Feljövőben a rootkitek
(Vírushiradó.hu cikk)

A rootkitek és kártevők közé nem tehetünk egyenlőségjelet, hiszen önmagukban nem károsak. A pontos definíció szerint olyan programokról van szó, melyek képesek elrejteni, álcázni önmaguk és más szoftverek jelenlétét. Ez azt jelenti, hogy sem a felhasználó, sem a biztonságtechnikai programok nem képesek észrevenni, hogy kompromittálódott a rendszer. Természetesen bizonyos speciális technikákkal észlelhető a jelenlétük, ez azonban speciális szaktudást és mély rendszerismeretet igényel.

2006 első negyedévében a McAfee antivírus cég víruslaborjának felmérése szerint 700 százalékkal növekedett a rootkitek száma az előző év hasonló időszakához képest. A számokat vizsgálva megdöbbentő eredményekre juthatunk: amíg 1986-ban csak alig néhány rootkit létezett, tavaly egész évben kb. 800 típust találtak, addig idén csak az első három hónapban 827 különféle álcázóprogramot azonosítottak.

A rootkit téma tavaly ősszel kapott nagy nyilvánosságot, mikor napvilágra került, hogy a Sony BMG zeneipari óriás illegális, rootkites másolásvédelmet használt bizonyos zenei CD-n. Amellett, hogy a vásárlókat nem tájékoztatták megfelelően, a „megfertőzött” számítógépekről roppant nehéz volt eltávolítani a rootkitet, mely számos valódi vírusnak hátsóajtót is nyitott, megkönnyítve a támadást.

„Azt a trendet figyelhetjük meg, hogy a víruskészítők egyre fertőzőbb és ellenállóbb kártevőket készítenek, melyek mind az üzleti, mind az otthoni felhasználók számára veszélyt jelentenek,” közölte Stuart McClure, a McAfee egyik alelnöke.

Emellett megjelenik a nyílt forráskódú fejlesztési környezet, egyre több internetes oldalon érhetők el a különféle kártevők forráskódjai. A rootkit téma annyira felkapott lett, hogy dedikált weblapok foglalkoznak a kérdéssel, és az aktív tagok fórumokban beszélik meg új tapasztalataikat, ötleteiket.

Ez egy bizonyos szintig jó, hiszen a védekezéshez szükséges a rendszerek minél mélyebb ismerete, illetve az „ismerd meg az ellenséged” szlogen maximálisan igaz a vírusvédelemre, informatikai biztonságra. A veszélyt az jelenti, hogy szinte bárki hozzáférhet ezen forráskódokhoz, és kisebb módosításokkal egy új kártevőt hozhat létre.

Biztonsági szakértők szerint a legtöbb rootkit a különféle Windows operációs rendszerek alá készül, ha figyelembe vesszük az elterjedtségét, ez teljesen érthető. Természetesen továbbra is számos unixos, linuxos rootkit kerül nyilvánosságra, hiszen eredetileg is ezekre a rendszerekre készítették őket, és a hackerek körében jelenleg is nagy igény van jól működő unixos álcázóprogramokra.

A felhasználók szemszögéből a védekezés érdekében olyan antivírus programot célszerű használni, mely rendelkezik rootkit-felismerési képességgel, ilyen például az F-Secure Internet Security, vagy az ingyenes elérhető BlackLight beta termékük.

_________________
Vigyázz, minotaurusszal vagyok, és nem félek használni!
Heroes3 map editor Codex v3.0

Kedves Fórumozók!

Indítani kellene Vírus Ellenes Kampány-t.Sőt most indítok is
Aki beakar szállni az ügybe írjon e-mailt.Már is kezdem keresni a vírusirtók linkjeit és néhány jó tanácsot!

_________________
Üdv. Fifi
R.I.P.
BordoMavi!!!

Van egy nagyon jó haverom.Profi programozó.Tanult már mindenhol.Azt mondta hogy az első vírusokat csak szórakozásból írták.Ezek olyanok voltak mint egy hibaüzenet.Szia, Üdvözöllek szerűségeket írtak ki.Internet és az e-mail megjelenésével jöttek létre az e-mailos vírusok.Ezek olyanok voltak hogy beérkeztek a postafiókra és az összes címzettnek elküldte önmagát a vírus.És azt is mondta hogy már nem lehetett Amerikában küldeni mailt(mert hogy ott is tanult) mert azt jelezte a gép hogy foglalt a postafiók mivel hogy tele volt vírussal.

