Win XP Task Manager i svchost.exe
- poruka: 45
- |
- čitano: 14.121
- |
- moderatori:
pirat, Lazarus Long, XXX-Man, vincimus
ukoliko je "mali" je već sumnjiv 
, ukoliko nestane nakon pokretanja (obriše samog sebe sa diska) onda je supersumnjiv, sumnjivo je također ako ne radi ono što si od njega očekivao ili ako se nakon toga sistem ponaša onako kako ne želiš (usporavanje, čudni procesi u pozadini, neočekivane mrežne konekcije, BSOD, neke winsove funkcije ne rade, neke stranice na internetu nisu dostupne ili se preusmjeravaju na čudne adrese...itd.), pitanje je što si od tog exea očekivao i od kuda si ga "skinuo" (da proširim Ivino pitanje)
jeli ima išta šta tebi nije sumnjivo ?
sada, moja gruba pretpostavka je da je riječ o nekom klinji koji je surfao internetom i negdje vidio: Download me!!! i on je to pritisnuo. zezam see, ma koji je da je taj program (?), samo ga ti prijatelju lijepo pospremi u kanticu za smeće. i onda klikni na: Permanent delete
A moguće je da izbaci nekakvu vrstu helpa (please input command ili nekaj slično) i ugasi se. Može i to biti, a to se riješi tako da ga pokreneš iz cmd-a.
jeli ima išta šta tebi nije sumnjivo ?
sada, moja gruba pretpostavka je da je riječ o nekom klinji koji je surfao internetom i negdje vidio: Download me!!! i on je to pritisnuo. zezam see, ma koji je da je taj program (?), samo ga ti prijatelju lijepo pospremi u kanticu za smeće. i onda klikni na: Permanent delete
tko je ono rekao: "sumnjam, dakle jesam" ili je to moto svih skeptika out there... 
što se tiče tvoje preporuke o brisanju, s njom se nikako nebih složio pogotovo ukoliko je file već pokrenut nikako ga nebi trebalo brisati sa diska, čak je prethodno pametno napraviti kopiju pogotovo ukoliko je došao sa nepoznatog mjesta, sumnjiv je ... etc.
imati sample malicioznog filea je zakon za bilo kakvu forenziku, takvi fileovi su najčešće dropperi, odnosno instalacijski fileovi čije proučavanje bilo amatersko od strane samog uzera bilo od profesionalca u AV kompaniji je izrazito korisno u svrhu dezinfekcije i naknadne "borbe" protiv infekcije, već sama identifikacija takve maliciozne datoteke može značiti pola posla u kasnijem uklanjanju infekcije...
tko je ono rekao: "sumnjam, dakle jesam" ili je to moto svih skeptika out there...
što se tiče tvoje preporuke o brisanju, s njom se nikako nebih složio pogotovo ukoliko je file već pokrenut nikako ga nebi trebalo brisati sa diska, čak je prethodno pametno napraviti kopiju pogotovo ukoliko je došao sa nepoznatog mjesta, sumnjiv je ... etc.
imati sample malicioznog filea je zakon za bilo kakvu forenziku, takvi fileovi su najčešće dropperi, odnosno instalacijski fileovi čije proučavanje bilo amatersko od strane samog uzera bilo od profesionalca u AV kompaniji je izrazito korisno u svrhu dezinfekcije i naknadne "borbe" protiv infekcije, već sama identifikacija takve maliciozne datoteke može značiti pola posla u kasnijem uklanjanju infekcije...
ne bih znao, ali taj sigurno nije živiobezbrižno 
ako je malware, tek ga onda nebih držao na svojem kompjuteru. 
samo, ne razumijem nešto, zašto raditi kopiju ? zar se malware nije "bad stuff" ?
o malware neznam baš mnogo, tako da kad bih ga ja proučavao, on bi ili nestao ili postao atomska bomba za komp. slučajno, naravnoo
ah, da bi se inficirao prvo moraš pokrenuti malware odnosno dropper (njegovu instalacijsku proceduru, da malver se često odnosno gotovo uvijek instalira i često je "upakiran" u raznorazne "packere" a ukoliko su ovi opskurni, sam packer će biti idetificiran od AV rješenja kao maliciozan) inače on stoji bezbrižno ili ako baš hoćeš čami u kutu ne radeći ništa..
