Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

wirus (a właściwie robak) openSSL32.exe

12 Nov 2006 16:11 2265 11
  • Electronics specialist
    Zapisuje się jako C:\WINNT\system32\openSSL32.exe na Windows NT i Windows 2000; nie wykryłem go na
    Windows XP, ale mam informację, że też są przez niego atakowane, jeśli nie mają najnowszych upgrade-ów.
    Niewykluczone, że taki plik należy do jakiegoś normalnego programu - trzeba sprawdzać datę modyfikacji.

    Ściąga na komputer inne wirusy z sieci - za kilka godzin mogą być dziesiątki. Odtwarza się po usunięciu.
    A na Windows 2000 próba usuwania wirusów, kiedy jest już ten robak, powoduje najpierw restart systemu,
    a po jakimś czasie rozwalenie systemu tak, że nie daje sie już wystartować - komputer restartuje się w kółko.

    Przypuszczalnie pojawił się 9 listopada, i podejrzewam, że już zaraził większość komputerów - sprawdź swój!
    O tym robaku i metodzie zwalaczania http://www.sophos.com/security/analyses/w32spybotmy.html
    [Szkolenie 22.06.2021, g.9.00] Zabezpieczenia Internetu Rzeczy (IoT) programowe i sprzętowe. Zarejestruj się za darmo
  • Level 19  
    Witam. Skoro się odtwarza po usunięciu to może ulokował sie w MBR dysku, czy próbowałeś wyczyścić MBR. Jeżeli nie to spróbuj. Posiadam mały programik napisany przez mojego syna pomógł mi kilka razy
  • IT specialist
    :arrow: _jta_
    To tylko zwykly robak, kasujesz jego usluge + plik i po problemie. Jezeli ktos ma piracki windows bez aktualizacji to jest sam sobie winien.

    :arrow: macha
    Przeciez na stronie masz DOKLADNY opis wiec po piszesz o mbr?
  • Electronics specialist
    Windows mam legalne. A skasowanie pliku nic nie daje - sprawdzone.

    Z tego, co się zorientowałem, to do Windows NT MicroSoft nie zrobił łaty na dziurę,
    przez którą ten robak włazi do systemu, i nie zamierza takiej łaty zrobić.

    Poza tym - są trojany (czy jak je nazwać), które ściągają na komputer inne trojany
    z sieci, i ten również do nich należy; nie wykluczam również, że robią trwałe dziury
    w systemie, przez które potem mogą łatwo włazić.

    To akurat jest wirus typu Backdoor - tak go indentyfikuje program AV z Kaspersky Lab
    (http://www.kaspersky.com: http://www.viruslist.com/en/encyclopedia?virusid=141641
  • IT specialist
    NT to zabytek, wielu rzeczy brakuje w tym systemie, nie tylko latek.
    Wklej na forum log z hijackthis to Ci powiem co i jak usunac (o ile jeszcze masz z tym problem).
  • Electronics specialist
    Problem mam nadal, i prawdopodobnie potrwa to jeszcze wiele dni.
    Nie mam programu hijackthis, i nie wiem, czy bym miał prawo go zainstalować.
    Z dwóch powodów: licencja (czy nie naruszam prawa) i bezpieczeństwo.
    Nie wiem, czy umiałbyś sobie z tym poradzić - to prawdopodobnie jest jeden
    z najgroźniejszych wirusów, jakie zdarzyło mi się widzieć. A widziałem sporo.
  • R.I.P. Meritorious for the elektroda.pl
    _jta_ wrote:
    Nie mam programu hijackthis

    www.hijackthis.de
    _jta_ wrote:
    nie wiem, czy bym miał prawo go zainstalować. Z dwóch powodów: licencja (czy nie naruszam prawa) i bezpieczeństwo.