Még olyanokat is mesélt hogy amikor tanult programozni volt olyan tantárgy hogy környezet-informatika vagy ilyesmi.És olyanok tanultak hogy az egysejtűek hogy komunikálnak számítógép nyelven
Akkor tanulnia kellett híd tervezést azért hogy programozó legyen.

Mindig érdekeseket mond.

_________________
Üdv. Fifi
R.I.P.
BordoMavi!!!

Hajrá, Fifi!

Az ötlet jó, de tényleg használható vírusmentesítők legyenek!

Egy nyomasztó cikk a Vírushiradó.hu-ról:



Segítség, támad az internet!

1991-ben vetítették a mozikban a Terminator 2 című SciFi filmet, melyben emberszabású robotok próbálják kiirtani az emberiséget. A lázadás egy katonai célú hálózat, a Skynet öntudatra ébredésével kezdődött. Három-négy évvel ezelőtt az internet valós botnetjei még csak szárnyukat próbálgatták, mára viszont az egyik legnagyobb fenyegetéssé nőtték ki magukat. A legnagyobb ismert és leállított botnet 1,5 millió gépet számlált, de számos olyan létezik, mely 1, 2, 5 vagy 10 ezer gépet fog össze egy kézben. Jelenleg sem intelligenciában, sem képviselt erőben nem mérhetőek össze a Skynettel, de a növekedés tendenciája riasztó.

Mi is a botnet? Számítógépek csoportja, melyek valamilyen program segítségével a tulajdonosuk tudta nélkül irányíthatóak egy vagy esetleg több helyről. Az egy időben vezérelhető gépek száma a százastól akár a milliós nagyságrendig is terjedhet. Szakértők szerint egy átlagos botnethálózat 5- 10 ezer gépet számlál. Többségük (26%) jelenleg még az Egyesült Államok területén található, de a széles sávú hálózatok terjedésével ez a tendencia folyamatosan csökken.

Kéretlen reklámlevelek
Egy botnet számos módon használható fel pénzszerzésre, ennek egyik legelterjedtebb módja kéretlen reklámlevelek tömeges szétküldése. Felmérések szerint a szétküldött reklámlevelek címzettjeinek elenyésző százaléka ugyan, de vásárol. Ebből következően minél több üzenetet küld szét valaki, annál nagyobb bevételre számíthat. Mivel a levelek szétküldési költségeit nem Ő állja, akár milliós nagyságrendben is gondolkodhat a spammer. A szétküldött e-mailekben azonban nem csak reklám lehet: újabb gépek igába hajtásához kártevőket, banki információk megszerzéséhez adathalász leveleket is lehet tömegesen szétküldeni.

A valós probléma tehát nem a spam, vagy az adathalász levél, ezek inkább következmények. Az igazi baj a botnet hálózatok létezése, terjedése, növekedése.

A káros tartalom fő forrásai a botnetek
Túl a számtalan levél szétküldésén, általában a botnetek adnak otthont az adathalász levelekben szerepeltetett megtévesztő weblapoknak is: így az elosztott rendszereken futtatott webszerverek igen nehezen kapcsolhatók le, és gyakran illegális tartalmat tárolnak. A feltelepített trójai program, ami lehetővé teszi a spam küldést, akár a mi jelszavainkat és banki adatainkat is ellophatja. Szintén 'népszerű' felhasználási mód az elosztott szolgáltatásmegtagadási támadás, vagy ezzel összefüggő zsarolás. A támadás gyakorlatilag kivédhetetlen: több ezer vagy akár millió gép bombázza kérésekkel a kiszemelt gépet, amely így akár össze is omolhat, vagy csak egyszerűen a nagy terhelés következtében a hasznos felhasználók kiszolgálása lesz lassú vagy lehetetlen.

A bűnüldöző szervek ugyan már felszámoltak néhány botnetet, de legtöbbjük megmaradt. Akad egy két jóérzésű ember is, aki időt és fáradtságot nem sajnálva 'vadássza' a botneteket, de túl sokat ők sem tehetnek. [Jogilag ugyanolyan bűncselekmény valakinek a tudta és beleegyezése nélkül a gépéről eltávolítani egy kártevőt, mint megfertőzni vele.]

