Files\McAfee.com\shared
\C$\Program Files\Trend Micro\PC-cillin 2002
\C$\Program Files\Trend Micro\PC-cillin 2003
\C$\Program Files\Trend Micro\Internet Security
\C$\Program Files\NavNT
\C$\Program Files\Panda Software\Panda Antivirus Platinum
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal
\C$\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro
\C$\Program Files\Panda Software\Panda Antivirus 6.0
\C$\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus
Črv tudi poizkusi na oddaljenem računalniku narediti časovno prožen proces, ki se sproži na 59-to minuto trenutne ure.
Brisanje podatkov in programov
Črv je zelo nevaren, saj vsak tretji dan v mesecu (3. februar, 3. marec, ...) povozi datoteke z naslednjimi podaljški na vseh dostopnih diskih:
*.doc
*.xls
*.mdb
*.mde
*.ppt
*.pps
*.zip
*.rar
*.pdf
*.psd
*.dmp
Datoteke prepiše z besedilom "DATA Error [47 0F 94 93 F4 K5]". Prepisovanje se prične 30 minut po zagonu datoteke UPDATE.EXE (običajno torej 30 minut po prijavi na računalnik).
Črv iz registra pobriše tudi zagon varnostnih programov in programov za izmenjavo datotek:
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
McRegWiz
CleanUp
MPFExe
MSKAGENTEXE
MSKDetectorExe
McVsRte
PCClient.exe
PCCIOMON.exe
pccguide.exe
Pop3trap.exe
PccPfw
PCCIOMON.exe
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
rtvscn95
defwatch
vptray
ScanInicio
APVXDWIN
KAVPersonal50
kaspersky
TM Outbreak Agent
AVG7_Run
AVG_CC
Avgserv9.exe
AVGW
AVG7_CC
AVG7_EMC
Vet Alert
VetTray
OfficeScanNT Monitor
avast!
DownloadAccelerator
BearShare
Ključe pobriše iz:
[Software\Microsoft\Windows\CurrentVersion\Run]
[Software\Microsoft\Windows\CurrentVersion\Run]
[Software\Microsoft\Windows\CurrentVersion\RunServices]
Poleg tega pobriše naslednje datoteke v podimenikih imenika Program Files:
\DAP\*.dll
\BearShare\*.dll
\Symantec\LiveUpdate\*.*
\Symantec\Common Files\Symantec Shared\*.*
\Norton AntiVirus\*.exe
\Alwil Software\Avast4\*.exe
\McAfee.com\VSO\*.exe
\McAfee.com\Agent\*.*
\McAfee.com\shared\*.*
\Trend Micro\PC-cillin 2002\*.exe
\Trend Micro\PC-cillin 2003\*.exe
\Trend Micro\Internet Security\*.exe
\NavNT\*.exe
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.ppl
\Kaspersky Lab\Kaspersky Anti-Virus Personal\*.exe
\Grisoft\AVG7\*.dll
\TREND MICRO\OfficeScan\*.dll
\Trend Micro\OfficeScan Client\*.exe
\LimeWire\LimeWire 4.2.6\LimeWire.jar
\Morpheus\*.dll
V registru preveri lokacije datotek na disku in pobriše tudi datoteke programov:
VirusProtect6
Norton AntiVirus
Kaspersky Anti-Virus Personal
Iface.exe
Panda Antivirus 6.0 Platinum
Črv tudi zapre okna, ki imajo v naslovu:
SYMANTEC
SCAN
KASPERSKY
VIRUS
MCAFEE
TREND MICRO
NORTON
REMOVAL
FIX
Števec okužb
Črv ima zanimiv dodatek. Ob okužbi vsakega računalnika poveča števec na spletni strani. |
|
|
|
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 29 Jun 2006 22:25 |
|
|
Vzdevki: Worm.Win32.Eyeveg.m, WORM_EYEVEG.C, Trojan-Spy.Win32.Iespy.g, W32/Eyeveg.worm, W32.Lanieca
Povzetek
Eyeveg.m se širi po elektronski pošti v sporočilih, ki vsebujejo zgolj povezavo na enega od spletnih naslovov. Na spletnem naslovu se nahaja ZIP datoteka, ki vsebuje okuženo datoteko. Črv omogoča tudi krajo podatkov - gesel za dostop do elektronske pošte in spletnih strani.
