vírus-variáns

Találkozott valaki ezzel a "dög"-gel? Az USB-PEN eszközöket támadja, a gyökér-könytárat linkké alakítja, majd létrehoz a PEN-nen egy 22-24 megabájtos állományt, ehhez hasonló karakterekkel:

XX0L6aAWuXbBIiF0oSnFWCSF70y---iNzLkuN0uKy0g

A "VirusTotal"-ra az állományt feltöltve, (egy két nappal ezelőtt) az 50-ből 19 kereső a legkülönfélébb elnevezéssel, vírusosnak ismeri fel.

Amit én tapasztalok, az víruskeresők csak heur. módszerrel ismerik fel. Az eltávolítás is csak részlegesnek tűnik. (Ezt a nagy "böszme" állományt már volt amelyik leírtotta, mások meg aktív védelem mellett is hagyják létrehozni.)

Pár napja már küzdök vele. De a sikert csak részlegesnek érzem... (SMAD-AV-vel jutottam a lemesszebbre, az ilyenkor szokásos eszközeim sorra cserben hagytak.)

Defender meg sem említi, Aktív Panda mellett fertőződnek a PEN-ek, (nyilván mert a vírus gépen van,) DrWeb elmegy mellette. "Svájci bicskások" éppen "visszavonuló korszakukat" élik....

Hozzászólások

Valahova fel tudnál ebből a "jóságból" tölteni egy mintát?

Próbálok Pastebin-re. - De lassú a net-em. Majd írok itt ismét, ha fent lesz. (Egyébként az a tippem, hogy ez a nagy állomány valamilyen adatgyűjtés eredménye lesz, tömörített formában.

A gépek többsége számára általában nem érhető el internet. (Kétségtelen, korábban USB segítségével fertőződtek le. És most a saját szemem előtt, - amikor, a fertőzött PEN betételekor, az aktív SMAD-AV kijelezte a vírust, ezzel egyidejűleg a PEN-re rákerült a 22 megás állomány is. ("realtime" dátumozott(??) formában..)

Hozzáteszem, a gép előtte le volt takarítva, SMAD már tisztának tartotta. Azaz a fertőzött PEN "működése" eredménye is az állomány, vagy már eredendően is azzal érkezett egy másik gépről. Ezt nem ellenőriztem kellő precizitással. (Akkor csak az érdekelt, hogy egy tudottan fertőzött PEN-t meg fog-e az SMAD. - Viszont így akár lehet "adat+fertőző vírus" is egyben a 22 megás...)

A vírusra magára gondoltam, bár amit töltesz minta, talán abban is benne lesz.
Ha tényleg adatgyűjtés eredménye, akkor érzékeny dolgokat tartalmazhat. Ez esetben visszaélni nem fogok vele, a szavamat adom. De olyan eszközökkel fogom átnézni, melyek még kísérleti állapotban vannak, nem tudom garantálni hogy akár egy apró darabja sem kerül ki tőlem.

Ez az indonéz AV nekem nagyon hmm ellenszenves, felébresztette bennem a gyanakvást hogy ez maga a vírus. Egyik-másik kamu AV is bizalomgerjesztőbb nála. Ha csak úgy szembejönne valahol, azt mondanám hogy vírusforrás.

Először nekem is az volt, de teszteltem néhány napig, engem meggyőzött.

Ennek a vírusnak biztosan nem forrása, pont erre a problémára találtam a fertőzés jelentkezése után 3-4 nappal. Persze egyébként üzengethet haza, melyik víruskergető nem teszi?

Lehet nem nagy az adatbázisa, de itt "überelte" a nagyokat. (Persze volt sok "fals-pozitív" jelzés is. /Érzékeny a "portable" megoldásokra. Ott baromira pontosan talált. A hidden, virtualizált cache filékre is. - Pedig elég spec. progik és csak pár ilyen alkalmazás van használatban jelenleg. (Nálam a legkisebb "shareware" progiktól kezdve minden licenc rendben, vagy fogalmazzak úgy, mindig is törekedtem rá.)

Csak mindig kell valami újabb progi. Ma már, amig ki nem tesztelem, nem vásárolok 100-200 dollárokért, mert korábban sok pénzt kinyomtam utánna nem is használt dolgokra...