Sokan gondolják úgy, hogy "Nem az én problémám", de ez nincs így. Ha elérhető helyen hagyunk egy fegyvert, és azzal valaki bűncselekményt hajt végre, akkor mi is vétkesek vagyunk. Internetre kötött számítógépünk is 'fegyver', melyet bűnözők nagy tömegben felhasználva komoly bűncselekményeket hajtanak végre. Fizikailag ugyan nem megy tönkre egy zombi gép, de felhasználóját számos módon károsíthatja meg: a megnövekedett adatforgalom miatt a szolgáltató letilthatja az internet hozzáférést, lassabb lehet a böngészés és a levelezés, és a számtalan kéretlen levél, ami postafiókunkban kiköt, akár pont a mi gépünkről is származhat. Nem igaz tehát a "Nem az én problémám" frázis, mindenki érdekelt a kérdés megoldásában. Figyeljünk tehát oda, hogy mi történik gépünkkel, és máris tettünk valamit egy jobb, kevesebb káros tartalommal rendelkező internetért.

_________________
Vigyázz, minotaurusszal vagyok, és nem félek használni!
Heroes3 map editor Codex v3.0

Kedves Fórumozók!

Össze dobtam valamit (de majd több minden lesz) a necropolis.tvn.hu-n.
De ide is szeretnék tanácsokat írni:

MOZILLA FIREFOX és az AVG FREE !!!MUSZÁJ!!! minden internetes gépre!!!
Mert a firefox nem engedi betölteni a vírusos fájlokat és szerintem gyorsabb mint az ie.
AVG Free meg ingyenes és naaaaaaaaagggggyyyyyyyoooonn jóóó!!!

_________________
Üdv. Fifi
R.I.P.
BordoMavi!!!

Egyetértek, az AVG Free a legjobb vírusirtó az összes közül, amit próbáltam.

_________________

Balee / Zsibi

Valaki talán tud segíteni.

Pár napja, furán viselkedik a gépem. A NOD32 naprakész mindig, de nem talál vírust. Az Ad-Aware SE Professional sem talál semmit, viszont a BPS Spyware & Adware Remover állandóan kimutat egy kémprogramot, amit töröl is rögtön a vizsgálat után, de minden nap újra és újra visszatér. Vajon mi lehet ez? Okozhat gépújraindulást vagy fekete képernyőt? Ha meleg a gép, és újraindul, be se tölti a windowst. Nagyon durva, mintha valami más lenne, de valami gáz van...

Szóval ez az a bizonyos kémprogram:

Spy Registry Key - Fantibag

Itt találta a Rendszerleíró adatbázisban: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpFilterDriver\Enum

Nektek van ilyen kulcsotok az adatbázisban? Rendszeresen törlöm, de visszatér...

Mi a fene lehet ez a Fantibag???

_________________


Freemy

Rákerestem a Googleben a Fantibag szóra, és csupa angol lapot találtam a leírásáról, de mivel tudom, hogy neked a német a testhezállóbb, ezért megtaláltam ugyanezt németül is
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-trojan.fantibag.a.html

_________________
Mindannyian őrültnek születünk. Néhányan azok is maradunk.

Utánanéztem, és gondoltam, nem árt, ha ide beírom!

Tûzfallal védekezik eltávolítása ellen egy új vírus
szerzõ: Sting, idõ: 2005.06.30. 10:15, forrás: F-Secure

Az F-Secure biztonsági cégnek a napokban sikerült egy olyan új vírust azonosítania, amely meglehetõsen ügyes trükkel próbál meg felfedezése és eltávolítása ellen védekezni. A "Fantibag" nevû kártevõ ugyanis fertõzés során egy csomagszûrõ tûzfalat telepít a gépre, amelyet arra használ fel, hogy megakadályozza az eltávolításával kapcsolatos információkat ill. segédeszközöket kínáló weboldalak és kiszolgálók elérését.

Bár a kártevõk eltávolítására használható információkat és eszközöket kínáló weboldalak elérésnek megakadályozása nem új ötlet a vírusok körében, az eddig ismert ilyen jellegû megoldások könnyen felismerhetõek és deaktiválhatóak voltak. Ezek ugyanis a blokkolást jellemzõen a névfeloldási folyamat manipulálásával érték el, amely azonban könnyen felismerhetõ, a korlátozás pedig a gyakorlottabb felhasználó által akár "kézzel" is feloldható.

