Bilgisayarıma virüs bulaştığı nasıl görünüyor? (ekteki durumun açıklaması)


4

Sistemim Windows XP SP3'tür ve en son yamalar ile güncellenmiştir.

PC, dahili ağdan tek statik ortak IP adresine NAT yapan bir Cisco 877 ADSL yönlendiricisine bağlanır. Yönlendirilmiş bağlantı noktası yok ve yönlendiricinin yönetim konsoluna yalnızca içeriden erişilebilir.

İki şey yapıyordum: VPN üzerinden uzaktaki bir makinede çalışmak ve Cisco web sitesinde bazı web sayfalarını taramak.

Uzak ağ kesinlikle güvenlidir (bir laboratuvar ağı, dört sanal sunucu, herkesin erişimine açık olmayan hizmetler ve hiçbir kullanıcı yok; ayrıca, orada tarif edeceğimlerin hiçbiri yoktu).

Cisco web sitesi ... pekala, sanırım oldukça güvenli.

Aniden bir şey oldu.

Garip açılır pencereler her yerde görünür; "antimalware", "antispyware" vb. olduklarını iddia eden programlar otomatik kurulum yapmaya başlar; sistem tepsisinde sahte Windows Update ve Güvenlik Merkezi simgeleri açılır. svchost.exe art arda çökmesini başladı. Sonra, nihayet, birkaç dakika sonra ... BSOD.

Ve yeniden başlatmanın ardından, tekrar BSOD. Güvenli modda bile.

Tamam, belli ki bazı virüs / trojan / her neyse. Bir şeyleri temizlemek için yeni bir Windows kopyası başka bir bölüme kurmak zorunda kaldım. Neredeyse her yerde garip çalıştırılabilir dosyalar, servisler ve DLL'ler buldum. Diğer şeylerin arasında user32.dll ve ndis.sys değiştirildi. "Antimalware Doctor" adlı sahte bir yazılım kuruldu. Tamamen rastgele isimler veya hatta GUID'ler (!) Ve "IpSect" ve "Darkness" denilen servisler de vardı. .Exe uzantılı çalıştırılabilir dosyalar vardı. Sistemin çökmesine neden olanlardan oldukça emin olduğum iki önyükleme sınıfı sürücüsü bile vardı.

Gerçek bir katliam.

Tamam, şimdi sorular:

  • Bu da neydi böyle?!? O was şey daha basit bir virüs daha!
  • Güvenlik duvarının arkasında olduğum ve o sırada web’de yalnızca potansiyel olarak zararlı olabilecek bir şey yapmadığım için bilgisayarıma saldırmayı nasıl başardı?

4
Güvenlik duvarı hiçbir şeyi garanti etmez.
Sathyajith Bhat

1
Pekala, hiç kimsenin bilgisayarınızdaki savunmasız servislere bağlanmayacağını garanti eder, bu yüzden aktif olarak (veya bilmeden) İnternetten bir şey indirip çalıştırmanız gerekir.
Massimo

Massimo yerinde - muhtemelen gizli bir linke tıkladınız ve bir kez izin verdiğinizi yaptıktan sonra.
raw_noob

3
Ya da arabayla geçtiniz. Meşru siteler bile - reklam sattıklarında - reklam satıcısı bir Jave veya activeX istismarına maruz kalabilir. Siteye gittiğinizde, reklamlar aşağı iner ve yayınlanmaya başlar.
Blackbeagle

1
Blackbeagle, sanırım bir araba kullanmanın daha da muhtemel olduğunu düşünüyorum - ama ayrıca Massimo'nun eski Java Çalışma Zamanı Ortamı hakkındaki yorumuna da bakınız.
raw_noob

Yanıtlar:


2

Bu, güvenlik duvarınızı ve antivirüsünüzü kapatan, yüzlerce virüs enfeksiyonu tespit ettiğini iddia eden, yüzlerce virüs enfeksiyonu tespit ettiğini iddia eden, görev çubuğuna sahte güvenlik merkezi simgeleri ekleyen Java tabanlı bir istismar olan XP Antispyware ile karşılaştığım bir sorun gibi gözüküyor. exe programları böylece antimalware yazılımı çalıştıramazsınız.

