VIRY.CZ

Zdravím,
už delší dobu používám roboform, který ukládá hesla do speciálních souborů s příponou rfp.
Tyto soubory jsou sice zašifrovány, ovšem pokud by je někdo dokázal získat, lze hrubou silou po určité době na heslo, které šifruje tyto soubory, přijít a dostat se tak k heslům ukrytým v těchto souborech.

Nedávno jsem narazil na trojan, který byl Microsoft Security Essentials detekován jako Trojan Downloader:Win32/Regonid.A. Jednalo se o exe, které má cca 64 kB.
Důvěřuju sice MSSE, ovšem rád bych se ujistil, že dané exe nějakým způsobem nemůže odcizit moje .rfp fajly a poslat je někam.

Napadlo mě odpojit se od internetu (aby případná nežádoucí odchozí komunikace nenastala), vypnout real time kontrolu MSSE (aby exe nezablokoval) a pustit dané exe a někde monitorovat, co doopravdy provede - především mě zajímá, jestli neinicializuje nějakou nežádoucí network komunikaci.

Jak teda zjistit, co dané exe všechno provede? Nějakým debugerem to sledovat - krokovat? či to dessasemblovat-dostat se nějak ke zdrojáku? Jak nejlépe sledovat network traffic? Pomocí Intrusion detection softwaru jako OSSEC či Snort? Jaké jsou možnosti?

Poraďte prosím, jak bych měl postupovat, abych se ujistil, že jsem nepřišel o svoje hesla, dík.

Také zdravím!
Tento virus skutečně dokáže odesílat soubory na vzdálený server. Jediná spolehlivá ochrana proti tomu je nainstalovaný firewall, který má tu schopnost nepustit žádnou komunikaci, kterou nemá v pravidlech. FW dá hlášku a pak je už jen na vás, zda komunikaci povolíte, nebo ne. Vtip je ale v tom, že se bude stejně chovat při jakékoli komunikaci (i při té žádoucí). Žádoucí komunikaci lze samozřejmě uložit do pravidel.

Rudy píše:Také zdravím!
Tento virus skutečně dokáže odesílat soubory na vzdálený server. Jediná spolehlivá ochrana proti tomu je nainstalovaný firewall, který má tu schopnost nepustit žádnou komunikaci, kterou nemá v pravidlech. FW dá hlášku a pak je už jen na vás, zda komunikaci povolíte, nebo ne. Vtip je ale v tom, že se bude stejně chovat při jakékoli komunikaci (i při té žádoucí). Žádoucí komunikaci lze samozřejmě uložit do pravidel.

Děkuji za odpověď. Používám Bránu firewall systému Windows (mám Windows XP professional SP3). Pokud se nepletu, vždy, když nějaká nová aplikace (kterou např nainstaluji) se poprvé snaží připojit ven, vyskočí okno firewallu, kde mám na výběr 3 možnosti - blokovat, odblokovat, ...
Znamená to tedy, že pokud by daný trojan se snažil navázat komunikaci, firewall by to detekoval a dotázal se mě, zda to povolit? Pokud by teda trojan nevyužil ke komunikaci s venkovním světem jinou aplikaci, která již je v seznamu povolených (povolena mnou někdy dříve).

Teď ale koukám do seznamu povolených programů (záložka Výjimky) a tam je napsané, že se jedná o příchozí síťová připojení. Takže teď si nejsem jistý, zda by mě firewall upozornil na pokus aplikace o odchozí síťové připojení.

Loguje někde Windows firewall komunikaci? Přijde mi, že Windows firewall moc možností neposkytuje, co se týče nastavení a kontroly komunikace (logy atd.). Když si to porovnám např s Kerio Personal Firewall, který jsem kdysi používal.

XP firewall je, bohužel, slabý nástroj. Jeho hlavní nevýhodou je pouze jednosměrná kontrola komunikace. Dále nemožnost nějakého podrobného nastavení. Podstatně lepší jsou personální firewally: http://www.viry.cz/forum/viewforum.php?f=41 , případně bezpečnostní balíky (obsahují anitivr, firewall a antispy). Prakticky všechny jsou ale placené.