<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=iso-8859-2"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Da, dosadni USB prenosivi virusi predstavljaju pravu pošast, odavno više ne pomaže oprobani recept isključenja autorun funkcije, jer se izvršavaju pokretanjem linkova,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>dobro kreirani virusi imaju takvu sposobnost mutacije da je recimo za virus koji vam AV trenutno prepoznaje, dovoljno par puat utaknuti čist USB-a u zaraženi računar, dobijena kopija iz 5. ili 6. puta će biti u poptunosti neprepoznatljiva!<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Najbolje rezultate su kod ovih virusa pokazali Kaspersky i Bitdefender, a pošto mi koristimo određen broj Endpoint licenci Symantec-a, ja sam se svojevremno gotovo posvađao sa njihovim ekspertima iz antivirusne podrške, jer sam danima bezuspešno uploadovao nove varijante jedno te istih virusa, koje bi oni gotovo odmah unosili u najnovije definicije, što nije davalo rezultata već pri prvoj značajnijoj mutaciji...<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Rešenje sam na kraju našao u rigoroznoj meri da putem grupne Symantec polise, zabranim bilo kakvo pokretanje skripti i izvršnih fajlova sa prenosnih uređaja, ova drakonska mera jeste onemugućila prelazak virusa, ali je isto tako onemogućila pokretanje bilo kakve instalacije sa USB ili CD-a,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Pozdrav,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Darko Kozarski, <o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Poljoprivredni fakultet, Beograd<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p>&nbsp;</o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> amres-info-bounces@amres.ac.rs [mailto:amres-info-bounces@amres.ac.rs] <b>On Behalf Of </b>Bojan Tepavcevic<br><b>Sent:</b> Monday, December 16, 2013 10:48 PM<br><b>To:</b> amres-info@amres.ac.rs<br><b>Subject:</b> {Disarmed} Re: [amres-info] VBS skripta virus<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>usb virusi se sire pre svega lokalno/regionalno (a verovatno su i domace ili regionalne &quot;proizvodnje&quot;) pa se obicno teze i/ili sa zakasnjenjem pojavljuju u definicijama globalnih AV programa.<br><br>AV kompanije imaju mehanizme za prijavljivanje/slanje novih virusa za registrovane korisnike, pa bi tako verovatno mogao da se resi problem sa tim konkretnim virusom, ali realno to nema mnogo smisla posto sa vec prvim sledecim usb virusom sve pocinje iz pocetka...<br><br>Moze da pomogne da se na masinama iskljuci autorun za removable devces, pa recimo da se na usb memorije kopira prazan AUTORUN.INF sa HSR atributima itd, ali to ne pomaze kod npr virusa koji postojece fajlove/foldere na memoriji pretvore u hidden a pod istim imenom sa egzekutabilnom ekstenzijom podmetnu sebe (npr &quot;Diplomski rad.doc.exe&quot;). Tu nema pomoci&nbsp; cak i da OS ne skriva ekstenziju po defaultu - kad neko ocekuje da vidi svoj diplomski rad na flashu klikne na exe u 90% slucajeva.<br><br>b.<br><br><br>At 21:54 12/16/2013, Stevan Rosic, sistem inzenjer - Fakultet inzenjerski wrote:<br>Postovane kolege,<br>Pre nesto manje od mesec dana na nasem Fakultetu poceo je da kruzi &quot;virus&quot; u obliku VBS skripte koja skriva fajlove na USB flesevima i siri se dalje od racunara do racunara. Svojevremeno je bilo vise vrsta takvih &quot;virusa&quot; koje su uspesno uklanjali antivirus programi. I ova varijanta se rucno vrlo lako skida brisanjem VBS i BIN fajla iz roota user direktorijuma i startupa (dncbfe1.bin, dncbfe1.vbs). Nazalost ni jedan antvirus koji sam probao ga ne pronalazi. Fakultet poseduje legalnu Aviru koja ga ne pronalazi. Probao sam Kaspersky, NOD, Malwarebytes, MS i bez uspeha.<br>Da li jos neko ima slican problem posto je vrlo frustrirajujce rucno skidati, a siri se brzinom svetlosti :)<br>_________<br>Srdacno,<br>Stevan Rosic, dipl. inz.<br>Sistem inzenjer, Fakultet inzenjerskih nauka Univerziteta u Kragujevcu<br><b>tel:</b> +381 (0)34 335-990 lok 741, <b>tel/fax:</b> +381 (0)34 335-465<br><b>mob:</b> +381 (0)63 80-83-120<br><b>e-mail:</b> <a href="mailto:stevan.rosic@fink.rs">stevan.rosic@fink.rs</a><br><b>web:</b> <a href="http://www.mfkg.rs"><b><span style='color:red'>MailScanner has detected a possible fraud attempt from &quot;www.mfkg.rs&quot; claiming to be</span></b> http://www.fink.rs</a><o:p></o:p></p><div class=MsoNormal align=center style='text-align:center'><hr size=2 width="100%" align=center></div><p class=MsoNormal>_______________________________________________<br>amres-info mailing list<br>amres-info@amres.ac.rs<br><a href="http://afrodita.rcub.bg.ac.rs/mailman/listinfo/amres-info">http://afrodita.rcub.bg.ac.rs/mailman/listinfo/amres-info<br></a><o:p></o:p></p></div></body></html>