Ultimativna antivirus tema - P&O

Ako netko od vas koristi Shadow Defender i Windows Defender i zeli da mu updejti od WD ostaju na kompu dok je u Shadow Modu evo preporuka lokacija koje treba stavit u iznimke u SD:

If you want your Windows Defender signatures to be up-to-date, exclude these objects in Shadow Defender:

• C:\Program Data\Microsoft\Windows Defender\Definition Updates\*
• C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4WHC.evtx
• C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx

1. Go to the promotions page (in German)

2. Complete the registration by filling out the form - enter the name, surname, email address and create a password. Press button "Konto erstellen" to create an account.

3. Confirm your registration by clicking on the link in the message, which will come to your email.

Terms of action

- This is a license for 6 months to 3 devices for home (personal) use.
- The term of the license starts from the moment of its receipt.
- You get free upgrades during the license period.
- No free technical support.

Zanimljivi članci na malwarebytes blogu od prije par dana, tek sam ih sad stigao pročitati.

https://blog.malwarebytes.com/cybercrime/2016/07/mac-malware-osx-keydnap-steals-keychain/

"The Keydnap malware installs via a new twist on an old theme. The “dropper” (the program that installs the malware) comes in the form of a harmless document. Many different forms have been discovered, masquerading as Microsoft Word files, JPEG images and plain text files.

There have been a number of different ways that malware does this, but Keydnap uses a new trick: it puts a space after the extension in the file name. So, for example, what looks like an image file named “logo.jpg” is actually named “logo.jpg “, with a space at the end.

Turns out that space is important. It prevents Mac OS X from seeing the “.jpg” as a file extension, so it doesn’t think the file is actually a JPEG. Since the file is really a Mach-O executable file, double-clicking it will run it in the Terminal, rather than opening a JPEG file as the user would expect."

 Istina u ovom slučaju bi se Gatekeeper oglasio, ali recimo da ima ukraden certifikat kao malware u donjem primjeru... ideš otvoriti .jpg ili.txt datoteku a ono malware.

https://blog.malwarebytes.com/threat-analysis/2016/07/untangling-kovter/

"Kovter is a click-fraud malware famous from the unconventional tricks used for persistence. It hides malicious modules in PowerShell scripts as well as in registry keys to make detection and analysis difficult.

Kovter’s persistence is composed of various tiny elements that executes each other, sometimes in an indirect way, like:

1. 1. Run key in the registry
2. 2. link
3. 3. batch script running the file with a new extension
4. 4. command in the registry handling the added extension (in fact it is a JavaScript reading other dropped registry key and running it)
5. 5. JavaScript with xor
6. 6. PowerShell script with Base64
7. 7. PowerShell script decoding and running the shellcode
8. 8. shellcode reading the dropped registry key, unpacking the PE file from it and loading it in the memory"

Pusti koraci za dekripciju i preusmjeravanje toka izvršavanja preko registryja, powershella i na kraju samih windowsovih procesa, ne morate shvatiti sav code tamo sa slika, dosta je pročitati samo tekst... čega će se sve sjetiti malware autori...

Hvala na savjetima, GlassWire instaliran.

Zanima me kako bih trebao naštimati Sandboxie za rad sa Operom? Što kada skidam datoteke sa interneta, kako njih spremiti normalno u Downloads folder (dakle da su van sandboxa)? Kako sa torrentima i magnet linkovima (recimo da skidam nešto legalno sa njih :D), funkcioniraju li oni normalno? Kako ga namjestiti sa rad sa USBovima i ostalim eksternim pogonima?

Ako netko nije voli 'hakerske' filmove/serije, neka pogleda seriju G. Robot (Mr. Robot). Serija je odlična, čak je vole i iz Avasta. U jednoj epizodi se cura glavnog lika je krivo napisala exploit pa ga je Avast detektirao, a exploit je trebao napraviti nešto u policiji (neću spoilati). 

Ako nekoga zanima više, evo nekih korisnih linkova s Avast bloga i IMDb.

https://blog.avast.com/2015/07/31/mr-robot-review-br4ve-trave1er-asf/

https://blog.avast.com/what-consumers-can-learn-about-cybersecurity-from-season-one-of-mr-robot

http://imdb.com/title/tt4158110/

Ja sam stao na 8. epizodi, idem gledat još. 

Moram priznat da je i meni taj stari nekako lijepši. 

 To tako piše svima mislim, jer je free verzija u pitanju.

Kakav je, po vašim mišljenjima Comodo firewall?

Što kažete na kombinaciju, mislim da je dobra, Avast + Comodo firewall +MBAM + MBAE.

Koji je bolji GlassWire ili Comodo Firewall??

Bez imalo sumnje Comodo, ali samo ako si voljan detaljno proučiti sve njegove mogućnosti i naučiti kako se pravilno postavlja. Za prosječnoga korisnika neki drugi firewall je svakako bolje, no možda i manje sigurno rješenje.

Zar nije GlassWire samo program koji prati aktivnosti mreže, dok je Windows Firewall i dalje onaj "glavni" firewall?

@djigibao

Hvala, djigibao. Znači, uvijek HIPS na Safe Mode, te onda "Block, Terminate, and Reverse". To je najsigurniji način.

Hvala i NiramX, te Marko :D.

Zasada ostajem na Comodo Firewallu.

HIPS: OFF?  Pa defoltno je uključen,kaj ne?

Zašto nisi očistio Sandbox?

Na kraju vidimo mnoštvo "Unrecognized" app. koji su svi trebali biti pokrenuti u izolaciji pa nakon čišćenja sandboxa ne bi ostalo nikakvog traga o njima!

djigibao kaže...

Evo da vididite kako CIS pada i na skoro najjacim postavkama (HIPS je iskljucen):

 

Evo taj isti folder sa malicioznim fajlovima je testirala Cruelsister ali je ona pokretala 1 po 1 fajl i Comodo je dobro odreagirao.

Otkrili smo zasto je u mom videu CIS podbacio.

Radi se o tome sto sam ja koristio mali program (koji je napravio developer VoodooShiled-a, i sluzi samo za pokretanje .exe datoteka) imena EfficacyTest i taj program je Comodo stavio pod "Trusted Files" pa je tom logikom taj program bez problema mogao pokrenuti te maliciozne datoteke.

Tom logikom sam zakljucio da se ustvari bilo koji maliciozi fajl moze pokrenuti kroz neki "Trusted File" u Comodu, zar ne?

HIPS je off da bi Sandbox bolje radio ali u ovom slucaju on uopce nije pokrenuo niti jednu datoteku u njemu (ili ja nisam dobro vidio).

Ostatak objasnjenja se nalazi iznad.