A Fantibag az alapötletet jelentõsen továbbfejlesztve azonban nem csak címzési zavart okoz a gépben, hanem ténylegesen blokkolja a diszkriminált weboldalak és szerverek felé irányuló forgalmat. Így például a gépre korábban feltelepített vírusirtó akkor sem lesz képes frissíteni önmagát, ha a névfeloldás tekintetében nem hagyatkozik a gépre, vagy a gyártó által elõre rögzített IP címekkel próbálja meg a frissítések ügyében a kapcsolatot felvenni.

A látszólag hálózati zavarnak tûnõ probléma valódi okának megállapítása még gyakorlott szakemberek számára is komoly fejtörést okozhat, amelynek köszönhetõen a vírus jelenlétének ténye akár hosszabb ideig is rejtve maradhat az áldozatok elõtt. Utóbbiaknak még a vírusirtó alkalmazások is csak korlátozottan tudnak a segítségükre lenni, hiszen a blokkolás képtelenek lesznek a kártevõ azonosítását lehetõvé tevõ vírusdefiníciós állományaikat az Interneten keresztül frissíteni.

A kártevõrõl és mûködésének részleteirõl az érdeklõdõk az F-Secure oldalain olvashatnak további információkat - feltéve persze, hogy gépükön még nem tanyázik a Fantibag, és nem blokkolja már jelenleg is a cég oldalához történõ hozzáférést.

Ezt találtam az eltávolításáról, de nem értek angolul. Valaki segítsen! Köszi!
http://www.f-secure.com/v-descs/fantibag_b.shtml

_________________


Freemy

Köszi! De sajnos az itt található dolgok nálam nem voltak a gépen... Valami más, talán bonyolultabb problémám lesz.

_________________


Freemy

Nem ez az? Akkor nem tudom, mi lehet a gond, nem vagyok igazi szakértő az ilyen témákban. Kérdezz meg valakit, aki jobban ért ehhez. Ha pedig semmi nem segít, akkor adatmentés, és merevlemez-formatálás

_________________
Mindannyian őrültnek születünk. Néhányan azok is maradunk.

Igen, ez egy megoldás, de jelenleg időm nincs rá... Valahogy csak megoldom, ha más nem lesz, naponta törlöm azt a regisztrációs kulcsot!

_________________


Freemy

Sajnos a helyzet egyre rosszabb. Minden alkalommal, mikor csatlakozok a netre, letölti a vírust, és amint ez aktíválja magát, lefagyasztja, újraindítás után pedig 99 százalék az esély arra, hogy zombi gépet kapok, ventillátorpörgéssel és fekete képernyővel... Ilyenkor semmit sem lehet tenni a géppel. Ha véletlenül sikerül csökkentett módban indítani, már meg sem találja a vírust vagy kémprogramot.
Hogy lehetne megtalálni és kizárni, hogy mindig letöltse a vírust? A registryben?Mióta ilyen a helyzet, szinte mindig mobilról jövök (ahogy most is), és míg nem találok igazi megoldást, ez így is fog maradni. Format kellene, de arra időm nincs.

_________________


Freemy

Kedves freemy!
Szerintem a legjobb az lesz ha beszerzed az ewido-t.Lehet hogy az segíteni fog.Vagy Spybot Search and Destroy-t.én ezeket használom és azóta tiszta a gépem.

_________________
Üdv. Fifi
R.I.P.
BordoMavi!!!

freemy!

Az a problem, hogy egyes vírusok, kémprogramok, állandóan futattják magukat a memóriában, és hiába törlöd őket, azonnal visszaíródnak. Próbáld ki a következőt:
- gép csökkentett üzemmódban való újraindítása
- itt keress rá a regisztriben az említett cuccosra (biztos, hogy több helyen is szerepel) -> öld meg őket
- ürítsd ki a Temporary Internet könyvtárat, és az összes létező Windowsos temp könyvtárat (töröld, destroy ) - van belűlük egy pár
- esetleg próbálj meg futtatni ilyenkor egy regisztrációs karbantartó progit, pl. a már ajánlott RegCleaner-t
- tölts le egy rootkit eltávolító programot http://www.f-secure.com/blacklight/ és futtasd, mert lehet, hogy azod van (ezt még előtte)

Sok sikert!