Bir düzeltme var, ancak ne yaptığınızı bilmek zorundasınız - açık değil - ve .exe engelleyicisini öldürmek için kayıt defterinde küçük bir komut dosyası çalıştırın veya geri gelmeye devam ediyor. O zaman tarayıcındaki kötü Java eklentisinden kurtulmalısın.

Bununla ilgili her şeyi okuyun: http://lifehacker.com/5499124/how-to-remove-xp-antispyware . Bu benim için bir cankurtaran oldu. Virüsler vb. Konusunda çok dikkatliyim ve şu ana kadar çok şanslıydım, ama bunun ne olduğunu anlamadan önce bu makinede oldu. Nereden aldığımı hala bilmiyorum.


O değildi, ama çok benzer.
Massimo

1
Yakın zamanda Cisco SDM'nin çalışmasını sağlamak için (1.6 olanı değil) oldukça eski bir JRE (1.5.something) kurmuştum ... onun suçu olabilirdi?
Massimo

JRE gerçekten ağ geçidi - Ayrıntıları hatırlayamıyorum, ancak kesinlikle JRE'nin sömürülen sürümleriydi. Bir bütün virüs ailesi bu zayıflıktan yararlanmak için tasarlanmış gibi görünüyor. Mart sonunda ortaya çıkmaya başladıklarına inanıyorum. AVG aldığımı algılamıyor. JRE'ye ihtiyacınız yoksa devre dışı bırakmak veya kaldırmak daha güvenlidir - ben de öyle yaptım. Bu kişi: smarterware.org/5530/how-to-uninstall-xp-antispyware , sorunun tekrar oluşmasını önlemek için aslında msconfig'deki Java güncellemelerini devre dışı bıraktı .
raw_noob

Asla böyle eski bir yazılımı kullanmamıştım ... Cisco'daki moronlar java-tabanlı yönlendirici web yönetimini (SDM) daha yeni olanlarla uyumlu hale getirmiş olsaydı :-(
Massimo

1
Massimo - sömürüye ilişkin detaylar için vupen.com/english/advisories/2010/0747 adresine bakınız . Etkilenen sürümler: Sun Java JDK sürüm 6 Güncelleme 18 ve önceki / Sun Java JDK sürüm 5.0 Güncelleme 23 ve önceki / Sun Java JRE sürüm 6 Güncelleme 18 ve önceki / Sun Java JRE sürüm 5.0 Güncelleme 23 ve önceki / Sun Java JRE sürüm 1.4. 2_25 ve önceki / Sun Java SDK sürüm 1.4.2_25 ve önceki / Ayrıca: "Sun Java JDK ve JRE 6 Güncellemesi 19, JDK ve JRE 5.0 Güncelleme 24'e ve JRE ve SDK sürüm 1.4.2_26'ya yükseltme"
raw_noob

0

Görünüşe göre "Neprodoor": http://www.prevx.com/blog/115/Neprodoor-flies-beyond-the-radar.html

Neredeyse her şeyi yeni bir Windows kurulumundan başka bir diskte çalışarak temizlemeyi başardım ... ama bu tam anlamıyla sisteme onlarca kötü amaçlı yazılım yüklüyordu ve hala bir Windows Güncellemesi yaptım ( hostsyönlendirme gibi , ancak ana bilgisayar dosyası boştu) ) ve bazı reklam siteleri şimdi ve sonra ortaya çıkıyor.

Biçimlendirmeyi ve yeniden kurmayı bitirdim ... artık sisteme güvenemedim. Oh, peki, Windows 7'ye geçme zamanıydı :-)

Ama hala nasıl içeri girdi ... bilmiyorum.


1
Blackbeagle'ın yukarıdaki yorumuna bakınız. Kötü bağlantıların bazıları meşru reklamlara benziyor ve saygın web sitelerine satıldı.
raw_noob
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.