A főpanasz pendrive-nál jelentkezett, állítólag összeomlott tőle az intéző.
Meg hogy nem ment az internet explorer sem facebooktól összerongyolta magát (állítólag).
De nem is ez a lényeg.
Hát mindjárt indulásképpen legyalultam az összes létező felpolcolt böngésző eszköztárat mielőtt
bármit megnyitnék ,
a szokásos ask.bar os mellett valami ST bigyó volt, a rendszer állítólag amúgy vírusmentes volt,
2 pendrive-al sem sikerült reprodukálni a hibát persze,
meg a külső vinyóval sem, az "állítólagos bűnös"
meg éppen nem volt meg, úgyhogy akko projekt stornó.
A facebook is bejött az IE-vel.
Ilyenkor néha elkap egy olyan képzet, hogy aki
feltalálta az első 3rd böngésző eszköztárat annak seggébe egy lángoló 3ágú szigonyt kéne
felnyomni, mert ezt a trendet kár volt bevezetni...
Azért a külső vinyóról bootoló knoppixból ráeresztettem egy clamscant a windows/system32-re
ha már feleslegesen elcipeltem.
az adsmsext.dll-ben talált valami trojan kilencezerakárvalamit,
megnéztem detect-pua no -val is, de úgy is megtalálta,
2 free online vírusscannerre feltöltve csak a clamav találta meg,
úgyhogy fals pozitív,a cucc dátum meg a verzióadatok, aláírás alapján is igencsak eredetinek tűnt,
azért elvittem későbbi vizsgálatra puszta kíváncsiságból.
Itthon aztán puszta kíváncsiságból rákerestem vacsora alatt,
meg leszedtem egyet egy dll oldalról a méret stimmelt,
de az sha sum már nem, és a vbindiff is talált eltéréseket.
A dll oldalról letöltött fájlban nem talált persze semmit.
Gondoltam röhögök egyet, letöltöttem egy winxp_sp3_eng és egy winxp_sp3_hun-t az MS-től,
ha már úgy is ráérek.
wine-al kicsomagoltam, és cabextract-al kiszedtem a cabinetből a dll-eket.
A tipp bejött ! Az angol verzió "vírusmentes" volt,
de a magyar sp3ban megtalálta a képzelt trojant. :-)))
Az elhozott fájl és a magyar sp3ban levő amúgy megegyezett sha pontossággal
nem túl meglepő módon.
És a két fájl (SP3_HUN, SP3_ENG) bár méretre verziószámra megegyezik tartalmában némileg valóban eltér.
Nincs tanulság, csak szerintem vicces, gondoltam felrakom röhögjetek ti is. :-)
Gondolom az vírusírtó-adatbázisban a kérdéses dll-t angol verzióra és SHA* ellenőrzésre vizsgálják és teszik fehérlistára, aztán ha nem passzol akkor biztos trojan :-)
Beküldtem clamavnak falspozitivként, ha megoldják megoldják, ha nem nem. Innentől ismert bug. :-)
- Oscon blogja
- A hozzászóláshoz be kell jelentkezni
- 1305 megtekintés
Hozzászólások
"Ilyenkor néha elkap egy olyan képzet, hogy aki feltalálta az első 3rd böngésző eszköztárat annak seggébe egy lángoló 3ágú szigonyt kéne felnyomni, mert ezt a trendet kár volt bevezetni.."
++;
- A hozzászóláshoz be kell jelentkezni
[like]
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
> Beküldtem clamavnak falspozitivként, ha megoldják megoldják, ha nem nem. Innentől ismert bug. :-)
Respect, kevesen csinálnak ilyet.
- A hozzászóláshoz be kell jelentkezni
Ez a különös program PDF-eket is vírusnak látott.
- A hozzászóláshoz be kell jelentkezni
A ClamAV-ot nem feltetlen a megbizhatosaga miatt szeretjuk, arra vannak mas programok.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Akkor mégis miért? Ellentmondást érzek.
- A hozzászóláshoz be kell jelentkezni
Felreertheto voltam. A virusokat kiszuri - csak a fals pozitivok tekinteteben nem annyira megbizhato.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni