Vírusy

[vyosek]

No. Combofix má alespoň po nějaké době důstojnějšího soupeře.

FRST neni souperem pro CF...CF ma za sebou nekolik let vyvoje, obrovskou databazi malware, pokrocilou detekci a mazani ci oprav...Tyto dva nelze porovnavat, kazdy ma sve uplatneni na urcitem miste a nelze rict, ten je lepsi...

FRST je v zakladu skener, CF skener s automatickym mazanim + rucni docisteni. FRST musis cistit vzdy rucne...

A to urcite zdaleka nevis co VSE se s nim da delat, jelikoz nejake prikazy se pouziji jen jednou za cas, ale nekdy nic jineho nezbyva. Nas tym ma samozrejme k dispozici kompletni moznosti prace s FRST, diky navodu, ktery jsme si se souhlasem Farbara prenesli.

[blai]

Nene.
Já myslel důstojného soupeře Combofix vs. ransomware . Ale určitě jen dočasně.
Občas se takhle juknu, co se zde řeší a FRST je u mne celkem novinka.
Člověk se tu právě hodně dozví. Rozhodně víc než na jinde. Koukal jsem se na různé stránky a když jsme u toho policejního viru, tak jsem si kolikrát říkal, že by to zákonitě muselo dopadnout blbě.

[vyosek]

Ransomware je v soucasne dobe hooodne velkej problem - viz treba citace kolegy z ESETu

Dobrý den,

rodina malware Win32/Ransom (tzv. Policejní virus) rozhodně není standardní malware a je to jeden z nejvíce modifikovaných rootkitů vůbec. U nás se šíří v několika vizuálech, které se již několikrát objevily a proto si naprostá většina uživatelů myslí, že se jedná o ten samý virus. Záměrně píši „vizuálech“. Bohužel pravda je taková, že těch mutací je v řádu několika stovek, spíš přes tisíc! Každá varianta je jiná, většina z nich používá rozličné cesty, jak se do PC dostat a infikovat ho.
Některé varianty se šíří s pomocí jiného malware, z napadených stránek, v e-mail přílohách atp. Objevily se rovněž varianty, které se šířili a PC infikovaly s pomocí zneužitelných bezpečnostních děr v aplikacích Java, Adobe Flash Player a Adobe Reader, Explorer, Firefox, Google Chrome, apod. I většinu těchto bezpečnostních děr "záplatujeme", i když to není primární funkce antiviru. Toto má zajistit výrobce daného programu. Pokud se tedy do PC dostane zdrojový virus, stáhne si vizuál podle toho, v jaké zemi se PC nachází.

Pravdou je, že drtivou většinu těchto hrozeb detekujeme a blokujeme! Zdrojový kód se tedy mění poměrně rychle (denně nové varianty) a tvůrci malware se snaží nové varianty napsat tak, aby ho antivirové programy nedetekovaly. Náš VirusLab se snaží reagovat na každou mutaci, která se objeví.

Obecně platí, že žádný antivirový produkt nezaručí 100% bezpečnost před viry. Na internetu se denně pohybuje kolem 10.000 infiltrací a podrobné informace máme jen o části z nich. Denně také může vzniknout několik variant stejného viru, kdy tak některé varianty detekovány jsou a jiné nikoliv. Vždy nejdříve vzniká vir a teprve poté je možné na něj vydat "protilék". Je to stejné jako v medicíně.

Navíc je nutné udržovat nejenom aktuální virovou databázi, ale i aktualizace operačního systému (Windows) a také aktualizace všech programů v něm! Pokud není některý program aktualizován a při tom obsahuje bezpečnostní díru, antivir nemusí průnik skrze tuto díru zachytit.

S pozdravem,
Ladislav Jukl
Specialista technické podpory
ESET software spol. s r.o.

Jinak abych se vratil k puvodni otazce

Tak to, čo chcete, povedzte niečo zaujímavé z praxi s vírusmi .. hocčo, čo by mohlo zaujať, že ako to zničilo PC, čo robilo s PC, a tak niečo výnimočné

Napriklad me napadaji tyto:

• ransomware encrypted - zasifrovane soubory, podarilo se diky dr.webu a nasi spolupraci rozsiforvan. nyni je vsak nova mutace a ta zatim hodne odolava
• bootkity\bioskity - pomaha az preflashovani BIOSu
• TDL nebo noveji ZeroAccess rootkity - napadaji systemove ovladace(TDL4) nebo soubory (ZA), skvela technika kamuflaze, antiviru predhazuji ciste soubory
• sikovne udelany byl i prvni FB-YouTube malware - clovek si povidal s bootem, odstavil antiviry, zpomaleni PC a neskutecne vyuziti site

[luky3004]

vyosek - konečne tak krásne si to napísal ako som chcel díky a má niekto ešte niečo? Také, čo spravilo s PC.. a ako sa to rozširuje

[KEO]

Pred par mesiacmi som mal moznost vidiet trojana na zabezpecenom PC, ktore malo filtrovany internet, vypnute spustanie autorun, atd. Nedetekoval ho ani jeden z antivirakov na svete. Pravdepodobne slo o velmi maly vyskyt, alebo cieleneho trojana. Ked AV firmy obdrzali vzorky, zacali ho pridavat do databaz. Zaujimave bolo, ze Kaspersky ho tam pridal po 3 tyzdnoch, ked inokedy vie reagovat do par hodin. Microsoftu to trvalo mesiac...