Podroben opis
Ob zagonu okužene datoteke se črv skopira v naključno poimenovano datoteko v sistemski imenik Windows ter doda v register ukaz za zagon črva ob vsakem zagonu računalnika. Poleg tega v isti imenik skopira datoteko z naključnim imenom in podaljškom DLL, ta datoteka vsebuje trojanskega konja ' Trojan-Spy.Win32.Iespy.g'.
Črv zatem nabere elektronske naslove iz datotek s podaljški:
.SHT
.ASP
.HTM
.MBX
.EML
.TBB
.DBX
Črv ne pošilja sporočil na naslove, ki vsebujejo eno od spodnjih besed:
admin
virus
messagelab
symantec
microsoft
sophos
pandasoft
mcafee
postmaster
webmaster
alert
spam
report
noreply
recipients
abuse
trendmicro
root
Zadeva sporočil, ki jih črv pošilja, je naključno izbrana beseda s seznama:
readme
love
resume
details
news
image
message
pic
girls
photo
video
music
song
screensaver
Spletni naslov, vsebovan v sporočilu, vsebuje enega izmed spodnjih spletnih strežnikov ter ime datoteke, ki je enako zadevi in ima dodan podaljšek '.zip'.
africaplc.com
www.neptuncaffe.com
scheduleconsult.com
www.sismodular.com
ZIP datoteke na navedenih spletnih strežnikih trenutno vsebujejo okužene datoteke z dvojnimi podaljški, naprimer:
readme.txt <veliko presledkov> .scr
Trojanski konj, ki ga črv vsebuje, krade gesla za dostop do POP3 in MSN poštnih predalov ter v Internet Explorerju shranjena gesla za dostop do spletnih strani. Beleži tudi vse pritisnjene tipke. Pridobljene podatke preko spletnega obrazca pošilja na spletni naslov 'www.melaniecarroll.biz'.
Vir F-prot |
|
|
|
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 29 Jun 2006 22:35 |
|
|
Maribor, 28. december 2005 - Podjetje Medinet iz Maribora, ki v Sloveniji izvaja distribucijo, sistemsko podporo in izobraževanje za izdelke finskega podjetja F-Secure (HEX: FSC), sporoča, da raziskovalci podjetja F-Secure uporabnike interneta opozarjajo na hudo napako v operacijskih sistemih Windows. Ogroženi so tudi računalniki z operacijskim sistemom Windows XP SP2 ter Windows 2003 strežniki.
Včeraj so bila javno objavljena navodila za zlorabo nove napake operacijskega sistema Windows, ki ob prikazu datotek s podaljškom WMF (Windows Metafiles) samodejno sproži poljubno programsko kodo. V nekaj urah so se na internetu pojavile spletne strani, ki to napako izkoriščajo za samodejno nameščanje različnih nevarnih programov. Zadošča že ogled spletne strani s programom Internet Explorer ter tudi z drugimi spletnimi brskalniki za okolje Windows, če uporabniki datoteko s podaljškom WMF odprejo oziroma shranijo. Spletna brskalnika Firefox in Opera uporabnika sicer pred odpiranjem opozorita, medtem ko Internet Explorer datoteko odpre samodejno.
Strokovnjaki podjetja F-Secure upraviteljem omrežij svetujejo, naj onemogočijo ogledovanje spletnih strani s podaljškom WMF, pošiljanje priponk s tem podaljškom ali tudi onemogočijo obisk doslej znanih spletnih strani, ki to napako izkoriščajo (seznam je objavljen na spletnem naslovu http://www.f-secure.com/weblog/ ).
Protivirusni programi F-Secure sicer prepoznajo vse doslej znane različice programov za izkoriščanje te napake (pod imeni W32/PFV-Exploit.A, .B in .C), vendar uporabnikom kljub temu priporočamo, da ne odpirajo sumljivih datotek in spletnih strani.
Uporabnikom priporočamo, da čimprej namestijo Microsoftov popravek:
Microsoft Security Bulletin MS06-001
Vir F-prot |
|
|
|
| | | |
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 23 Jul 2006 10:10 |
|
|
Virus, ki se predstavlja kot kontroverzna Microsoftova proti-piratska programska oprema se širi po AOL'ovi mreži Instant Messenger, čeprav se zdi, da gre bolj za zafrkavanje Microsofta, kot za pravo grožnjo, je škoda ob okužbi lahko vseeno zelo velika.
