Viruses-Θεραπεία χωρίς φάρμακα

AnINffected · Post by **AnINffected** » Fri Aug 27, 2004 5:17 am

Γειά σας & καλό χειμώνα...

Θα ήθελα να σας ρωτήσω, πώς κάποιος που υποψιαζεταί την παρουσία ιού στον υπολογιστή του μπορεί να αναγνωρίσει τον ιό που τον απειλεί χωρίς την υποστήριξη κάποιου προγράμματος antivirus.

Λίγο καιρό πρίν ανακάλυψα οτι το Norton Antivirus το οποίο χρησιμοποιώ είχε κάνει quarantine ενα αρχείο το οποίο οπως αναφερόταν είχε μολυνθεί από το πρόγραμμα W32.Gaobot.gen.Έκανα full scan και δε βρεθηκε τιποτα.Εψαξα στο net για πληροφορίες περί της δραστηριότητας του εν λόγω σκώληκα.Βρίσκοντας ποια κλειδιά επηρεάζει, το έλεγξα στη registry αλλα δε βρήκα αλλαγές στα εν λόγω κλειδιά.Επίσης προσπάθησα να διαπιστώσω αν αθελά μου ενεργοποιήσει κάποια από τις περιβοητες "αδυναμίες" των WinXP βάσει των settings που είχα, με αρνητικά αποτελέσματα.Καλού-κακού κατέβασα και το removal tool για το Gaobot.Μέχρι και online scan έκανα, αλλά πάλι δε βρέθηκε τιποτα!

Εν τω μεταξύ τα συμπτώματα στον υπολογιστή μου χειροτέρευαν.Αλλαγές στα settings ήταν στην ημερήσια διάταξη, ενώ εγιναν και προσπάθειες για αυτόματη συνδεση στο internet και, το χειρότερο, είχα έναν άγνωστο λογαριασμό στα Windows...Μέσα στην απελπισία μου χρησιμοποίησα και το removal tool-ματαια φυσικά-και αφού ειχα στερέψει απο ιδέες στράφηκα στην εσχατη λύση του format.

Και καταλήγω:

Κατανοώ ότι είχα καποιο backdoor και dialer στον υπολογιστή μου.Το θέμα είναι, πώς μπορώ γενικώς να ανακαλύψω το όνομα ενός ιού όταν δεν μπορει να το ανακαλύψει το antivirus και εγώ την ίδια στιγμη διαθέτω ελάχιστες πληροφορίες για τις ενέργειες του ώστε να τον αντιμετωπίσω μόνος.Ακόμη και αν ξέρω τι συμβαίνει στο σύστημα ανα πάσα στιγμή,το να γνωρίζω τις ιδιαιτερότητες κάθε ιού ή να έχω απο ένα removal tool για το καθένα δεν ειναι μάλλον και τόσο πρακτικό...οπότε εδώ χρειάζομαι μια συμβουλή, άν είναι δυνατόν!

Ευχαριστώ πολυ και συγγνώμη αν σας ταλαιπωρησε το μεγεθος του post.
ΕΑΦΤΟΠΑ
(Ένας Ακόμη Φοιτητής Του ΟΠΑ)

Υ.Γ:Υπάρχει περίπτωση να ήταν κάποιος νέος ίος, και εγώ ένα από τα πρώτα θύματα;

TaRaNTuLa · Post by **TaRaNTuLa** » Fri Aug 27, 2004 1:17 pm

Βασικά...βάλε ένα firewall για να μπορείς να ελέγχεις(όσο το δυνατόν καλύτερα) τα ports του pc σου.μόλις θα πάει κάποιο προγραμματάκι-σκώληκας-bug να "κουνηθεί" για να χρησιμοποιήσει ένα port,θα σου πετάξει αμέσως ένα popup message που θα σου λέει ότι "το τάδε πρόγραμμα θέλει να χρησιμοποιήσει το τάδε port".Έτσι αποφεύγεις πολλά.Για το Norton δεν έχω και πολύ καλή άποψη...θυμάμαι ότι έβρισκε το blaster,αλλά δεν μπορούσε να κάνει κάτι.Το ίδιο συμβαίνει και με άλλα bugs...Το antivirus δεν αποτελεί πανάκεια.Απλά σε καλύπτει από τις εξαιρετικά διαδεδομένες περιπτώσεις.Υπάρχουν φορές που bugs δεν έχουν φτάσει σύντομα στο lab της εκάστοτε εταιρίας,με αποτέλεσμα να μη συμπεριλαμβάνει τα signatures αυτών των ιών στα updates,δηλαδή δεν είσαι καλυμμένος...

