poznamky priamo z 1. ruky (ci 2.?) -
7castle dostal nalinkovaneho IT "zachrancu" Selfmana (SM) odo mna, kratky sumar udalosti:
23:11 som pripojil SM do chatu so 7C. Konzultacia, zistovanie stavu, antivir, FW, SSL, blabla..., SM hadzal linky na rozny SW na detekciu humusu, 7C stahoval a spustal a .... nikam to neviedlo
23:32 som navrhol aby 7C pripojil SM cez TeamViewer aby videl online co sa v kompe deje
23:40 SM pripojeny, ale len ako observer, dalej svaca linky na diagnostiku a kontroluje vysledky, furt nic
0:04 SM pripojeny s full control, fici dalsi soft, uz je to rychlejsie, lebo to uz robi vsetko SM sam... (no offense 7C)
0:44 SM hlasi "na daco som asi narazil..." - odvirovanie, cistenie bordelu v kompe, instalacia veci, rebooty...
2:03 SM hlasi: "zda sa, ze je to ok..."

Co to bolo:
http://www.bitdefender.com/VIRUS-1000219-en--Win32.Almanahe.D.html
Cerv sa dost uspesne maskuje za bezne systemove kniznice a kniznice bezpecnostnych SW. Tu bol zamaskovany za isdrv122.sys, co je kniznica programu IceSword, ktory prave, paradoxne, sluzi na detekciu RootKit-ov, akym je aj tento sajrajt...
http://www.greatis.com/appdata/d/i/isdrv122.sys.htm
Je to dost sofistikovany grc. Nahodi do systemu 2 SYS subory (samotny RootKit), ktore funguju ako ovladace a maju na starosti maskovanie ostatnych komponentov. Preto ho ziaden detekcny SW nenasiel. Ako ho nasiel SM fakt neviem, ale za toto je plateny.
Ostatne komponenty su nainjectovane do roznych systemovych a nesystemovych suborov. Jednym z komponentov je keylogger:
"The virus also has de ability to send data and download additional files from the url: s.rm510.com:53"
Vzhladom na to, aky je ten virus sam o sebe sofistikovany, si nemyslim ze by vacsina opatreni, ktore ste tu popisali, proti nemu fungovala. Vdaka Windows API je pre skuseneho programatora system ako otvorena kniha, preto ci uz ide o typovane, kopirovane alebo v SW zapamatane hesla alebo rozne "zarucene" kombinacie, pomoze to asi ako bozk mrtvemu. Zapamatane heslo moze byt (aj vacsinou je) v kryptovanych suporoch, ale v momente ako ho Win zobrazi v adekvatnom policku s hviezdickami, je vycitatelne. Ja sam mam malicky programik - asterix remover - ktory mi priamo na obrazovke zobrazi mena aj hesla v sexi malej tabulke v momente ako sa objavi nejake okno so zapamatanym heslo, nech uz ide o browser alebo bezny program... ma par 10tok kB, z coho vacsina bude asi GUI. By som sa velmi cudoval keby takato rutina nebola aj sucastou virusu.

Takze nech vam vase opatrenia nedavaju falosny pocit bezpecia. Kompletne zapatchovany Windows (ked nepoviem rovno ze preferovane iny OS ako Windows), spusteny a spravne nakonfigovany restriktivny firewall, antivir (zabudnite na Avast, aj ked je zadara a po mojich skusenostiach s Norton/Symantec SW zabudnite aj na to - NOD alebo Kaspersky) a antispyware, prihlasovat sa cez Guest account a dalsie je uz len o nedostatku medzi kreslom a klavesnicou. Konkretne - na kompe kde ide o poker a praxy ziaden zbytocny SW, len overene veci, nebrowsovat, netorrentit, ziadne porno etc. Jednoducho dedikovany komp. Ja dokonca zajdem do extremu - ak budem tak velky xlapec ze budem pokrom zarabat peniaze ktore stoja za zmienku, na poker si kupim Mac. A zhasla fajka.

PS: BTW ten virus sa ze vraj siri cez flashove bannery.

IT znalci, co hovorite na Bitdefender Professional? Mate s nim nejake skusenosti. Ja to pouzivam (mal som to ako antivirak nanutene od bracha), je to za dobre love a zatial som spokojny. Je fakt, ze niektore veci ma seru, napr., ze priebeh aktualizacie znacne spomali PC, a ze obcas (neviem preco) mi windoze vypne jeho aktualizacie a niektore komponenty. Inak to ma firewall, virovy stit, antispam, a vkuse to nieco oznamuje, vypisuje, pyta povolenia. Ale radsej nech pyta, jak keby bol ticho a pustal mi do systemu oneee...

hmm to je pekny sajrajt

- bohuzial na Macu nebezi vacsina herni a win emulacia asi bude mat rovnake problemy ako cisty win
- ked som firewall konfigil tak ze som uplne vsetko zablokoval a postupne povolil len programy ktore sa hlasili o pristup von tak by to mohlo pomoct proti posielaniu dat von nie? Nie som si uplne isty ako ten nortonacky fw funguje ale povoloval som napriklad pristup na 80 port len firefoxu takze napr ie nefunguje a rovnako by nemali fungovat ani dalsie softy ktore by sa na ten port pokusali tlacit nejake data z mojho kompu. Je tak alebo sa mylim?

kua to snad ani nie je po slovensky co tu pisete,by som vas potom poprosil nejaky strucny zaver pre nas starsich a blbych,dik

zaver je ze nemas sancu palo radsej vsetko vyber ako si aj planoval

-vsak prave,tusim sa raz nejaky hackeri naburali do NASA,som niekde cital,dufam,ze mojich par sto dolarov nikoho trapit nebude,ale s tym vyhradenim jedneho pc cisto na poker by hrac od NL 100 nemal mat problem....

pozeral som info o tom rootkite a je to nejaka stara mrsina poriesena antivirakmi uz v aprili 2007 tak ako sa to mohlo vobec dostat do pocitaca?

Judec , velmi pekny clanok. Ja osobne mam tiez avast. Takze sa asi tiez pozriem po niecom oficialnom. Asi ten NOD. Judec co hovoris na Pandu ?

yegon napísal:pozeral som info o tom rootkite a je to nejaka stara mrsina poriesena antivirakmi uz v aprili 2007 tak ako sa to mohlo vobec dostat do pocitaca?

vies on to tam mohol mat aj rok , odklikol nejaky accept na flashovu hru alebo video ... a bolo.

ziadne porno ? Fu$k you !!! ))

Btw tiez osobne mi bolo milion krat povedane ze keylogger sa najcastejsie siri cez pochybne linky a bannere .