Más, a Pastebin "megfogott", befizettem volna a 2-3 dollárt, csak hogy feltölthessek, de a PayPal "regem" körül olyan "hiszti" volt..., (még a mobilszámomra is igényt tartott), mérgemben hagytam a csudába...! (ezért utáltam mindig is használni.., megint csak erősödött a véleményem!) - Csak VISA semmi más, ott én nem leszek vásárló, ahol kikötik a PayPal-t! :-(

Tehát egyenlőre pathelyzet. Felhőkbe nem tudom feltölteni, "kinyomnák" rögtön. Mail valszeg dettó. - Valami javaslat? Ftp kéne, gyenge proxy-vírus védelemmel.. :-) Nincs egy könnyen elérhető, jó címed? Igérem, "ultra" módon letömörítem...

Mega. 50GB-ot ad ingyen és még a lelkedet sem kérik regisztráció során. Elméletileg nem látnak bele semmibe -> azt töltesz fel amit csak akarsz, nem fognak szűrni semmit.

Továbbá a érdemes időnként újra nézni a VirusTotal eredményeket, hátha megjelenik a gazprogramról egy részletes elemzés, amivel sokkal egyszerűbb az eltávolítás.

Annyira nem vagyok CLOUD-os, van MEGA-s regem is, de nem használtam soha, előbb kellett volna mondanod. Mert most a "Copy" miatt, - ami viszont eszembe jutott és W.kliens programos, - vissza kellett jönnöm Windows-ra és csak nézek ki a fejemből..., milyen idegen is már itt minden....(Ez a böngésző is rendesen túlélte már magát. - Op12.16)

Köszönöm. Egy csomót gugliztam, a SMAD-ot is így találtam. Csak a "Bundpil" korábbi variációkat célozták meg. Ez biztosan továbbfejlesztett példány, Ha egyáltalán az a család.

Ez a baj, a SMAD is "newheu".-s elnevezésekkel nevezi ki vírusosnak, ha jól emlékszem.

Nem NOD! - Eddig a többiekkel tapasztalataim jobbak voltak + a Panda az elmúlt 10 évben nekem nem okozott csalódást, ez az első ami meglepett, - persze csak nem kicsit...! (Máshol, alaposan fertőzött gépeket viszont találtam ahol, NOD védett.)

Ez, - tudjátok..., - olyan "a szomszéd kertje mindig kevésbé zöldnek tűnik". :-)

Szia,
Izé, olyat fogok mondani, amiért megköveznek engem, de... gondoltál arra, hogy a mintát eljuttasd valamelyik víruskergető laborjának? Hátha többet tudnak kiszedni belőle?
(Akár a teljes pendriveról készített image-t, feltehetőleg azzal fertőz)
Üdv,
LuiseX
U.i: ( Ha bennük nem bízol, ajánlhatom elemeztetni még a CrySyS labot, bár nem tudom , vállalnak-e véletlenszerűen beérkező mintát)

Azért tettem fel a linket, - ha minden igaz, - bárki letöltheti, bár ez szakszerűtlen info, tudom. (Ha nem, reklamáljatok!)

Egyébként úgy gondoltam, ha a VirusTotal-ra töltöm fel, onnantól minden szakértőnek elérhető az információ. Másrészt, biztosan nem én vagyok a kivételezett első a sorban. (Kivéve ha "gov.ment-kémprogramot" kaptam, akkor is eltévesztették Szíriát... :-) )

Komoly nyoma nem maradhatott, mert én egész éjjel vírusmentesíttem, - minden szóbajöhető eszközön és formában, távol akartam tartani a mai napunktól már.

Egyébként ez nem bizalmi kérdés. Tisztelem azt a heroikus küzdelmet, amit a rosszindulatú kódok ellen folytattok. Zászlószínre tekintet nélkül. (Gondolom, sokszor szerencse kérdése is nem csak munka.)

Egyébként a számomra a SMAD vagy még előtte Woodoo védelmi programok is azt a célt szolgálják, hogy valahogyan plusz pénzek elköltése nélkül, ki tudjak húzni egy rövidebb időszakot, amíg a fizetősök is megtanulják detektálni. Mert megtanulják ebben egészen biztos vagyok. Túl régóta csinálják, és van bőven tapasztalati tőkéjük hozzá.