Variacie, so robia su rozne.
Ransomware - vydieracske. Budu prevazovat dnes skor trojani, ktori su organizovani do botnetov. Mozu dostavat akekolvek instrukcie. Tie "lepsie" verzie vyuziju techniky rootkitov, alebo sietovych cervov, infekcie MBR, BIOSu.. Najcastejsie instalacie su so zneuzitim bezpecnostnych dier systemu - Javy, Flashu, Javascriptu /sirenie emailom je skor na ustupe/, ale hlavne ako nalakat uzivatela, aby to spustil.

Cisty virus, ako je podla definicie, je dnes skor uz rarita. Podstata dneska je ostat neodhaleny. Pre tvorcov virov neni problem byt o krok napred. Co, ze detekuju variantu X... ked to zisti tvorca, urobi dalsiu X+1 a zase ma urcity cas naskok.

[KEO]

Mna by skor zaujimalo, ako je to s zivotnostou "virusov" dneska.

V podstate v minulosti sa klasicky virus siril dalej a infikoval trebars dalsie subory, media atd.

Dnes sa vacsinou nakonekti na nejake stranky a odtial si stahuje aktualizacie.
Otazka je, ked takyto malware je detekovatelny antivirakmi, casto aj dane weby zmazu, alebo zakazu pristup tam, kde to pozadoval.

Je potom vacsina tohoto malware defakto uz nefunkcna ? T.j. sirit sa moze, ale nemoze sa spojit s tvorcom po dalsie instrukcie ?

[Pavuk29]

Mna by skor zaujimalo, ako je to s zivotnostou "virusov" dneska.

V podstate v minulosti sa klasicky virus siril dalej a infikoval trebars dalsie subory, media atd.

Dnes sa vacsinou nakonekti na nejake stranky a odtial si stahuje aktualizacie.
Otazka je, ked takyto malware je detekovatelny antivirakmi, casto aj dane weby zmazu, alebo zakazu pristup tam, kde to pozadoval.

Je potom vacsina tohoto malware defakto uz nefunkcna ? T.j. sirit sa moze, ale nemoze sa spojit s tvorcom po dalsie instrukcie ?

Tvorcovia asi nie su zavisli na jednom jedinom serveri, to by bolo asi dost naivne, nemyslis?

[KEO]

Mna by skor zaujimalo, ako je to s zivotnostou "virusov" dneska.

V podstate v minulosti sa klasicky virus siril dalej a infikoval trebars dalsie subory, media atd.

Dnes sa vacsinou nakonekti na nejake stranky a odtial si stahuje aktualizacie.
Otazka je, ked takyto malware je detekovatelny antivirakmi, casto aj dane weby zmazu, alebo zakazu pristup tam, kde to pozadoval.

Je potom vacsina tohoto malware defakto uz nefunkcna ? T.j. sirit sa moze, ale nemoze sa spojit s tvorcom po dalsie instrukcie ?

Tvorcovia asi nie su zavisli na jednom jedinom serveri, to by bolo asi dost naivne, nemyslis?

To je jasne, ale pokial ma nastavenych trebars 5 server, tak pri nepristupnosti jedneho skusa dalsi, dalsi. Ked sa zablokuje vsetkych 5, ci aj ich domenove mena...

[Pavuk29]

To je jasne, ale pokial ma nastavenych trebars 5 server, tak pri nepristupnosti jedneho skusa dalsi, dalsi. Ked sa zablokuje vsetkych 5, ci aj ich domenove mena...

Sikovny tvorca snad na to mysli, a kym mu zablokuju prvych 5, haved je uz aktualizovana na inych 50

[KEO]

To je jasne, ale pokial ma nastavenych trebars 5 server, tak pri nepristupnosti jedneho skusa dalsi, dalsi. Ked sa zablokuje vsetkych 5, ci aj ich domenove mena...

Sikovny tvorca snad na to mysli, a kym mu zablokuju prvych 5, haved je uz aktualizovana na inych 50

To ano, ale ja nehovorim o tom, ze ked to ma niekto takto uz infikovane, ale zeby sa nakazil povodnou vzorkou - t.j. pripad, ze je niekde odlozena a pouzije sa napr. zo zalohy.

Je jasne, ze autor moze denne vymienat verzie uz infikovaneho systemu za ine. Mne ide o system, ked sa niekto dostane uz k detekovatelnemu viru, kde zablokovali povodne servre /a to je pravdepodobne, ze to u starsich kuskov uz bude zablokovane/.

[Pavuk29]

KEO, musis si pockat na ineho diskutujuceho, pre mna je takato debata taka nejako zahmlena.

[luky3004]

Ale aj mňa to zaujíma Pavuk

[Pavuk29]

Ale aj mňa to zaujíma Pavuk

Ja ti to neberiem, vsak pokracujte tema je odomknuta.
Ci chces nieco vediet aj odo mna?

[luky3004]

Je vírus, ktorý vie počítať totálne zničiť? čo sa týka HW.

[KEO]

Je vírus, ktorý vie počítať totálne zničiť? čo sa týka HW.

Ci existuje, tazko povedat, pretoze taky vir, by sa moc nesiril. V minulosti sa o niecom takom hovorilo.

Ale v podstate SW by slo prepisat trebars BIOS, nejaky firmware, roztocit HDD na maximum a robit prerusovane stop stavy, ci pretazovat vypoctovo CPU+GPU a zatazovat dlhodobo tak zdroj atd., co by mohlo viest k poskodeniu.