Tutoriale PC

Tutoriale Windows – Tutoriale securitate PC

 Aboneaza-te

Arhiva pentru May, 2010

Foxit Reader inlocuitorul lui Acrobat Reader mult mai sigur

Postat de Ionut In May - 6 - 2010

Nu stiu cati dintre voi folositi programul  Foxit Reader pentru a vizualiza PDF-uri, dar avand in vedere ca este mult mai mic ca spatiu ocupat si ca memorie ce o necesita la incarcarea si citirea fisierelor pdf, eu unul am inceput sa il folosesc numai pe acesta.

Foxit Reader vine si cu un suport pentru internet explorer, astfel ca se integreaza perfect in browser si nu mai este nevoie de salvarea fisierului PDF pentru a putea fi citit, el poate fi deschis direct prin accesarea unui link catre un fisier PDF.

Cu ceva timp in urma va povesteam despre un bug al lui Foxit Reader si Adobe Reader ce permiteau deschiderea fara instintare a utilizatorului a unui fisier executabil. Iata ca aceasta problema a fost remediata cu ceva timp in urma, insa astazi  au scos o noua versiune in care s-au adus anumite imbunatatiri din punct de vedere al securitatii si anume:

Foxit Reader permite dezactivarea scripturilor dintr-un document pdf, iar prin activarea optiunii  Trust Manager va fi blocata si executarea fisierelor atasate.

Ca o comparatie de securitate in Foxit Reader optiunea Enable Safe Reading Mode este implicit bifata pe cand in Adobe Reader este tocmai pe dos, astfel marea majoritate a utilizatorilor fiind oarecum expusi anumitor programe malitioase daca acestia sunt creduli si dau click pe Run la atasamente.

Descarca Foxit Reader – noua versiune

SECURITATE

Alt virus de messenger Show la webcam gratis http://webcamsex.lx.ro

Postat de Ionut In May - 4 - 2010

Nici nu am scapat bine de virusul despre care va povesteam in urma cu doua zile  si iata ca astazi isi face simtita prezenta un altul.

Acest virus ca si cel de aici se raspandeste tot cu ajutorul clientului de Yahoo Messenger, dar spre deosebire de acela acesta este 100% detectabil de toti antivirusi de pe piata conform site-ului VirusTotal.com.

Mesajul primit este unul ca cel de mai jos:

Show la webcam gratis http://webcamsex.lx.ro asteapta sa se incarce java si dai run

Virusul creeaza urmatoarele foldere fisiere:

%AppData%\addon.dat
%System%\Bifrost\servver.exe
%System%\Bifrost

Pentru a putea rula de fiecare data cand computerul este pornit virusul isi insereaza codul in procesul explorer.exe si creaza urmatoarele chei de registri:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_CURRENT_USER\Software\Bifros

De asemenea in momentul in care utilizatorul da click pe run din apletul java, se descarca un fisier jar: http://webcamsex.lx.ro/Client.jar ce creeaza fisierul: %temp%\winconfig.vbs.

Acesta v-a descarca virusul de pe server: http://webcamsex.lx.ro/server.exe in folderul %temp%\update.exe si il va rula in calculatorul victimei, dupa care acesta se va copia in %System%\Bifrost.


Deci ca un rezumat nici unul din fisierele amintite mai sus nu sunt simportante, ca atare nu trebuie sa faceti altceva decat sa stergeti folderul %System%\Bifrost (de cel mai multe ori c:\windows\sysmte32\Bifrost) si sa ii dati un restart la calculator.

Si ca o paranteza Avast versiunea 5 cu Web Shield activat va bloca accesul la site, in rest atentie mare pe ce mai dati click.

VIRUSI

Un nou virus circula prin messenger – IM56245.JPG-www.myspace.com.exe

Postat de Ionut In May - 1 - 2010

ATENTIE: Un nou virus se transmite prin clientul de Yahoo Messenger si este inca la aceasta ora nedetectabil de catre antivirusi.

Se pare ca de azi cel putin prin Romania circula un nou virus ce se raspandeste cu repeziciune prin Yahoo Messenger.