no execution no infection
ako pažljivije čitaš vidjet ćeš da sam napisao da su to poželjni postupci ukoliko se sumnjiv file (još neidentificiran, ali po nekom kriteriju sumnjiv) želi/treba/mora pokrenuti te radnje nakon što je on već pokrenut
ah, da bi se inficirao prvo moraš pokrenuti malware, inače on stoji bezbrižno ili ako baš hoćeš čami u kutu ne radeći ništa..
no execution no infection
ako pažljivije čitaš vidjet ćeš da sam napisao da su to poželjni postupci ukoliko se sumnjiv file (još neidentificiran, ali po nekom kriteriju sumnjiv) želi/treba/mora pokrenuti te radnje nakon što je on već pokrenut
da, ali kako ga onda obrisati ? tj. spriječiti da učini ikakvu štetu.
jer očito je da ga je autor teme već pokrenuo (sami prikaz crnog prozora, tj. cmd-a je znak da se nešto dogodilo, ne nužno loše, ali ako je to jedina aktivnost, onda je zasigurno sumnjivo ).
našao u njoj. Samo me zanimao koja mu je svrha,.. ali kao sto ste mi vi rekli mozda je nesto sumljivo
pa ne vrijedi istrazivati nego samo izbrisati cijelu igru.
našao u njoj. Samo me zanimao koja mu je svrha,.. ali kao sto ste mi vi rekli mozda je nesto sumljivo
pa ne vrijedi istrazivati nego samo izbrisati cijelu igru.
NEEEEEEEEEEEEEEEEEEEEEEEEEEE!
:d
ne treba izbrisati cijelu igru. samo se trebaš riješiti tog fajla. (iako imam neki osjećaj da je on s nekom svrhom među fileovima te igre )
našao u njoj. Samo me zanimao koja mu je svrha,.. ali kao sto ste mi vi rekli mozda je nesto sumljivo
pa ne vrijedi istrazivati nego samo izbrisati cijelu igru.
Ovako. Kada skineš neki program ili igru, jako rijetko to bude jedna EXE datoteka. Zajedno sa EXE datotekom, koja je glavni dio programa, dolaze i druge datoteke (DLL na primjer). Ponekad sa aplikacijom mogu doći dvije ili više EXE datoteka, međutim, samo jedna od tih datoteka će zaista pokrenuti program. Ostale, ako ih otvaraš pojedinačno, će biti beskorisne jer si ih pokrenuo ručno umjesto da ih glavna aplikacija sama pokrene kada joj to treba.
Dakle - svrha te EXE datoteke je da upotpuni glavnu EXE datoteku.
Primjer: na slici su datoteke iz igre Gobliins 2. Kao što vidiš, ima nekoliko EXE datoteka, i nekoliko BAT datoteka.
Da bi se igra pokrenula, treba otvoriti LOADER. Ako otvoriš INTRO, otvoriti će se Command Prompt i odmah zatvoriti.
našao u njoj. Samo me zanimao koja mu je svrha,.. ali kao sto ste mi vi rekli mozda je nesto sumljivo
pa ne vrijedi istrazivati nego samo izbrisati cijelu igru.
NEEEEEEEEEEEEEEEEEEEEEEEEEEE!
:d
ne treba izbrisati cijelu igru. samo se trebaš riješiti tog fajla. (iako imam neki osjećaj da je on s nekom svrhom među fileovima te igre )
Mislim da si u pravu, ja cu ga obrisat jer ima samo 50-takMB ( mala sala) KB naravno.
On leti s kompa pa sta god bilo!!
NEEEEEEEEEEEEEEEEEEEEEEEEEEE!
:d
ne treba izbrisati cijelu igru. samo se trebaš riješiti tog fajla. (iako imam neki osjećaj da je on s nekom svrhom među fileovima te igre )
Mislim da si u pravu, ja cu ga obrisat jer ima samo 50-takMB ( mala sala) KB naravno.
On leti s kompa pa sta god bilo!!
nemoj previdjeti ovaj boldirani dio.
pričekaj da ti još par ljudi da savjet, ne žuri s odlukama.
Mislim da si u pravu, ja cu ga obrisat jer ima samo 50-takMB ( mala sala) KB naravno.
On leti s kompa pa sta god bilo!!
Ufff, bezveze dižete paniku. To je sasvim normalno! Pročitaj moj post gore. Ne moraš ga brisati ako antivirus kaže da je sve OK, a ako ga izbrišeš igra ti vjerojatno neće raditi.
našao u njoj. Samo me zanimao koja mu je svrha,.. ali kao sto ste mi vi rekli mozda je nesto sumljivo
pa ne vrijedi istrazivati nego samo izbrisati cijelu igru.