(Meg vannak "szabadságolási hullámvölgyek" is. De felfrissülve, rövidesen nekiállhatnak dolgozni.)

Szia,
Ha te továbbítod a részükre, annak van egy olyan előnye, hogy akár a fertőzés eredeti forrása is lokalizálható :)
Ilyen esetben szerintem célszerű felvenni a kapcsolatot az AV gyártókkal, legtöbben egész komoly víruslaborokat tartanak fent, napi több ezer-tízezer vírusmintát átnyálaztatva ( sokszor manuálisan, mert a vírusok nem feltétlenül azonosíthatók automatizmusokkal), így egy egy új "vírus" minta hasznos lehet bármelyik cég számára.
De, a legtöbb víruskereső ad beépített lehetőséget is a minta küldésére, így nem kell feltétlenül emailt küldened, csak az általad használttal megetetni a fájlt, amit elemeztetni szeretnél :)
Nekem eddig szerencsém volt - vagy kellően vak voltam - és elkerültem az ilyesmit, de a így járnék, szerintem mindenképp ezen a szálon indulnék el először. Neked is megnyugtatóbb, ha olyan elemzi, akinek ez az elsődleges feladata, s valljuk be őszintén, a cégnek is jelenthet némi előnyt, ha először találnak meg valami csúnyaságot.
Így mindketten jól jártok a végén :)

Üdv,
LuiseX

Szoktam használni, - bár ritkán volt rá szükség, - a saját Panda-imnál a gyanús file manuális elküldés funkciót, bár úgy van beállítva, (A fejlesztést könyítendő) hogy mindent gyanúsat "auto" küldjön el.

A jó víruskereső arról ismerszik meg számomra, ha "üres" óráimban a gépre keresek, DrWeb-el vagy Malwarebyte-al, SuperAV-vel, akkor soha nem találnak semmit. (Na jó max. egy-két süti előfordulhat. A Panda általában ilyen. Egyszer emlékszem olyanra, hogy a rendszeresen oline pókerező, pornózó barátom Panda-ja "megfázott" és szaporodtak körülötte a vírusok. De 15 év "Panda"-zás alatt egy ilyen eset volt.)

A fizetősek közül is sokmindent próbáltam. Comodo IS,- "katasztrófálisan" jó volt. (Nem is töltötte ki a szokásos egy évet a gépemen.) DrWeb egy külön kategória, jelenleg is van licencem, a rendkívüli esetekre tartalékolva. (De őt sem használom folyamatosan) Trend Micro, Sunbelt Software, sokáig és sok gépen használtam CheckPoint ZoneAlarm IS-t,(Extreme Security). ESET is volt egyszer régebben, - azóta nyilván sokat fejlődhetett.

Végül a Panda maradt, bár az elején a 2015-ösnél némi, sokszerű fejtörést okozott az IS újszerű beállíthatósága, de ma már látom a zsenialitását. Kis többletmunkával, és egy procesexplorer-rel szinte mindent ki lehet tiltani. Na ezért szeretem igazán.

Mert igazán elsősorban a jó, azaz finoman hangolható tűzfal a lényeg, a vírusírtás képessége másodlagos és az így "ESET"-leges funkció! (ez csak egy favicc, én marketing szempontból ezért a "lehetőségért" soha nem cseréltem volna a NOD-ot.... :-) )

Utálom az automatikusan beállítódó tűzfalakat. ZoneAlarm is azzal "vesztett piacot" nálam, hogy - számomra ma is érthetetlenül, - kitágíthatatlanná tette a beállítóablakot. (Azaz megkeserítette számomra a tűzfal beállítást.) Egyébként még ma is használnám. Volt Kaspersky csomagom is, nem szerettem a extrém kompatibilitásy igényei miatt. Számomra nagy "luft" volt, amikor a CheckPoint is vele oldotta meg a vírusvédelmet. Megjegyzem figyelmeztető, hogy az összes TDSSKiller-t a SMAD is "leöli".