Proxenos · Post by **Proxenos** » Fri Aug 27, 2004 4:23 pm

Δοκίμασε να βάλεις και κάποιο προγραμμα για adware, όπως το Ad-Aware...

Post by **HdkiLLeR** » Fri Aug 27, 2004 6:26 pm

AnINffected wrote: Το θέμα είναι, πώς μπορώ γενικώς να ανακαλύψω το όνομα ενός ιού όταν δεν μπορει να το ανακαλύψει το antivirus και εγώ την ίδια στιγμη διαθέτω ελάχιστες πληροφορίες για τις ενέργειες του ώστε να τον αντιμετωπίσω μόνος.Ακόμη και αν ξέρω τι συμβαίνει στο σύστημα ανα πάσα στιγμή,το να γνωρίζω τις ιδιαιτερότητες κάθε ιού ή να έχω απο ένα removal tool για το καθένα δεν ειναι μάλλον και τόσο πρακτικό...οπότε εδώ χρειάζομαι μια συμβουλή, άν είναι δυνατόν!

Κοίταξε να δείς, αυτό που ζητάς μπορεί να είναι απο εύκολο μέχρι αδύνατο και εξαρτάται απο τον ιό αλλά και απο εσένα(γνώσεις, ικανότητες κλπ κλπ). Αυτό που μπορείς να κάνεις κυρίως είναι απλά ένα tracing στο σύστημα για να δεις σε τι κατάσταση είναι. Πχ εάν είναι standalone vrii ή προσβάλει άλλα files και τρέχει μέσω αυτών, εάν είναι κάποιο trojan(πχ ανοίγει remote shell/cmd spawn για να μπαίνουν άλλοι στο pc σου, εάν συνδέεται remotely κάπου, έαν προσπαθεί να στέιλει mail κλπ κλπ). Εάν βρείς κάτι τέτοιο και έχεις όρεξη μπορείς να δείς τι στέλνει. Πχ εάν συνδέεται κάπου(σε κάποια remote address όταν είνσαι net) τι αποστέλει...Αυτό βέβαια δεν είναι ότι και πιο εύκολο μιας και ο ίδιος ο ιός μπορεί απλά να στέλνει διαφορά passwords που βρήκε αλλά να μην τα στέλνει plain text μα encrypted...Εκεί πρέπει να είσαι μάστορας για να "σπάσεις" εάν γίνεται την κρυπτογράφηση, να δεις τι στέλνει και να καταλάβεις διάφορα...Γενικά αυτό που κάνεις είναι reverse enginnering και είναι αρκετά δύσκολο. Συνήθως περιμένεις να γίνει μπούγιο και να βγεί το removal tool απο κάποια εταιρία που θα κάνει τα παραπάνω για σένα.

AnINffected wrote: Υ.Γ:Υπάρχει περίπτωση να ήταν κάποιος νέος ίος, και εγώ ένα από τα πρώτα θύματα;

Σίγουρα. Επίσης μπορεί να ήταν και κανένας τελειωμένος ιός που καμία εταιρία δεν έχει βγάλει removal tools.

AnINffected · Post by **AnINffected** » Mon Aug 30, 2004 4:26 am

Firewall έχω αλλά, μία και ανέφερες τα ports...

Μήπως ξέρετε κανένα-freeware ει δυνατόν-προγραμματάκι που να δείχνει ποια ports είναι ανοιχτά ανα πάσα στιγμή και να σου δίνει τη δυνατότητα να τα ανοίξεις/κλείσεις κατα βούληση;
Γιατί νομίζω πως το ZoneAlarm παρέχει εν μέρει μόνο αυτές τις λειτουργίες.