    Masz prawo: program jest oficjalnie darmowy. Program ten jest programem bezpiecznym.
    Program ściągniesz jako plik zip. Rozpakuj, uruchom, wybierz opcję (zresztą proponowaną przez program) Do a system scan and save a log file. Po zakończeniu skanowania otworzy się okno notatnika z plikiem tekstowym. Wklej zawartość notatnika (tylko kompletną) na forum
  • IT specialist
    :arrow: _jta_
    Masz tyle postow i tyle pomogl, a nie potrafisz uzyc google/wyszukiwarki zeby dowiedziec sie cos to jest hijackthis i jak go uzywac? Dziwne...
    To nie jest żaden wirus tylko zwykly trojan i wcale nie jest grozny i jak juz pisalem jego usuniecie to żaden problem.
  • Electronics specialist
    Tak się składa, że w sieci, którą się zajmuję, jest kilkaset komputerów. Na szczęście tylko część zaraziła się wirusami
    (być może jeszcze nie o wszystkich wiem, choć to już ponad 3 miesiące temu), ale i tak doprowadzenie do dobrego stanu
    kilku, które wirus najbardziej uszkodził, zajęło mi parę miesięcy. Programu 'hijackthis' na razie do tego nie używałem -
    ograniczyłem się do SpybotSD i http://www.kaspersky.com/virusscanner - ten ostatni tylko wykrywa wirusy, naprawiać
    musiałem ręcznie (ten skaner jest darmowy, ale program tej firmy usuwający wirusy jest jednym z najdroższych).
    Nie chciałem formatować dysku i instalować na nowo systemu, bo były tam poinstalowane programy, których instalacja
    na nowo byłaby dość trudna - potrzebowałbym ją konsultować ze specjalistami od nich, a to też jest czasochłonne.

    Pewnie przy następnej okazji, jak będą jakieś wirusy, to wypróbuję i 'hijackthis'. Największym problemem nie było
    wykrywanie, że na danym komputerze są wirusy (już raczej poszukiwanie przez sieć zawirusowanych komputerów -
    to też daje się zrobić, przynajmniej dla niektórych wirusów), ale zabezpieczenie przed powtórnym zarażeniem, bo
    przy dużej ilości komputerów w sieci zachodzi "reakcja łańcuchowa" zarażania ich przez wirusy.
    A poza tym niektóre wirusy (a raczej trojany) umożliwiają dostęp z zewnątrz do komputera (nawet w zabezpieczonej
    sieci) i instalowanie na nim programów tak, żeby były niewidoczne, a umożliwiały ten dostęp nawet po usunięciu
    tego wirusa, którego było widać. Jest to raczej zdalne włamywanie się do komputera, niż zarażenie wirusem.

    Nieprzyjemną właściwością niektórych nowych wirusów jest to, że potrafią przełazić przez routera z NAT-em, co prawda
    mało skutecznie - jak dotąd wyśledziłem tylko jeden taki przypadek. Nie jest dla mnie jasne, w jaki sposób one to robią
    NAT ma to do siebie, że nie wpuszcza połączeń z zewnątrz, co oznacza, że to komputer schowany za NAT-em musiał
    spróbować połączenia z jakimś na zewnątrz (i to chyba na zasadzie szukania jakieś usługi przez netbios, bo inaczej nie
    próbowałby takiego adresu - nie miał powodu) i wirus mu odpowiedział, że udostępnia taką usługę...
  • IT specialist
    Przeraza mnie to co piszesz...

    Najpierw piszesz na forum, pozniej piszesz, ze nie chcesz pomocy piszac jakies bzdury (post 12 Lis 2006 23:23)

    > w sieci, którą się zajmuję, jest kilkaset
    > komputerów. Na szczęście tylko część
    > zaraziła się wirusami

    Nasuwa sie tutaj prosty wniosek, ze nie powinienes zajmowac sie ta jak i żadna inna siecia skoro nie potrafisz jej zabezpieczyc, a co dopiero usunac to co sie zainstalowalo.

    > doprowadzenie do dobrego stanu kilku, które
    > wirus najbardziej uszkodził, zajęło mi parę
    > miesięcy. Programu 'hijackthis' na razie do tego
    > nie używałem

    Fakt po co sobie ulatwiac zycie jak mozna posiedziec pare miesiecy i grzebac recznie.

    > NAT ma to do siebie, że nie wpuszcza połączeń z
    > zewnątrz, co oznacza, że to komputer schowany
    > za NAT-em musiał spróbować połączenia z jakimś
    > na zewnątrz

    Trojany sciagaja i instalauja uzytkownicy, a wiec nie ma w tym nic dziwnego, ze NAT nie pomogl.
  • Electronics specialist
    Kolobos wrote:
    Przeraza mnie to co piszesz...

    Twój problem... ja się zajmuję komputerami, nie przerażonym forumowiczem. ;)

    Kolobos wrote:
    Nasuwa sie tutaj prosty wniosek, ze nie powinienes zajmowac sie ta jak i żadna inna
    siecia skoro nie potrafisz jej zabezpieczyc, a co dopiero usunac to co sie zainstalowalo.