(Ha a Panda nem sülyed el ebben a mai "vírustengerben" továbbiakban ki is tartok mellette, sajnos ez nem csak nála esélyes) A Windows 10 (de a 8.1-től felfelé már észletem), sokszor problémás a "független" védelem. (Szerintem "szándékosan" nehezítik a tűzfaloldalról a külső fejlesztéseket.) Így legtöbbször, mivel a többi sem tud jobb lenni, a Defender is elég, meg persze a saját tűzfal, valami emberi "frontend"-beállítási lehetőséggel kibővítve. (Valami miatt a 8.1-től felfelé, gyakrabban látok totál fertőzött gépeket a külsős és fizetős-nemfizetős AV-IS megoldás mellet is.)

Egy biztos, ma a gépek védelme rettenetesen összetett feladat lett, már nem is oldható meg egy saját gépen. (Látom, hogy ma már kelleni fog az erős, külső tűzfal-proxy front-szervergép, folyamatos auto-logelemzéssel a feladathoz. Ez lehet a profi vírusvédelmi fejlesztési irány, legalább is a kisebb cégek védelmét illetően biztosan. És a feljesztés legfőbb iránya a "front-szervergép" alhálózat elérhetőségi-védelmi rendszer tökéletesítésének kellene hogy legyen. A jövőben én már az otthoni rendszer védelmét illetően is ebben gondolkodom. - Tekintettel az otthonokban rövidessen nagy számban megjelenő, "okos" háztartási gépek védtelenségére.)

Azaz adtam egy jó tippet a vírusvédelmi cégek számára. Tessék megjelenni a megfelelő, "emberbarát" hálózati hardver-szoftver együttessel a piacon, ezeket folymatosan el kell látni frissítésekkel, fejlesztésekkel. És végre nem kell kerülgetni a sokszínű "home" hálózatvédelmi megoldásokat. (A következő 1000 évre elegendő munkát fog jelenteni minden a szoftveres védelem terén dolgozó fejlesztőnek.)

Tudom a nagyvállalati szektor már ma sem élhetne az ilyen megoldások nélkül. De "holnapra" már az otthonok is "kiabálnak" védelmi szerverek után. Természetesen "felhasználó-barát" és "pénztárca-barát" megoldásra lesz szükség. - A holnap meg már ma elkezdődött! (Sajnos ismerve a nyugati világ rugalmasságát, ezek az eszközök is a "Nagy Tűzfal" mögül fognak megjelenni, és használatuk nagyban csökkenti majd a lokális, de a globális biztonságot is.)

Na ezen a téren lesz igazán létjogosultsága az előfizetéses szoftverfejlesztésnek!!! És hozzá kapcsolódóan egy biztos fejlesztői egzisztenciának is.

Lehet, inkább blogot kellett volna írnom? :)

Egyébként, ha hivatalból úgy gondolod, hogy minden ellen megvéd bennünket a korszerű Windows 10 és az MS biztonságos felhője, akkor ezt megértem.

Én ennél előbbre "szaladnék" kicsit. Én a saját házamban, a nem számítógépes egerek okozta "path"-okról is tudni szeretnék, legalább is, a kialakulásukkal egyidejűleg.

Túl sokan akarnak adatot gyűjteni, hivatalból és valószínűleg a szervezett bűnözés oldaláról is. Politikai és gazdasági hatalmi játszmák használják a gépeinket, botnet vagy p2p-s, VPN-es formában. Legtöbbször ugyanazokat a hátsó kapukat és nyitva hagyott csatornákat érintve.

Én tisztelem a tudásotokat, de a veszélyérzetetek szerintem alacsonyabb szintű mint egészséges lenne.

Kicsit úgy érzem, kialakult bennetek, "a nem kell ezzel nektek foglakozni, majd mi megoldjuk" vélemény, "mert ti úgy sem értetek hozzá"... De ha azok, akik egyébként értenek hozzá, a védelemhez nem hogy jó eszközöket nem adnak a kezeinkbe, hanem még azokat is elveszik, amelyek korábban még fejlesztési célt jelentettek, akkor engedjétek meg nekem a gyanakvó hozzáállást.