Samo sporočilo se ne pretvarja, da je od znanega uporabnika, pride od neznanega pošiljatelja. Virus nato pride v obliki linka v sporočilu in uporabnikov računalnik okuži, če je ta dovolj naiven, da ga klikne.
Ko enkrat okuži računalnik, se virus registrira kot nov sistemski gonilnik imenovan »wgavn« in ima javno ime »Windows Genuine Advantage Validation Notification«. Če ga želi uporabnik izklopiti, mu javi da odstranitev ali zaustavitev procesa lahko povzroči nestabilnost sistema.
Za razliko od legitimnega programa WGA, ta virus predstavlja resno grožnjo, saj onesposobi Windows firewall in odpre 'stranska vrata' do okuženega računalnika (uporabniki dodatne zaščite kakršna je Outpost Firewall so pred takimi napadi zaščiteni).
»Če ga dobite, je ravno tako nevaren, kot katerikoli drug,« je povedal Randy Abrams, direktor tehničnega izobraževanja pri Eset Software, izdelovalcu NOD32 Antivirusa. »Res da ne napade vašega BIOS čipa, niti ne krade bančnih podatkov, a ko imate enkrat odprta stranska vrata, se zlahka dobi kakšnega bota ali še kaj več.«
ESETovi proti-virusni strokovnjaki so prvič slišali za WGA impersonatorja, poimenovanega Win32/IRCBot.OO 29. junija, svoj primerek pa so dobili 1. julija. Ampak Abrams priznava, da ni bil prioritetno obdelan, saj kar se tiče groženj, je ta šele na 1400 mestu na Esetovi lestvici groženj.
»Izbira imena je očiten znak, da gre za napad na WGA. Cilj torej ni toliko napadati uporabnike, kot ustvarjati slabo publiciteto za Microsoft«, je dodal Abrams.
Windows Genuine Advantage je sporen pripomoček Windows XP, ki potrjuje, da namestitev ni piratska. Izzval je jezo uporabnikov in dve tožbi zaradi dejstva, da Microsoft ni razkril, kaj pravzaprav počne. Prav tako so bili uporabniki prisiljeni prenesti WGA, ali pa se odreči nekaterim Microsoftovim popravkom programske opreme.
Abrams ugotavlja, da je trenutno več imen za isti virus, kot je samih okužb. Gre za večni problem proizvajalcev protivirusne opreme; vsak proizvajalec poimenuje virus po svoje. Ko se pojavi nov virus, je prva skrb najti rešitev, ne skrbeti za protokol poimenovanja je še poudaril Abrams.
Po spisku imen virusov na AV-test.org, AVG imenuje virus Worm/Opanki.IP; BitDefender mu pravi Backdoor.IRCBot.JV, F-Prot ga prepoznava kot novo varianto W32/Threat-HLLIM-based!Maximus, Kaspersky ga imenuje Backdoor.Win32.IRCBotst, McAfee ga je poimenoval W32/Opanki.worm.gen, Sophos pa ga pozna kot W32/Cuebot-K.
Vir: nod32 |
|
|
|
| | | |
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 23 Jul 2006 20:31 |
|
|
Ravno potem ko sem napisal tisto zgoraj pa dobim email z tole vsebino o nekem novem virusu.
V prihajajočih dneh pazite, da v e-mailih NE odprete mail z
naslovom invitation, čeprav vam ta mail pošilja prijatelj /
prijateljica. Ta
virus odpira Olimpijsko bakljo , ki vam požge vaš trdi disk. Mail se
prenaša tako, da se sam avtomatično pošilja ljudem, ki jih imate shranjene
v
vaših adressah.
Po podatkih CNN-a je to najhujši virus doslej, prav tako pa je potrjen
tudi s
strani Microsofta.
McAfee je bil prvi antivirusni program, ki je omenjen virus prepoznal.Okuženo elektronsko sporočilo ima naslednjo obliko:
From/Od: [eden od spodnjih pošiljateljev]
- Admin
- Hostmaster
- Info
- Postmaster
- Register
- service
- webmaster
Subject/Zadeva: [ena od spodnjih]
- Glueckwunsch: Ihr WM Ticket
- Ich bin's, was zum lachen
- Ihr Passwort . Ihre E-Mail wurde verweigert
- Mail-Fehler!*
- WM Ticket Verlosung*WM-Ticket-Auslosung
- Re:
- Your Password
- Registration Confirmation
- Your email was blocked
- mailing error
Besedilo: [eno od spodnjih]
- Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
*-* http://www.