_________________
Vigyázz, minotaurusszal vagyok, és nem félek használni!
Heroes3 map editor Codex v3.0

Egy aranyos hír (hehe):


A Microsoft is belép az antivírus piacra

Három évvel ez irányú szándékuk bejelentése után a Microsoft a mai nappal kezdni el árulni a Windows OneCare Live szolgáltatását az Egyesült Államokban. A termék antivírus, kémszoftver-ellenes, tűzfal, biztonsági mentés és rendszeroptimalizációs funkciókat is magában foglal. Dennis Bonsall, a OneCare-projekt vezető termékmenedzsere elmondta: „Új stílust teremtünk, már nem csupán a biztonságról van szó, hanem a PC teljes körű gondozásáról.”

A termék egy éves előfizetési díja 49,95 dollár lesz, ezért az összegért cserébe három otthoni számítógépen is használható lesz a szolgáltatás. Ez egyben azt is jelenti, hogy a OneCare versenyképes alternatívát nyújthat a tradicionális antivírus gyártók termékeivel szemben.

A vírusirtó piacon vezető Symantec már tiltakozását is kifejezte, és pert fontolgat a Microsoft ellen, amiért az óriáscég olyan funkciókkal tervezi felvértezni következő Windows operációs rendszerét, mely ellehetetlenítené a kisebb biztonságtechnikai vállalatokat. Szakértők szerint a sárga óriás most rosszul időzített, és a múlt héten nyilvánosságra került, a termékeit érintő igen súlyos biztonsági hibák miatt visszakozásra kényszerülhet.

Jelenleg az is kérdéses, hogy a fogyasztók mennyire fognak megbízni a Microsoft antivírus programcsomagjában – a vírusirtó programok többek között éppen a Windows megfertőzésétől védenek. „Ha a Microsoft képtelen biztonságos operációs rendszer készíteni, akkor miért kellene elhinnünk, hogy éppen a védelmi szoftverük lesz biztonságos?” – teszik fel az ehhez hasonló kérdéseket az online fórumokban az internetezők.

A tesztidőszak során egyébként félmillióan tesztelték a OneCare-t, a visszajelzések alapján pozitívan tekint a jövő elé a Microsoft. Az üzleti tervek szerint a termékkel egyelőre az otthoni felhasználókat célozzák meg, ám az nagyvállalati szféra felé is kacsintgat az óriáscég. Egy azonban biztos: az antivírus piac stabil szereplőivel szemben tíz éves hátrányból indulnak, kíváncsian várjuk a fejleményeket.

_________________
Vigyázz, minotaurusszal vagyok, és nem félek használni!
Heroes3 map editor Codex v3.0

Fifi segítségével már sikerült kiirtani ezeket a férgeket.
A Spybot - Search & Destroy programot használtam és több, mint 10220 fertőzött fájlt talált

Azóta semmi problémám. Kétnaponta teljes vírusellenőrzés (Nod32 + Spybot - Search & Destroy + Ad-Aware SE Professional + Spyware & Adware Remover + Bazooka Adware and Spyware Scanner kombinációt alkalmazva) és így biztos a védelem. Ezek mellett pedig fut az Agnitum Outpost Firewall. Ezt megfelelőnek tartom.

Egyébként gyanús volt az is, hogy mikor készenlétbe kapcsoltam a gépet és vissza akartam térni kis szünet után, 2-5 percbe került, míg újra használatbavehettem a gépet, addig nem tudom mit csinált, valószínűleg ezeket a fertőzéseket próbálta kiküszöbölni. Ráadásul sokszor nem is jött vissza az XP, hanem zombivá vált a gép. Pörgött, mint a fene, monitor kikapcsolt és ennyi... Szóval nem ajánlom senkinek sem ezeket!

_________________


Freemy

Kedves Fórumozók!

Ha egy víus karanténban van, ez azt jelenti hogy nem fertőzi a gépem???

_________________
Üdv. Fifi
R.I.P.
BordoMavi!!!

Igen.
De én jobb szeretem eltávolítani őket a gépről, így nem karanténozok, hanem törlök.

_________________


Freemy

Van egy Bootvírus, ami a világ számítógépeinek 90%-át megfertőzte.
A vírus mutációi úgy alakítják át a gépen található adatformátumokat, hogy csak más fertőzött gépekkel legyenek kompatibilisek.
A vírus trükkje az, hogy irodai és internetes programcsomaggal kiegészített grafikus operációs rendszernek álcázza magát.
Legújabb verziója a Longhorn, szakértők szerint két éven belül elterjedhet.
A legbiztosabb védekezés ellene az, ha nem FAT/NTFS kompatibilisre formázzuk a merevlemezt, és Linux-ot használunk.
A vírus ismertebb neve MS Windows.