(Ti., Ha értek hozzá, ha nem, meg kell próbálni megvédeni magam, azaz a privát szféránkat. Meg kell keresnem az adekvát megoldásokat, mert mindég alakul valahogyan. Nem óhajtok semilyen "betolt" reklámot, sem böngészőben, sem voip-kliensben, sem operációs rendszer szintjén. Sem személyre szabottan, sem másként! Amit a Skype felületén látok, barkács, gusztustalan megoldásokat az szerintem egy ilyen nagymúltú céghez mint a MS nem méltó. - Emiatt nem is használok.., de más gépeit beállítva, rendszeresen találkozok vele.)

A "reklám" egyetlen formája, amely számomra elfogadható, ha valamilyen konkrét információra van szükségem egy megoldásról, és magam keresen meg azt. Példaképpen, ha rákos lennék, biztosan én is végigolvasnám a tenger sok hülyeséget a gyógyulás lehetőségeiről. (Lehet előbb halnék, mint érnék a végére...)

"Jó fiúk és a rossz fiúk." - Nem kajáltam be, tudom, hogy összetettebb. De amég az ellenkezőjét nem tapasztallom, addig bizalmat szavazok még az ördögnek is. (De utánna, már az angyaloknak sem...) És persze fenntartom mindenkinek a jogot arra, hogy mások legyenek a tapasztalatai, és meg is hallgatom azokat, ha valaki "megszán" velük. Ha kiderül, hülye voltam, készségesen elismerem.

Itt a "ti" nem tudom kire vonatkozik, én a fenti kommentemmel nem a Windows 10-re és az MS-re utaltam, hanem hogy kicsit túl van tolva nálad az antimalware téma, ráadásul nem vagyok benne biztos, hogy a leírtak alapján hatékony* lenne.

szerk:
* Értsd: én pl. darabszámra sokkal kevesebb antimalware-t használok (konkrétan csak egyet, az is a Defender), mégsem járt semmilyen kártevő a gépeimen az elmúlt kb. 10 évben.

Igazat kell adjak. Érdekes módon ott ahol a rendszer minden bitje jogilag rendben van, sokkal kevesebb az "előfordulás". Ott a Defender is "király" lehet.

De kivédhetelenül más-más applikációkat használunk. Ki többet ki kevesebbet. A tartalom fogyasztás igénye is más. Ha megeresztesz egy Defendert full keresésre, mennyi erőforrást számol a gépeden? (Nálam egy gépen, (W7) legutóbb 33 milliónál járt, amikor befejezte. Egy darab megemlítendő problémát talált. (Hozzáteszem, a DrWeb, a gépen 190-es kizárási-listával működtethető.. :-)

- A rendszer nem "up to date", a böngésző rajta egy 12.16-os Opera. Java is ezeréves, Flash is volt vagy 12-es. De a lényeg: a böngésző sandox-ban fut, és ez elég is tartósan a vírusmentességhez...

Szerintem a lényeges eleme a fejlesztéseknek: csak az jöhet be amit akarunk, és az mehet ki amit szintén. Számomra, - ne is haragudjatok, - a másként gondolkodó, nem gondolja helyesen. (Akkor is így van, ha manapság a felhasználók nem a gondolataikkal vezérlik a gépeiken lévő információáramlást. Mert ennek, jó esetben így kellene működnie.)

"Jó esetben így kellene..." - Ez már a Sci-Fi birodalma jelenleg, tudom. De a gépek egyre személyesebb "kapcsolatot" alakítanak ki az emberrel, Nem tehetünk rövidessen különbséget a személyiség és a gépe adta plusz memória, tudás, tapsztalat között. Mindenki, aki jól használja, megnyújtja a képességeit, végső soron a személyiségét is a számítógépei segítségével. Miért is kéne "agyturkászást" vagy "betolakodást" engednünk már a fejlődés elején, ha már látjuk a végét is?

"De a lényeg: a böngésző sandox-ban fut, és ez elég is tartósan a vírusmentességhez..."
Hogyne. A tartós vírusmentességhez felelős számítógép használat kell, aminek része a szoftverek folyamatos naprakészen tartása. Így a gépedre potenciálisan veszélyes dolgok egy igen jelentős részét kizártad. Ha minden felhasználó naprakészen tartaná legalább az alapvető szoftvereit (oprendszer, böngésző és beépülői) már sokkal-sokkal előrébb lennénk.