*-* MailTo: PasswordHelp
- Diese E-Mail wurde automatisch erzeugt Mehr Information finden Sie unter http://www.
- Folgende Fehler sind aufgetreten:
- Fehler konnte nicht Explicit ermittelt werden
- End Transmission
- Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden. Wir bitten Sie, dieses zu beruecksichtigen.
- Auto ReMailer# [
- Nun sieh dir das mal an!
Was ein Ferkel ....
- . Herzlichen Glueckwunsch,
--- FIFA-Pressekontakt:
ok ok ok,,,,, here is it
r die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
ok2006
Team
St. Rainer Gellhaus
error-
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
- Account and Password Information are attached!
Visit: http://www.
- AntiVirus Service
**** WebSite: .
Priponka: [ena od spodnjih]
- mail_info.zip
- okTicket-info.zip
- LOL.zip
- _PassWort-Info.zip
- autoemail-text.zip
Virus ob zagonu prikaže spodnje okno in zapiše svoje kopije v mapo %Windows%Connection WizardStatus v obliki naslednjih datotek:
- CSRSS.EXE,
- SERVICES.EXE,
- SMSS.EXE,
hkrati pa ustvari tudi spodnja vnosa v register, ki poskrbita za samodejen zagon virusa ob zagonu operacijskega sistema.
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersionRun
WinStart = "%Windows%Connection WizardStatusservices.exe"
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionRun
WinStart = "%Windows%Connection WizardStatusservices.exe" |
|
|
|
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 18 Avg 2006 19:10 |
|
|
Microsoft je v torek objavil popravke večjega števila napak v različnih delih operacijskega sistema Windows in Microsoftovih programov. Ker napake omogočajo izvajanje ukazov na daljavo, je na pomembnost nameščanja popravkov v sredo opozorilo tudi ameriško ministrstvo za domovinsko varnost ( http://www.dhs.gov/dhspublic/display?content=5789 ).
Črv Mocbot se širi preko napake MS06-040. Upravljalec črva lahko okuženemu računalniku ukaže, naj poišče in okuži druge računalnike, povezane v internet.
Črv se namesti v mapo \Windows\System32\ pod imenom wgareg.exe ter kreira servis z imenom "Windows Genuine Advantage Registration Service". Zatem izklopi opozorila, ki jih prikazuje Security Center operacijskega sistema Windows, ter se poveže na IRC strežnika bniu.househot.com in ypgw.wallloan.com (TCP port 18067).
Avtor črva lahko na vseh okuženih računalnikih na daljavo izvaja različne ukaze, od prenašanja in poganjanja poljubnih programov, do napadanja drugih računalnikov na internetu.
V prihodnjih dneh se bodo na internetu verjetno pojavili črvi, ki izkoriščajo to in ostale v torek odpravljene napake operacijskega sistema Windows. F-Secure zato vsem uporabnikom svetuje, da preverijo, ali imajo nameščene vse Microsoftove popravke in vklopljen požarni zid.
Vir F-prot |
|
|
|
| | | |
| | | |
| | |
|
Mačka/Mačkon
| Pridružen/-a: 31.05. 2006, 14:35 |
| Prispevkov: 1244 |
|
|
|
| Objavljeno: 18 Avg 2006 21:03 |
|
|
Glede požarnih zidov pa :
Sygate Personal Firewall vodič
V tem vodiču bo predstavljen Sygate Personal Firewall, ter kako se ga konfgurira, da deluje pravilno in učinkovito:
Opomba: Navedel bom nastavitve za Sygate Personal Firewall 5.5 build:2525; na Windows XP sp1a + vsi popravki in nadgradnje; prek ISP-ja Siol, tip povezave:ADSL (brez njihovega programčka za se povezat na net).
1.Sygate Personal Firewall dobite na tem naslovu: http://soho.sygate.com/buy/download_buy.htm in sicer čisto na dnu strani (za lene: http://www.simtel.net/product.download.mirrors.php?id=53687 ). Pri prvi povezavi imate možnost dol potega tudi drugih verzij, vendar bomo mi uporabili kar legalno pot in pobrali zastonjsko verzijo.
