Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 13

Temat: Automatyczne Infekowanie Pendrive'a

  1. #1
    Zarejestrowany
    Apr 2013
    Postów
    2

    Domyślnie Automatyczne Infekowanie Pendrive'a

    Witam,
    Dziś poszedłem na swojej uczelni do punktu ksero i podłączyłem pendrive'a z zamiarem wydrukowania paru dokumentów. Właściciel ksero wspomniał, że jest pewien problem i komputer nie pokazuje plików na pendrivie, jedyne co się pokazuje po otworzeniu pendrive'a to skrót, który na dodatek nie działa. Mówił, że tylko za pomocą total commandera może się dostać do plików. Ostatecznie wydrukowałem dokumenty i wróciłem na zajęcia.

    Podłączyłem potem owego pendrive'a w domu do swojego laptopa i ku mojemu zdziwieniu po odpaleniu napędu F:\ zobaczyłem skrót o nazwie KINGSTON (8GB), który przeniósł mnie do właściwej zawartości pendrive'a. Jednak kiedy próbowałem kolejny raz odpalić tego pendrive'a to już skrót nie działał. Dopiero wtedy zrozumiałem, że coś jest nie tak. Zbadałem sprawę i aż mi głupio.

    Zaznaczę, że mam Windows 7 i domyślnie w systemie mam włączoną opcję pokazywania ukrytych plików. Jednak wyłączona była opcja pokazywania plików systemowych. Natomiast po odpaleniu skrótu, automatycznie zostało ustawione aby nie pokazywać żadnych ukrytych plików.

    Po włożeniu pendrive'a do portu USB w punkcie ksero. Wszystkie dane zostały przekopiowane do ukrytego folderu (systemowego) na tym samym pendrivie. (Folder o nazwie jak znak specjalny generowany przez ALT+0160). Dodatkowo został utworzony widoczny fałszywy skrót oraz ukryty systemowy plik o nazwie '_WHSNANSZ.init'. Sprawdziłem ścieżkę pliku i okazała się następująca: 'C:\Windows\system32\rundll32.exe _WHSNANSZ.init,krnl rdvhsnxik obkvfacgbmyjlgkfhcnitvqssayx'. Zrozumiałem, że nieumyślnie odpalając wcześniej skrót na pendrivie uruchomiłem złośliwy kod z _WHSNANSZ.init. Odpaliłem owy plik w Notepadzie++ w nadzei na znalezienie co on takiego nabroił, ale odpowiedzi nie uzyskałem.

    W tej chwili po podłączeniu pendrive'a do komputera, wszystkie jego pliki automatycznie zostają umieszczone w ukrytym folderze i powstaje fałszywy skrót oraz ukryty plik '_WHSNANSZ.init', czyli dzieje się dokładnie to samo co w punkcie ksero.

    PROSZĘ O POMOC

    PS. zamieszczam link do tego pliku, będę bardzo wdzięczny jeżeli ktoś mógłby mi powiedzieć, co on zmienił - tzn. żebym wiedział co muszę zrobić, aby usunąć złośliwe oprogramowanie.

    Download _WHSNANSZ.init from Sendspace.com - send big files the easy way

  2. #2
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Plik jest zainfekowany. Sygnatury są ogólnikowe, więc ciężko określić pochodzenie wirusa.

    https://www.virustotal.com/en/file/3...bd99/analysis/

    1. Odłącz komputer od sieci lokalnej i/lub internetu,
    2. Zainstaluj oryginalny i płatny program antywirusowy,
    3. Podłącz komputer do internetu i zaktualizuj antywirusa,
    4. Przeprowadź pełne skanowanie komputera,
    5. Zresetuj komputer,
    6. Przeprowadź ponownie pełne skanowanie komputera,
    7. Za pomocą linuksa (może być live CD ale maszyna wirtualna odpada) sformatuj pendrive'a do fat32 aby usunąć z niego wirusa,
    8. Powiadom punkt ksero o tym, że mają zainfekowany komputer. Uwzględnij datę twojej wizyty u nich aby wiedzieli, kiedy nastąpiła infekcja.


    Wysłałem plik do symanteca aby przeanalizowali. aby przeprowadzić pełną analizę aktywności szkodliwego oprogramowania potrzebny byłby zrzut zawartości pendriva (komenda dd w linuksie), zrzut pamięci (Fastdump lub mdd) i dogłębna analiza z udziałem eksperta.

  3. #3
    ocb
    ocb jest offline
    Zarejestrowany
    May 2011
    Postów
    392

    Domyślnie

    przejzyj plik, zobaczysz jakie funkcje importuje z systemu. bedziesz wiedziec co mniej wiecej robi.