Virusul  a fost activ pe aceste website-uri si apartin in totalitate Yahoo-ului :

hxxp://ariafotos.com/image.php

hxxp://zhelefun.com/image.php

hxxp://ceceliaimg.com/image.php

hxxp://tviceimg.com/image.php

In momentul acesta link-uurile din mijloc (cele cu rosu) inca mai functioneaza asa ca atentie mare pe ce dati click in clientul de Yahoo Messenger.

Conform website-ului: http://www.virustotal.com acest virus nu este detectabil decat de doar 2 antivirusi (Comodo si Sophos) din 40 ceea ce ii confera dreptul sa faca ce vrea prin calculatoarele victimelor.

Virusul care poarta denumirea IM56245.JPG-www.myspace.com.exe este recunoscut de Comodo Antivirus ca P2PWorm.Win32.Palevo.GZA si de Sophos ca Mal/Rimecud-D, avand aceeasi caracteristica a numelui ca si trojanul Michael Jackson. Daca va mai amintiti de el si acela prezenta in componenta numelui un website. In cazul de fata este vorba de www.myspace.com pentru a duce utilizatorul in eroare.


Acest executabil de tip trojan isi creeaza urmatoarele fisiere:


%Windir%\infocard.exe (acesta va fi si procesul activ)
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

Scanarea am realizat-o cu Hijackthis de la TrendMicro si Autoruns de la Microsoft doua softuri care folosite impreuna e cam improbabil sa le scape ceva in materie de tot ce inseamna malware, spyware si troieni, mai putin virusi ce infecteaza executabilele.

De asemenea urmatoarele chei registry ii apartin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"]

In urma rularii troianului IM56245.JPG-www.myspace.com.exe acesta tine o conexiune deschisa cu ip-ul: 123.176.40.3 pe portul 2345 ce se afla in India, fiind un server apache avand porturile 443, 21 deschise si cel mai probabil vulnerabil daca nu chiar spart de hackeri.

Acest ip poate fi chiar sediul central al acestui virus de unde poate prelua comenzi, de aceea va recomand ca in firewall sa realizati o blocare a oricaror activitati TCP si UDP catre ip 123.176.40.3.

Devirusare infocard.exe - IM56245.JPG-www.myspace.com.exe

Pentru devirusare va trebui sa inchideti din Task Manager procesul infocard.exe, dupa care v-a trebui sa stergeti urmatoarele fisiere:

%Windir%\infocard.exe
%Windir%\mds.sys
%Windir%\mdt.sys
%Windir%\winbrd.jpg

De asemenea va trebui sa inlaturati si cheile de registri amintite mai sus dar nu este neaparat nevoie ele chiar daca raman nu o sa afecteze in nici un fel sistemul de operare atata timp cat fisierele troianului nu mai exista.

Pentru a scapa automat de acest trojan – infocard.exe am facut pentru voi un mic fisier de tip bat ce inchide si sterge virusul si pe care il puteti descarca de aici.

Pentru stergerea virusului va trebui sa deschideti programul de 2 ori.

Update virus Yahoo Messenger

Datorita faptului ca virusul se raspandeste foarte repede acesta si-a  creat mai multe versiuni daca pot sa le spun asa.

Pe langa fisierele amintite mai sus e posibil ca infocard.exe sa poarte si alta denumire ca: net.exe si net1.exe care se afla tot in folderul Windows.

Conexiunile de aseara pe care micul nostru virus le avea s-au diversificat astfel:

74.86.97.166-static.reverse.softlayer.com
server1.beetrootmusic.com
server.noapice.com.br      ——– principal
mail.global.frontbridge.com
mta-v1.mail.vip.ac4.yahoo.com
s9b1.psmtp.com
mxs.mail.ru

Deci avand in vedere ca foloseste mxs.mail.ru si psmtp.com pe portul de smtp acesta va incerca sa faca si spam. De asemenea are si functie de backdoor, deoarece dupa cateva ore de teste am observat si acest fisier umvxcr.exe in folderul utilizatorului de pc: c:\Documents and Settings\User vostru\ , cu proprietati de ascundere – hidden.

Pentru acest lucru am adaptat si programelul de devirusare pe care il puteti descarca de aici.
Pentru stergerea virusului va trebui sa deschideti programul de 2 ori.


VIRUSI