2.Program instaliramo, ponovno zaženemo računalnik in program registriramo. Pojavilo se bo okno za registracijo, no če se ne registriramo, bo program vsakič zagnal to okno, registracija je še kar hitra in popolnoma zastonj.
3.Na vrsti je konfiguracija programa samega, kar zahteva svoj čas.
Pred konfiguracijo, še nekaj besedic oz. pojmov,ki jih je dobro vedeti:
V nastavitvah, boste videli te okrajšave:
TCP : pomeni Transport Control Protocol, deluje na tretji plasti referenčnega modela OSI (o tem malce pozneje), njegova naloga je preprosta: po internetu sprašuje ali želijo ostali z prejeti informacije od računalnika s katerega se oglaša.
UDP : pomeni User Datagram Protocol, ni najbolj varen, uporablja se za prenašanje slike in zvoka v živo prek interneta. Ta protokol pošlje paketek v mrežo, da pove njegovo prisotnost.
OSI : pomeni Open System Interconnection, razvila ga je organizacija ISO za nek standard povezovanja prek interneta z raznimi protokoli. Osi referenčni model ima sedem plasti in vsaka služi sovjemu namenu, več o tem tukaj: http://ro.zrsss.si/maja/mreze/ZgradDelov/osi.htm
NetBIOS : protokol, ki je prisoten pri skoraj vseh računalnikih, ki imajo LAN povezavo, več o tem tu: http://members.tripod.com/~Gavin_Winston/NETBIOS.HTM
Da ne pozabim: Ko instalirate SPF ali še pred instalacijo onemogočite požarni zid v Windowsih: to storite tako: Start –> My Network Places -> View Network Connections -> izberite povezavo prek katere se povezujete na net, kliknite nanjo z desnim miškinim gumbom -> properties -> advanced -> ODSTRANITE kljukico pri Internet Connection Firewall (Protect My Computer and,.....)
Konfiguracija Sygate Personal Firewall:
Z desnim klikom kliknite na ikonco od Sygate-a v tray-u in izberite Sygate Personal Firewall. Odprlo se bo okno, ki je na spodnji sliki.
Najbž so vam najprej padli grafi v oči.
Ta graf prikazuje prihajajoči promet, torej promet proti vam. Na levi so zelene črtice in zelen napis. Tiste črtice pomenijo količino prometa. Zelen napis pod temi črticami, pomeni koliko Kb (kilo bitov) prometa je požarni zid spustil skozi, da je dejansko prišlo do vašega računalnika, rdeč napis, pa pomeni koliko b (bitov) prometa, je požarni zid blokiral v smeri proti vam.
Desno je samo graf, ki prikazoje potek prometa, da lahko vidite neko kratko zgodovino, koliko podatkov ste prejeli.
Graf pod tem, na spodnji sliki, prikazuje odhajajoči promet, torej promet od vas proti ostalim v mreži.
Vse je popolnoma enako kot pri zgornjem primeru, le da se tukaj obravnava odhajajoč promet.
Graf na desni z napisaom Attack History Graph prikazuje zgodovino napadov.
Spodaj so prikazane lastnosti oz.pravice aplikacij.
Če je aplikacija obkrožena in znotraj prečrtana z rdečo barvo, pomeni, da nima dostopa do zunanjih povezav. Če je rumen vpršaj, pomeni, da vas po požarni zid vsakič vprašal, ali dovolite aplikaciji, da se poveže ali ne. Če pa ni nič, da je sama ikonca, pomeni da ima aplikacija dostop do zunanjih povezav. Na sliki je razvidno,da se pri ikoncah pojavita dva ali en moder kvadrat. Če je kvadrat na levi strani, pomeni, da ta aplikacija trenutno nekaj prejema, če j e kvadrat na desni, pomeni,d a aplikacija trenutno nekaj pošilja, če je na obeh straneh, pomeni, da sprejema in poišlja hkrati. Za promet, ki je dovoljen, je uporabljena svetlo-modra barva, za promet, ki je prepovedan in onemogočen je uporabljena rdeča barva.
Pod Tools -> Applications vam pokaže vse aplikacije, ki so kdaj poskušale dostopat do neta. Če kliknete na aplikacijo in pol Advanced se vam odpre novo okno, kjer lahko še dodatno nastavljate lastnosti, kateri IP je blokiran, kateri ne, časovna omejitev pravil,...
