OT: RE: Nagyon ravasz vírusterjedési mód!!!
Papp Károly
pkaroly82 at gmail.com
2012. Már. 12., H, 10:04:45 CET
Hali!
Visszatérve a "milyen vírusirtót?" témához: az ajánlott COMODO
jelszavazható... :)
K
-----Original Message-----
From: techinfo-bounces at lista.sulinet.hu
[mailto:techinfo-bounces at lista.sulinet.hu] On Behalf Of Kunstár László
Sent: Monday, March 12, 2012 9:55 AM
To: Techinfo
Subject: RE: Nagyon ravasz vírusterjedési mód!!!
A Virusbuster védelme felhasználói szinten kikapcsolható. A diákok nálam
rendszeresen kikapcsolják -sajnos.
Kunstár László
-----Eredeti üzenet-----
Feladó:Felszegi Elemer
Szia Sandor,
Nem ujkeletu dolog ez mar, nalam tobbszor volt, van ilyen. Es hogy egesz
pontos legyek, pont a Virusbusterrel vedett gepeimen voltak ilyenek. Na
errol ennyit!!
Udv,
Elemer
On 2012.03.12. 10:17, Veres Sandor wrote:
> Sziasztok!
>
> Egy nagyon ravasz pendrive-von történő vírusterjedési módszerrel
> találkoztam ma reggel.
> Röviden megírom a módszert, mert én eddig ezzel a módszerrel nem
> találkoztam (lehet, hogy csak én vagyok ilyen szerencsés ;-), és nem
> is gondoltam erre a módszerre.
>
> A módszer nagyon primitív, de egyúttal nagyon ravasz és veszélyes is,
> a lényege a következő:
>
> A vírusos gépbe behelyezve a gyanútlan pendrive-ot, a gépen lévő vírus
> érzékelve, hogy egy pendrive-ot csatlakoztattak a géphez átvizsgálja a
> és a következő végzi:
>
> 1. Létrehoz egy RECYCLER nevű mappát, azon belül pedig két másik
> mappát "S-*-*-**-**..." névvel.
> 2. A létrehozott mappákban elhelyezi a szükséges vírusokat.
>
> Eddig nincs is semmi különös, ezután jöhetne az autorun.inf és kész
> is, de pendrive-on a Panda USB Vaccine programmal az autorun.inf fájl
> olvasása írása korlátozva van tehát azt gondolhatnánk, hogy
> biztonságban vagyunk, a mi pendrive-unk már nem fertőz tovább. Sajnos
> ez nem (feltétlenül) van így, ugyanis a vírus nem az autorun.inf-et
> használja ahhoz, hogy lefusson a vírus egy másik gépen, hanem a
> következő ravasz módszert alkalmazza:
>
> 3. A pendrive-on lévő összes mappát rejtetté és írásvédetté teszi.
> 4. Minden egyes mappa nevével létrehoz egy ugyanolyan nevű "lnk"
> kiterjesztésű linket. A link tulajdonság lapját megnézve a "Cél"
> mezőben a következő szerepel:
>
> %windir%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe
> &&%windir%\explorer.exe %cd%Dokumentumok-2011-05-07
>
> Tehát először lefuttatja a vírust, majd utána annak rendje és módja
> szerint megnyitja a kívánt mappát. Briliáns!
>
> Ha a számítógép vírusvédelme gyenge, esetleg nem naprakész, vagy egy
> eddig ismeretlen vírussal lenne dolgunk, továbbá a felhasználók
> figyelmetlenek (szerintem 99,9% az) és nem veszik észre, hogy a
> megnyitni kívánt mappa igazából egy link, ha a rejtett fájlok el
> vannak rejtve, akkor nem veszi észre, hogy "minden mappából 2 van",
> akkor a felhasználók 99%-a észre sem veszi, hogy megfertőződött a
> gépe, ő csak azt látja, hogy a megnyitni kívánt
> "Dokumentumok-2011-05-07" mappa megnyílik, legfeljebb egy DOS-os ablak
> jelent meg egy pillanatra, amelyet lehet, hogy észre sem vesz.
>
> Az autorun.inf módszer ellen több védelem is van (kikapcsoljuk az
> automatikus futtatást, Panda USB Vaccine programmal az autorun.inf
> fájl olvasását írását korlátozzuk), de ez ellen csak a figyelmesség és
> az óvatosság védhet meg.
> Egy két tipp, hogyan védekezhetünk ez ellen:
> - Nem Intézőt használunk, mert az nem jeleníti meg a "System Volume
> Information" és "RECYCLER", stb. rejtett mappákat.
> - TotalCommandert használunk és bekapcsoljuk a rejtett fájlok
> megjelenítését.
> - Minden egyes használat alkalmával árgus szemekkel nézzük végi a
> könyvtárszerkezetet a rejtett mappák fájlok után kutatva, és ha akár
> egyet is találunk, akkor rögtön gyanakszunk.
> - stb...
>
> A vírusfertőzés a szegedi egyetem egyik karának fénymásolószalonjában
> történt (reméljük a gép nem az egyetemi hálózatra van kötve).
> Az érintett egyetemi kar rendszergazdáját értesítem, ha esetleg ő
> felelne az adott gépért, de legalább szólni tud az illetékesnek.
További információk a(z) Techinfo levelezőlistáról