    To może masz pomysł jak zabezpieczyć sieć, w której jest kilkuset użytkowników, z których
    duża część niewiele myśli o bezpieczeństwie, dopóki im jakiś wirus nie rozwali systemu?
    a na dodatek nie ma szans na ich zgodę na odcięcie od sieci, czy bezpieczny system...

    Kolobos wrote:
    > Programu 'hijackthis' na razie do tego nie używałem
    Fakt po co sobie ulatwiac zycie jak mozna posiedziec pare miesiecy i grzebac recznie.

    Diagnoza - gdzie są wirusy - zajęła mi mniej czasu, niż by zajęło spróbowanie 'hijacktjis',
    zresztą to zdążyłem zdiagnozować zanim dowiedziałem się, że jest taki program.
    Parę miesięcy zajęło naprawianie - a tego, mam wrażenie, 'hijackthis' nie robi...
    Na szczęście takie przypadki są rzadkie - najczęściej komputer oczyszcza sie z wirusów
    w ciągu kilkudziesięciu minut; a na części komputerów - tam, gdzie ja rządzę - zrobiliśmy
    tak, że jak jest wirus, to formatujemy dysk i robimy szybką reinstalację systemu - chyba,
    że wirusa da się skutecznie usunąć poświęcając na to nie więcej, niż pół godziny. Można
    tak robić, bo pliki użytkowników są na serwerze linuxowym, a na komputerze tylko cache.
    Niestety nie mamy "mocy przerobowych", żeby taki system zrobić globalnie w całej sieci.

    Kolobos wrote:
    Trojany sciagaja i instalauja uzytkownicy, a wiec nie ma w tym nic dziwnego, ze NAT nie pomogl.

    A może masz jakieś wyjaśnienie, dlaczego komputer próbował połączenia z innym w tej
    sieci, zawirusowanym, z którym żaden z użytkowników się nie łączył, bo nie miał po co?
    Swoją drogą to może jest jakaś metoda na wyłapywanie wirusów - po co instalować na
    każdym komputerze program antywirusowy, i chodzić żeby wszystkie skanować, skoro
    wirusy są tak uprzejme, że jak jest NAT z logowaniem to grzecznie się zapisują w logu?

    Głównym problemem jest u nas brak ludzi, którzy by się zajmowali usuwaniem wirusów -
    ja w tej sieci nie jestem głównym administratorem, zajmuję się tylko kilkoma kawałkami,
    od głównego wiem, że ma listę komputerów, na których wyśledził, że są wirusy - zdalnie
    - tylko nie ma komu tam pójść i tych wirusów pousuwać, bo mamy dość innej roboty...

    Ten trojan, którego dotyczy ten temat, prawie na pewno umożliwiał [b[komuś[/b] zdalny dostęp
    do zarażonego komputera. Pewnie ten ktoś parę razy się pomylił, i przez to rozwalił system.
    A poza tym też miał trochę ograniczone "moce przerobowe", co trochę ograniczyło szkody.
  • Electronics specialist
    Prześledziłem to w logach routera, i odkryłem, w jaki sposób wirus mógł przejść routera z NAT-em:
    po zainstalowaniu tego routera Windows nadal pamiętały stare adresy IP (nie wiem, gdzie - szukałem w rejestrze, bez powodzenia - to znaczy coś znalazłem, wywaliłem, i nie pomogło) i próbowały łączyć się z innymi komputerami w sieci lokalnej używając starych adresów IP, które odpowiadały poprzedniej sieci - więc router wypuszczał te połączenia na zewnątrz, to przechwytywał wirus na komputerze, który był w starej sieci (musiał odpowiadać na ARP do nieswojego adresu IP), i łączył się - dla routera to był komputer, z którym ktoś w sieci wewnętrznej chciał nawiązać połączenie, dla komputera schowanego za routerem, który łączył się z zawirusowanym komputerem, to był serwer, z którym współpracował...
    wszystko przechodziło, poza tym, że komputer miał najnowsze aktualizacje i był odporny na wirusa.

    Ustawiłem na routerze przekierowanie starych adresów IP na nowe, i teraz zamiast wypuszczać to na zewnątrz łączy klienta z tym serwerem, z którym klient chce się połączyć - dzięki temu działa ochrona, i zaczęło działać drukowanie, które przestało działać po zainstalowaniu routera z NAT-em.