Pod Tools -> Options si naštimate lasnosti: Prvi jeziček je General, priporočam, da obkljukate Automaticaly load Sygate Personal Firewall service at startup. Če vam bodo šla opozorila na živce, obkljukajte še: Hide notification messages. Če želite imeti varen sistem,da noben ne bo brskal po požarnem zidu si dejte password, ne pozabit dat passworda tudi pri: Ask password while exiting,d ane bo kdo enostavno zaprl požarni zid Wink
Drugi jeziček je Network Neighborhood, tam določite ali se želite povezovat na ostale mašine prek mreže in izberite željeno povezavo (mrežni priključek).
Tretji jeziček je Security, kjer žal ne morete kaj dosti štimat, pri NetBIOSu naj bo kljukica obkljukana (lhako pa je nastavljeno kar po defaultu). Ostali jezički niso toliko pomembni, boste že sami ugotovili za kaj rabijo.
Pod Tools -> Advanced Rules si naštimate dodatna pravila. Če kliknete na Add se odpre novo okno, no tam je že bolj zanimivo. Izberete lahko marsikaj, tega naj se lotijo samo tisti, ki so že kdaj to delali, ali vedo kaj delajo. Ker je ta vodič za začetnike, se bom tega izognil. Če pa koga vseeno zanima kako se dela, naj napiše, bom še to spisal.
To je v bistvu skoraj vse.
Ko vam firewall javi,d a želi nekdo dostopit do neta, in stisnete deny, ni panike, odprete okno, z desno kliknete na aplikacijo in zamenjate na Aask ali Allow in to je vsa umetnost. Če bi radi dodajali svoje aplikacije, pa si boste morali poslužit funkcije Advanced Rules.
Eni aplikaciji lahko omejite, da deluje samo na določenih portih, to storite tako: Tools -> Applications -> izberite aplikacijo -> Advanced in pod remote ter local ports določite IP-je.
IP-ji za Bittorrent so: 6881-6889, za mIRC so: 6660-6670,7000,8888,9999, pod Local pa: 59, 113 (Local pomeni port odprt na vaši mašini), eMule uporablja 3 porte: 4662, 4711 in 4667 (udp) . Za dc++ ne vem kaj uporablja, ga ne uporabljam, vi mu samo dovolite povezavo do neta in ne bi smelo bit težav, enako velja za druge programe.
Tukaj so nekateri drugi porti: http://www.iana.org/assignments/port-numbers
Kot je razvidno iz moje slike, je pri aplikacijah nekaj blokirano, blokiral sem jih zato, ker so sistemske zadeve in povzročajo nekaj težav. Ko sem jim pustil dostop do neta in pognal test, je bilo zelooo slabo, kot da firewalla ne bi bilo. Pol sem pa te 4 blokiral in sedaj dela kot je treba. Edino NDIS user mode mi dela malce težav, ker pravzaprav ne vem kaj je ampak nonstop nekaj prejema.
NT kernel & systemmora imeti dostop, če ne ne bo delalo, prav tako LSA shell.
Še ena opomba: Pri številki prometa, ne vem točno kaj on beleži ali kilo bite oz. kilo bajte, ker včasih sumljivo pokaže in bi se dalo debatirat.
Dodatek: v tray ikoni sta dve puščici, leva in desna. Leva kaže promet proti vam desna pa promet od vas. Če sta modre barve je vse OK, če sta rdeče je tudi OK – pomeni,da je promet blokiran. Če pa so rdeče barve in nekaj utripa, pomeni,d aje firewall v pripravljenosti, verjetno vam je kdo skeniral porta ali kaj podobnega (vam pri alter-netu verjetno ne bo tega pokazalo, morda pa bo kdo odznotraj hotel dostopit do vaše mašine) |
|
|
|
| Virusi | |
Ne, ne moreš dodajati novih tem v tem forumu
Ne, ne moreš odgovarjati na teme v tem forumu
Ne, ne moreš urejati svojih prispevkov v tem forumu
Ne, ne moreš brisati svojih prispevkov v tem forumu
Ne ne moreš glasovati v anketi v tem forumu
|
Časovni pas GMT + 2 uri, srednjeevropski - poletni čas
Stran 1 od 2
|
|
|
|
|
|
|
