A Virusbuster védelme felhasználói szinten kikapcsolható. A diákok nálam rendszeresen kikapcsolják -sajnos.
Kunstár László -----Eredeti üzenet----- Feladó:Felszegi Elemer Szia Sandor, Nem ujkeletu dolog ez mar, nalam tobbszor volt, van ilyen. Es hogy egesz pontos legyek, pont a Virusbusterrel vedett gepeimen voltak ilyenek. Na errol ennyit!! Udv, Elemer On 2012.03.12. 10:17, Veres Sandor wrote: > Sziasztok! > > Egy nagyon ravasz pendrive-von történő vírusterjedési módszerrel > találkoztam ma reggel. > Röviden megírom a módszert, mert én eddig ezzel a módszerrel nem > találkoztam (lehet, hogy csak én vagyok ilyen szerencsés ;-), és nem > is gondoltam erre a módszerre. > > A módszer nagyon primitív, de egyúttal nagyon ravasz és veszélyes is, > a lényege a következő: > > A vírusos gépbe behelyezve a gyanútlan pendrive-ot, a gépen lévő vírus > érzékelve, hogy egy pendrive-ot csatlakoztattak a géphez átvizsgálja a > és a következő végzi: > > 1. Létrehoz egy RECYCLER nevű mappát, azon belül pedig két másik > mappát "S-*-*-**-**..." névvel. > 2. A létrehozott mappákban elhelyezi a szükséges vírusokat. > > Eddig nincs is semmi különös, ezután jöhetne az autorun.inf és kész > is, de pendrive-on a Panda USB Vaccine programmal az autorun.inf fájl > olvasása írása korlátozva van tehát azt gondolhatnánk, hogy > biztonságban vagyunk, a mi pendrive-unk már nem fertőz tovább. Sajnos > ez nem (feltétlenül) van így, ugyanis a vírus nem az autorun.inf-et > használja ahhoz, hogy lefusson a vírus egy másik gépen, hanem a > következő ravasz módszert alkalmazza: > > 3. A pendrive-on lévő összes mappát rejtetté és írásvédetté teszi. > 4. Minden egyes mappa nevével létrehoz egy ugyanolyan nevű "lnk" > kiterjesztésű linket. A link tulajdonság lapját megnézve a "Cél" > mezőben a következő szerepel: > > %windir%\system32\cmd.exe /c "start %cd%RECYCLER\e621ca05.exe > &&%windir%\explorer.exe %cd%Dokumentumok-2011-05-07 > > Tehát először lefuttatja a vírust, majd utána annak rendje és módja > szerint megnyitja a kívánt mappát. Briliáns! > > Ha a számítógép vírusvédelme gyenge, esetleg nem naprakész, vagy egy > eddig ismeretlen vírussal lenne dolgunk, továbbá a felhasználók > figyelmetlenek (szerintem 99,9% az) és nem veszik észre, hogy a > megnyitni kívánt mappa igazából egy link, ha a rejtett fájlok el > vannak rejtve, akkor nem veszi észre, hogy "minden mappából 2 van", > akkor a felhasználók 99%-a észre sem veszi, hogy megfertőződött a > gépe, ő csak azt látja, hogy a megnyitni kívánt > "Dokumentumok-2011-05-07" mappa megnyílik, legfeljebb egy DOS-os ablak > jelent meg egy pillanatra, amelyet lehet, hogy észre sem vesz. > > Az autorun.inf módszer ellen több védelem is van (kikapcsoljuk az > automatikus futtatást, Panda USB Vaccine programmal az autorun.inf > fájl olvasását írását korlátozzuk), de ez ellen csak a figyelmesség és > az óvatosság védhet meg. > Egy két tipp, hogyan védekezhetünk ez ellen: > - Nem Intézőt használunk, mert az nem jeleníti meg a "System Volume > Information" és "RECYCLER", stb. rejtett mappákat. > - TotalCommandert használunk és bekapcsoljuk a rejtett fájlok > megjelenítését. > - Minden egyes használat alkalmával árgus szemekkel nézzük végi a > könyvtárszerkezetet a rejtett mappák fájlok után kutatva, és ha akár > egyet is találunk, akkor rögtön gyanakszunk. > - stb... > > A vírusfertőzés a szegedi egyetem egyik karának fénymásolószalonjában > történt (reméljük a gép nem az egyetemi hálózatra van kötve). > Az érintett egyetemi kar rendszergazdáját értesítem, ha esetleg ő > felelne az adott gépért, de legalább szólni tud az illetékesnek.
<<winmail.dat>>
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
