[amres-info] {Disarmed} Re: VBS skripta virus
Darko Kozarski
darko at agrif.bg.ac.rs
Tue Dec 17 00:51:01 CET 2013
Da, dosadni USB prenosivi virusi predstavljaju pravu pošast, odavno više ne
pomaže oprobani recept isključenja autorun funkcije, jer se izvršavaju
pokretanjem linkova,
dobro kreirani virusi imaju takvu sposobnost mutacije da je recimo za virus
koji vam AV trenutno prepoznaje, dovoljno par puat utaknuti čist USB-a u
zaraženi računar, dobijena kopija iz 5. ili 6. puta će biti u poptunosti
neprepoznatljiva!
Najbolje rezultate su kod ovih virusa pokazali Kaspersky i Bitdefender, a
pošto mi koristimo određen broj Endpoint licenci Symantec-a, ja sam se
svojevremno gotovo posvađao sa njihovim ekspertima iz antivirusne podrške,
jer sam danima bezuspešno uploadovao nove varijante jedno te istih virusa,
koje bi oni gotovo odmah unosili u najnovije definicije, što nije davalo
rezultata već pri prvoj značajnijoj mutaciji...
Rešenje sam na kraju našao u rigoroznoj meri da putem grupne Symantec
polise, zabranim bilo kakvo pokretanje skripti i izvršnih fajlova sa
prenosnih uređaja, ova drakonska mera jeste onemugućila prelazak virusa, ali
je isto tako onemogućila pokretanje bilo kakve instalacije sa USB ili CD-a,
Pozdrav,
Darko Kozarski,
Poljoprivredni fakultet, Beograd
From: amres-info-bounces at amres.ac.rs [mailto:amres-info-bounces at amres.ac.rs]
On Behalf Of Bojan Tepavcevic
Sent: Monday, December 16, 2013 10:48 PM
To: amres-info at amres.ac.rs
Subject: {Disarmed} Re: [amres-info] VBS skripta virus
usb virusi se sire pre svega lokalno/regionalno (a verovatno su i domace ili
regionalne "proizvodnje") pa se obicno teze i/ili sa zakasnjenjem pojavljuju
u definicijama globalnih AV programa.
AV kompanije imaju mehanizme za prijavljivanje/slanje novih virusa za
registrovane korisnike, pa bi tako verovatno mogao da se resi problem sa tim
konkretnim virusom, ali realno to nema mnogo smisla posto sa vec prvim
sledecim usb virusom sve pocinje iz pocetka...
Moze da pomogne da se na masinama iskljuci autorun za removable devces, pa
recimo da se na usb memorije kopira prazan AUTORUN.INF sa HSR atributima
itd, ali to ne pomaze kod npr virusa koji postojece fajlove/foldere na
memoriji pretvore u hidden a pod istim imenom sa egzekutabilnom ekstenzijom
podmetnu sebe (npr "Diplomski rad.doc.exe"). Tu nema pomoci cak i da OS ne
skriva ekstenziju po defaultu - kad neko ocekuje da vidi svoj diplomski rad
na flashu klikne na exe u 90% slucajeva.
b.
At 21:54 12/16/2013, Stevan Rosic, sistem inzenjer - Fakultet inzenjerski
wrote:
Postovane kolege,
Pre nesto manje od mesec dana na nasem Fakultetu poceo je da kruzi "virus" u
obliku VBS skripte koja skriva fajlove na USB flesevima i siri se dalje od
racunara do racunara. Svojevremeno je bilo vise vrsta takvih "virusa" koje
su uspesno uklanjali antivirus programi. I ova varijanta se rucno vrlo lako
skida brisanjem VBS i BIN fajla iz roota user direktorijuma i startupa
(dncbfe1.bin, dncbfe1.vbs). Nazalost ni jedan antvirus koji sam probao ga ne
pronalazi. Fakultet poseduje legalnu Aviru koja ga ne pronalazi. Probao sam
Kaspersky, NOD, Malwarebytes, MS i bez uspeha.
Da li jos neko ima slican problem posto je vrlo frustrirajujce rucno
skidati, a siri se brzinom svetlosti :)
_________
Srdacno,
Stevan Rosic, dipl. inz.
Sistem inzenjer, Fakultet inzenjerskih nauka Univerziteta u Kragujevcu
tel: +381 (0)34 335-990 lok 741, tel/fax: +381 (0)34 335-465
mob: +381 (0)63 80-83-120
e-mail: stevan.rosic at fink.rs
web: <http://www.mfkg.rs> MailScanner has detected a possible fraud attempt
from "www.mfkg.rs" claiming to be http://www.fink.rs
_____
_______________________________________________
amres-info mailing list
amres-info at amres.ac.rs
http://afrodita.rcub.bg.ac.rs/mailman/listinfo/amres-info
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://afrodita.rcub.bg.ac.rs/pipermail/amres-info/attachments/20131217/4b8f9049/attachment.html
More information about the amres-info
mailing list