[amres-info] VBS skripta virus

Bojan Tepavcevic bojt at imk.grf.bg.ac.rs
Mon Dec 16 22:47:38 CET 2013 

usb virusi se sire pre svega lokalno/regionalno (a verovatno su i 
domace ili regionalne "proizvodnje") pa se obicno teze i/ili sa 
zakasnjenjem pojavljuju u definicijama globalnih AV programa.

AV kompanije imaju mehanizme za prijavljivanje/slanje novih virusa za 
registrovane korisnike, pa bi tako verovatno mogao da se resi problem 
sa tim konkretnim virusom, ali realno to nema mnogo smisla posto sa 
vec prvim sledecim usb virusom sve pocinje iz pocetka...

Moze da pomogne da se na masinama iskljuci autorun za removable 
devces, pa recimo da se na usb memorije kopira prazan AUTORUN.INF sa 
HSR atributima itd, ali to ne pomaze kod npr virusa koji postojece 
fajlove/foldere na memoriji pretvore u hidden a pod istim imenom sa 
egzekutabilnom ekstenzijom podmetnu sebe (npr "Diplomski 
rad.doc.exe"). Tu nema pomoci  cak i da OS ne skriva ekstenziju po 
defaultu - kad neko ocekuje da vidi svoj diplomski rad na flashu 
klikne na exe u 90% slucajeva.

b.


At 21:54 12/16/2013, Stevan Rosic, sistem inzenjer - Fakultet 
inzenjerski wrote:
Postovane kolege,
Pre nesto manje od mesec dana na nasem Fakultetu poceo je da kruzi 
"virus" u obliku VBS skripte koja skriva fajlove na USB flesevima i 
siri se dalje od racunara do racunara. Svojevremeno je bilo vise 
vrsta takvih "virusa" koje su uspesno uklanjali antivirus programi. I 
ova varijanta se rucno vrlo lako skida brisanjem VBS i BIN fajla iz 
roota user direktorijuma i startupa (dncbfe1.bin, dncbfe1.vbs). 
Nazalost ni jedan antvirus koji sam probao ga ne pronalazi. Fakultet 
poseduje legalnu Aviru koja ga ne pronalazi. Probao sam Kaspersky, 
NOD, Malwarebytes, MS i bez uspeha.
Da li jos neko ima slican problem posto je vrlo frustrirajujce rucno 
skidati, a siri se brzinom svetlosti :)
_________
Srdacno,
Stevan Rosic, dipl. inz.
Sistem inzenjer, Fakultet inzenjerskih nauka Univerziteta u Kragujevcu
tel: +381 (0)34 335-990 lok 741, tel/fax: +381 (0)34 335-465
mob: +381 (0)63 80-83-120
e-mail: <mailto:stevan.rosic at fink.rs>stevan.rosic at fink.rs
web: <http://www.mfkg.rs>http://www.fink.rs

----------
_______________________________________________
amres-info mailing list
amres-info at amres.ac.rs
http://afrodita.rcub.bg.ac.rs/mailman/listinfo/amres-info
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://afrodita.rcub.bg.ac.rs/pipermail/amres-info/attachments/20131216/b5f98909/attachment.html

More information about the amres-info mailing list