Ευχαριστώ για τη βοήθεια.

Post by P3 » Mon Aug 30, 2004 9:45 am

Ναι ας πει κάποιος κάτι γιατί κι εμένα με ενδιαφέρει.

Post by **HdkiLLeR** » Mon Aug 30, 2004 1:07 pm

Για windows μιλάμε; Για να δείς ποιά port είναι ακοιχτά βρές ένα port scanner και κάνε scan σε εσένα(tcp+udp). Απο εκεί και πέρα για να τις κλείσεις έχεις δύο τρόπους. Η κλείνεις το service που τρέχει και ακούει στο port αυτό ή βάζεις ένα firewall(το οποίο προυποθέτει σωστή ρύθμηση). Εάν είναι να κάνεις block όλο το traffic σε ένα port τότε καλύτερα κλείσει το service/

Post by **Einherjar** » Mon Aug 30, 2004 1:10 pm

παλιότερα είχα χρησιμοποιήσει το iptools. Παρείχε πολλές δυνατότητες παρακολούθησης και διαχείρησης. Δεν ξέρω ποια είναι η τύχη του προγράμματος αυτή τη στιγμή. Κάνε ένα googling και πιθανότατα θα το βρεις

TaRaNTuLa · Post by **TaRaNTuLa** » Tue Aug 31, 2004 10:46 pm

Ανά πάσα στιγμή,με την εντολή "netstat -a" στο command line,βλέπεις τι παίζει με τα ports του υπολογιστή σου...

Post by **HdkiLLeR** » Wed Sep 01, 2004 3:43 am

TaRaNTuLa wrote:Ανά πάσα στιγμή,με την εντολή "netstat -a" στο command line,βλέπεις τι παίζει με τα ports του υπολογιστή σου...

Βλέπεις active connections όχι passive. Πχ εάν ένα service "ακούει" στο Port 140 UDP τότε αυτό δεν θα το δείς ποτέ εάν δεν ανταλάσει εκείνη την στιγμή κάποιο UDP datagram.

TaRaNTuLa · Post by **TaRaNTuLa** » Wed Sep 01, 2004 10:30 am

Noμίζω πως υπάρχει ο χαρακτηρισμός "listening" για αυτά που "ακούνε" ή "την έχουν ακούσει"...

Καθώς επίσης και ο "established" για αυτά που ανταλλάσουν datagrams... H παράμετρος -a αυτό το σκοπό εξυπηρετεί.Ναι,αν γράψεις μόνο "netstat",τότε θα βγάλει μόνο αυτές που λες εσύ.

Post by **HdkiLLeR** » Wed Sep 01, 2004 11:36 am

TaRaNTuLa wrote:Noμίζω πως υπάρχει ο χαρακτηρισμός "listening" για αυτά που "ακούνε" ή "την έχουν ακούσει"... Καθώς επίσης και ο "established" για αυτά που ανταλλάσουν datagrams... H παράμετρος -a αυτό το σκοπό εξυπηρετεί.Ναι,αν γράψεις μόνο "netstat",τότε θα βγάλει μόνο αυτές που λες εσύ.

Αχ ...ήταν 3.45 μην με παρεξηγείς ...ούτε που είδα ότι είχε και παράμετρο

TaRaNTuLa · Post by **TaRaNTuLa** » Wed Sep 01, 2004 6:02 pm

HdkiLLeR wrote:Αχ ...ήταν 3.45 μην με παρεξηγείς ...ούτε που είδα ότι είχε και παράμετρο

Aχ!Αααχ!!! Γιατί ξενυχτάς αφού δε σε θέλει!!!

Post by **HdkiLLeR** » Wed Sep 01, 2004 9:51 pm

Είμαι στις αλλαγές γι' αυτό...Τα υπόλοιπα Post που είναι κατά τις 5.30 είναι κυριλέ...Αυτό ήταν και μετά απο πιθανότητες

Viruses-Θεραπεία χωρίς φάρμακα

Viruses-Θεραπεία χωρίς φάρμακα

Re: Viruses-Θεραπεία χωρίς φάρμακα