  4. #4
    Avatar Michal_sh
    Michal_sh jest offline (s)aint
    Zarejestrowany
    Apr 2007
    Postów
    688

    Domyślnie

    Zainstaluj oryginalny i płatny program antywirusowy,
    Wszędzie lokowanie produktu.

    a co do tematu

    Ogarnij sobie AVG Rescue CD - jest za darmo, wygoglujesz sobie link do pobrania i instrukcję do stworzenia bootowalnego medium. Zrób z niego użytek jeśli masz jakieś ważne dane na pendrive i nie możesz go sformatować-co by było najlepszym rozwiązaniem przeskanuj za pomocą Rescue CD. Inne firmy też dostarczają takie rozwiązania jak np. Kaspersky czy Avira.

  5. #5
    Zarejestrowany
    Apr 2013
    Postów
    2

    Domyślnie

    Cytat Napisał Michal_sh Zobacz post
    Wszędzie lokowanie produktu.

    a co do tematu

    Ogarnij sobie AVG Rescue CD - jest za darmo, wygoglujesz sobie link do pobrania i instrukcję do stworzenia bootowalnego medium. Zrób z niego użytek jeśli masz jakieś ważne dane na pendrive i nie możesz go sformatować-co by było najlepszym rozwiązaniem przeskanuj za pomocą Rescue CD. Inne firmy też dostarczają takie rozwiązania jak np. Kaspersky czy Avira.
    Czy przeskanowanie nośnika AVG Rescue CD coś da, jeżeli AVG na stronie
    nie wykrył tego pliku, który wcześniej podałem jako wirusa?
    https://www.virustotal.com/en/file/3...bd99/analysis/

    Myślałem, żeby zainstalować sobie jeden z tych produktów, które na stronie virustotal.com wykryły plik jako niebezpieczny. (Chyba, że ta stronka to jakiś przekręt marketingowy i mają umowę z płatnymi programami antywirusowymi)

    PS. Sprawdziłem pendrive zarówno na windowsie z włączoną opcją pokazywania plików systemowych, jak i na linuxie i wydaje mi się, że naprawiłem wszelkie szkody i usunąłem wszystkie niepożądane pliki z mojego pendrive'a. Odnośnie tego mam następujące pytanie: czy istnieje możliwość, że pendrive nadal jest zainfekowany wirusem; nawet jeżeli nie widzę na nim już żadnych niepożądanych plików?

  6. #6
    Avatar Michal_sh
    Michal_sh jest offline (s)aint
    Zarejestrowany
    Apr 2007
    Postów
    688

    Domyślnie

    To zaopatrz się w Kaspersky rescue disc też jest za darmo. Osobiście jak ostatnio ratowałem kompa znajomej użyłem 2 narzędzi akurat AVG i Kasperskyego - uzupełniły się Aha na jej komputerze oczywiście było zainstalowane oprogramowanie AV dodam, że płatne nie wymienię firmy. Co do pendrive wydaje ci się, że wszystko widziałeś - możesz użyć HDDGURU: HDD Wipe Tool to narzędzie pozwoli też na wyzerowanie bootsectora,

  7. #7
    Zarejestrowany
    Sep 2011
    Postów
    29

    Domyślnie

    Odnośnie tego mam następujące pytanie: czy istnieje możliwość, że pendrive nadal jest zainfekowany wirusem; nawet jeżeli nie widzę na nim już żadnych niepożądanych plików?
    Raczej nie. Dla pewności przeskanuj go antywirusem i powinno być OK.

  8. #8
    Avatar Michal_sh
    Michal_sh jest offline (s)aint
    Zarejestrowany
    Apr 2007
    Postów
    688

    Domyślnie

    Cytat Napisał Suhy Zobacz post
    Raczej nie. Dla pewności przeskanuj go antywirusem i powinno być OK.

    A o rootkitach słyszałeś, to może chociaż o bootsektorach ?

  9. #9
    ocb
    ocb jest offline
    Zarejestrowany
    May 2011
    Postów
    392

    Domyślnie

    Cytat Napisał Michal_sh Zobacz post
    A o rootkitach słyszałeś, to może chociaż o bootsektorach ?
    widziales rootkita ktory zmienia atrybut na ukryty/systemowy katalogom/folderom/plikom?
    przeciez one filtruja to na zupelnie innym poziomie.
    Ostatnio edytowane przez ocb : 04-17-2013 - 19:41

  10. #10
    Avatar Michal_sh
    Michal_sh jest offline (s)aint
    Zarejestrowany
    Apr 2007
    Postów
    688

    Domyślnie

    Sprawdź co robi rootkit - Rootkit

    Pozwolę sobie zacytować:
    Ukrywa on niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem.
    Może on np. ukryć siebie oraz konia trojańskiego przed administratorem oraz oprogramowaniem antywirusowym. Ukrywanie odbywa się najczęściej przez przejęcie wybranych funkcji systemu operacyjnego, służących np. listowaniu procesów lub plików w katalogu, a następnie "cenzurowaniu" zwracanych przez te funkcje wyników tak, by ukrywane przez rootkit nazwy nie znajdowały się na liście wynikowej.

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj