Zdravím,
už delší dobu používám roboform, který ukládá hesla do speciálních souborů s příponou rfp.
Tyto soubory jsou sice zašifrovány, ovšem pokud by je někdo dokázal získat, lze hrubou silou po určité době na heslo, které šifruje tyto soubory, přijít a dostat se tak k heslům ukrytým v těchto souborech.
Nedávno jsem narazil na trojan, který byl Microsoft Security Essentials detekován jako Trojan Downloader:Win32/Regonid.A. Jednalo se o exe, které má cca 64 kB.
Důvěřuju sice MSSE, ovšem rád bych se ujistil, že dané exe nějakým způsobem nemůže odcizit moje .rfp fajly a poslat je někam.
Napadlo mě odpojit se od internetu (aby případná nežádoucí odchozí komunikace nenastala), vypnout real time kontrolu MSSE (aby exe nezablokoval) a pustit dané exe a někde monitorovat, co doopravdy provede - především mě zajímá, jestli neinicializuje nějakou nežádoucí network komunikaci.
Jak teda zjistit, co dané exe všechno provede? Nějakým debugerem to sledovat - krokovat? či to dessasemblovat-dostat se nějak ke zdrojáku? Jak nejlépe sledovat network traffic? Pomocí Intrusion detection softwaru jako OSSEC či Snort? Jaké jsou možnosti?
Poraďte prosím, jak bych měl postupovat, abych se ujistil, že jsem nepřišel o svoje hesla, dík.
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Kradení dat - hesel
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
-
Rudy
- Site Admin
- Příspěvky: 119515
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Kradení dat - hesel
Také zdravím!
Tento virus skutečně dokáže odesílat soubory na vzdálený server. Jediná spolehlivá ochrana proti tomu je nainstalovaný firewall, který má tu schopnost nepustit žádnou komunikaci, kterou nemá v pravidlech. FW dá hlášku a pak je už jen na vás, zda komunikaci povolíte, nebo ne. Vtip je ale v tom, že se bude stejně chovat při jakékoli komunikaci (i při té žádoucí). Žádoucí komunikaci lze samozřejmě uložit do pravidel.
Tento virus skutečně dokáže odesílat soubory na vzdálený server. Jediná spolehlivá ochrana proti tomu je nainstalovaný firewall, který má tu schopnost nepustit žádnou komunikaci, kterou nemá v pravidlech. FW dá hlášku a pak je už jen na vás, zda komunikaci povolíte, nebo ne. Vtip je ale v tom, že se bude stejně chovat při jakékoli komunikaci (i při té žádoucí). Žádoucí komunikaci lze samozřejmě uložit do pravidel.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
-
IJK_Principle
- Návštěvník
- Příspěvky: 2
- Registrován: 14 dub 2007 16:14
Re: Kradení dat - hesel
Děkuji za odpověď. Používám Bránu firewall systému Windows (mám Windows XP professional SP3). Pokud se nepletu, vždy, když nějaká nová aplikace (kterou např nainstaluji) se poprvé snaží připojit ven, vyskočí okno firewallu, kde mám na výběr 3 možnosti - blokovat, odblokovat, ...Rudy píše:Také zdravím!
Tento virus skutečně dokáže odesílat soubory na vzdálený server. Jediná spolehlivá ochrana proti tomu je nainstalovaný firewall, který má tu schopnost nepustit žádnou komunikaci, kterou nemá v pravidlech. FW dá hlášku a pak je už jen na vás, zda komunikaci povolíte, nebo ne. Vtip je ale v tom, že se bude stejně chovat při jakékoli komunikaci (i při té žádoucí). Žádoucí komunikaci lze samozřejmě uložit do pravidel.
Znamená to tedy, že pokud by daný trojan se snažil navázat komunikaci, firewall by to detekoval a dotázal se mě, zda to povolit? Pokud by teda trojan nevyužil ke komunikaci s venkovním světem jinou aplikaci, která již je v seznamu povolených (povolena mnou někdy dříve).
Teď ale koukám do seznamu povolených programů (záložka Výjimky) a tam je napsané, že se jedná o příchozí síťová připojení. Takže teď si nejsem jistý, zda by mě firewall upozornil na pokus aplikace o odchozí síťové připojení.
Loguje někde Windows firewall komunikaci? Přijde mi, že Windows firewall moc možností neposkytuje, co se týče nastavení a kontroly komunikace (logy atd.). Když si to porovnám např s Kerio Personal Firewall, který jsem kdysi používal.
-
Rudy
- Site Admin
- Příspěvky: 119515
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Kradení dat - hesel
XP firewall je, bohužel, slabý nástroj. Jeho hlavní nevýhodou je pouze jednosměrná kontrola komunikace. Dále nemožnost nějakého podrobného nastavení. Podstatně lepší jsou personální firewally: http://www.viry.cz/forum/viewforum.php?f=41 , případně bezpečnostní balíky (obsahují anitivr, firewall a antispy). Prakticky všechny jsou ale placené.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Přispějete na provoz fóra?