Ovako. Kada skineš neki program ili igru, jako rijetko to bude jedna EXE datoteka. Zajedno sa EXE datotekom, koja je glavni dio programa, dolaze i druge datoteke (DLL na primjer). Ponekad sa aplikacijom mogu doći dvije ili više EXE datoteka, međutim, samo jedna od tih datoteka će zaista pokrenuti program. Ostale, ako ih otvaraš pojedinačno, će biti beskorisne jer si ih pokrenuo ručno umjesto da ih glavna aplikacija sama pokrene kada joj to treba.
Dakle - svrha te EXE datoteke je da upotpuni glavnu EXE datoteku.
Primjer: na slici su datoteke iz igre Gobliins 2. Kao što vidiš, ima nekoliko EXE datoteka, i nekoliko BAT datoteka.
Da bi se igra pokrenula, treba otvoriti LOADER. Ako otvoriš INTRO, otvoriti će se Command Prompt i odmah zatvoriti.
Bas sam maloprije napisao da cu ga izbrisati, ali sad sam procitao ovo ^..
Isto mi je kao i tebi..otvori se i odmah zatvori..pretpostavljam da si u pravu.
Dakle to je neki bezopasni dio programcica, ali sad bar znam.. Puno HVALA!!!
da, ali kako ga onda obrisati ? tj. spriječiti da učini ikakvu štetu.
jer očito je da ga je autor teme već pokrenuo (sami prikaz crnog prozora, tj. cmd-a je znak da se nešto dogodilo, ne nužno loše, ali ako je to jedina aktivnost, onda je zasigurno sumnjivo ).
obrisati dropper je vrlo lako, međutim promjene na sistemu koje on radi te maliciozni fileovi nakon njegove instalacije, to je već drugo pitanje...
a za takvo što su potrebni alati za dijagnostiku, sandboxi, virtualne mašine.. uglavnom specijalizirani alati od kojih su neki potpuno besplatni npr. besplatni on-line automatizirani sandbox sistemi koji analiziraju što i kako koji malver radi nebi li inficirao računalo... primjeri su: comodov CIMA zatim threatexpert, anubis itd.
postoji također hrpa besplatnih utilitia kojima se mogu dijagnosticirati promjene na OSu uslijed djelovanja malvera pa sve do raznoraznih specijaliziranih alata koje upotrebljavaju AV stručnjaci u svojim labovima...
Za spriječiti malware u njegovoj namjeri također postoji hrpa rješenja, najpopularnija su klasična AV rješenja koja koriste blacklistu, znači ukoliko je file na blacklisti bit će uklonjen, postoji također i whitelisting koji se upotrebljava u raznoraznim rješenjima a služi uglavnom kao nadopuna ostalim tehnikama a vrlo rijetko se koristi samostalno, način rada mu je upravo suprotnost blacklistinga pa će tako svim fileovima koji nisu na listi biti zabranjen pristup odnosno pokretanje
Nadalje postoji heuristika i generički blacklisting potpisi kojima se na temelju određenih zajedničkih značajki malicioznih fileova utvrđuje te klasificira file kao maliciozan
Vrlo srodni heuristici su behavior blockeri koji utvrđuju u internom sandboxu što koji file ima namjeru napraviti, ukoliko se internom analizom otkrije da je akcija ili kombinacija akcija maliciozna ona se zaustavlja
Behavioral host intrusion prevention system (HIPS) koji blokira pojedine akcije koje su određene pravilima, u principu što je više APIja pokriveno pravilima takav HIPS je kvalitetniji a mogućnost da se malware provuče pokraj nebranjenog mjesta (nepokrivenog pravilima) je manja, valja reći da je ovakva zaštita gotovo u potpunosti prepuštena odlukama juzera odnosno jedino on odlučuje hoće li pojedinu akciju dopustiti ili ne
Sandbox sistemi, zaštita kojom se od OSa "izoliraju" procesi (maliciozni ili legitimni) koji se na njemu odvijaju, preusmjerujući novonastale fileove, izmjene i upite prema sistemu na posebno mjesto na disku (sandbox) umjesto na njihovu predviđenu lokaciju odnosno stvaran sistem
postoji sve više i više hibrida koji kombiniraju gore navedene tehnike a takva sigurnosna rješenja su sve popularnija...