Tökéletes sandbox nincs, nagyon kreatívak a kitörési megoldások, ezért is fontos a sandboxot megvalósító szoftver folyamatos frissítése és a sandboxban futó szoftvereké is, ahol csak lehet.

Igen, a jó védelmi szoftver nem lehet "outdate". És a használat módja, - (hová megyek mit nézek, töltök le,) - sokkal meghatározóbb. Valamint mégegy.., fontos az eszköz megválasztása, (oprendszer, böngésző, plugin, stb.) ha a divatot, vagy a kényelmet követi valaki a számtechben, az köszönőviszonyban sincs a biztonságával.

Nem csak a vedelmi szoftver nem lehet outdated, jo esetben semmilyen szoftver nem lehet nyomos indok nelkul outdated.

"ha a divatot, vagy a kényelmet követi valaki a számtechben, az köszönőviszonyban sincs a biztonságával."

Ez valahol egy kompromisszum-jatek. Mit adsz fel a kenyelmedbol a biztonsagodert. Sosincs egy jo valasz, ez mindig egyenfuggo lesz.
--
Blog | @hron84
Üzemeltető macik

> Vagy legalábbis nem látod :-)

Azért én nem aggódnék emiatt. :)

> Említettem már itt, valahol egy fejtágításon mondták pár éve, hogy Magyarországon kb. minden negyedik gép botnet része

Hoppá, azért az nem kevés, ezekre a slide-okra azért én is kíváncsi lennék. :D A MS ad ki félévente security reportokat, abban pl. lehet találni ilen statisztikákat, de itthonra csak 15-17 százalékos encounter rate-et jelentettek, és az még nem is a fertőzések száma. A gépek negyede azért elég durván hangzik, persze láttunk már karón varjút.

http://www.microsoft.com/sir

Tudom mire gondolsz, nekem is Defender van a gepemen.

Osszes SW etc jogtiszta a gepemen, nem latogatok gyanus honlapokat, nem toltogetek le orrba-szajba.
De egy ideje motoszkal bennem ,hogy azert nem jelez a Defender mert nincs mit, vagy mert nem talalja meg :D

--

"You can hide a semi truck in 300 lines of code"

Miért is van nálam 190-es kizárási-lista két víruskergető között? (Már, hogy azokra a "tool"-okra a Defender soha nem reagált negtívan. - De például Malwarebytes indulását már tudja "fogni" egy-egy frissítés után rendesen.

Sztem., egy Malwarebytes manuális vizsgálatot a Defender mellett időről-időre megérdemel. Én szoktam azzal is.

Egy korábban évekig használt könyvtárszerkezet, (amit mindig látsz, ha az PEN mountolva van...) a fertőzéskor eltűnik, és eredeti tartalom helyett egy "PEN-könyvtár-link"-et látsz a fájlmenedzserben. (Adott esetben TC-ben..)

Az a baj, a link fogalmát /hardlink v. szoftlink/ értelemben nem tudom megadni, nem tudom ez melyik eset. Mert amég aktív a vírus, ezen a helyzeten nem tudsz érdemben változtatni, utána meg egyszerű "névtelen" könyvtárrá válik. (Próbálhatod, de visszaírja,) - Azaz esetleg még az eszenbe jutott, hogy egy megosztást csinál valamilyen konkrét jogosultsággal..? - Esetleg a könvtárszerkezet indexelését nem tudja a gyökérből megcsinálni, ha ő is rajta van, ezért mozgat el?

Érthető okokból a hálózaton, ezt a részét nem néztem, mert az egész hálózatot "lelőttem", amég a gépeket egyenként letakarítottam.

Amire, ha rákattintasz, természetesen "kiadja" a könyvtárat. (Amikor a vírus le van takarítva, utánna már áthelyezéssel visszatehető az eredeti gyökérbe. Marad utánna egy névtelen könyvtár. Ami ilyenkor már törölhető.

De hát azért tettem fel a "Copy"-ra, becsomagolt állapotban, onnan le lehet tölteni, csak rá kell másolnod egy PEN-re a huszonpármegás állományt.... - (Nem CTB-Locker az biztos, mert ennyivel nem úsztuk volna meg.)