Rootkity: śpij spokojnie. Nawet jeśli je masz, są dobrze ukryte

Panie Łukaszu Bigo, czy wchodząc na stronę Crackz.com pracował Pan na koncie z uprawieniami Administratora czy Użytkownika z ogrniczeniami ?

może mam po prostu szczęście, ale używam tylko i wyłącznie windowsowego firewalla, nie używam żadnych działających w tle antywirusów, żadnych innych firewalli, skanerów spyware (działających w tle ofcoz) itd i system działa mi bardzo stabilnie, ostatnio wykryłem wirusa pierwszego od pół roku (co jakiś czas używam skanera online pandy i adaware rutynowo co miesiąc). Komp chodzi 24h/d, robię reset tylko wtedy kiedy to wymagane (np po apdejcie windowsa). Nie należy po prostu klikać we wszystko co popadnie, kasuję wszystkie podejrzane mejle bez otwierania i nie daje się zrobić w konia -> np na stronie crackz.am żeby sassać cracka wyskakuje okienko, że aby go ściągnąć muszę kliknąć yes co oczywiście spowoduje zainstalowanie jakiegos gówna, klikam więc NO, okienko pojawia sie jeszcze 3 razy (w sumie 4) zawsze z tym samym tekstem. Klikam ciagle NO i na końcu mogę ściągnąć cracka. Kto inny pewnie by kliknął yes :)

Dziękuję Panie Łukaszu Bigo za odpowiedź na moje pytanie.:)Kamień spadł mi z serca.;-)

popdruid czyżbyś sie przesiadł na windowsa? Ostatni reinstall w2k mialem około pół roku temu. Nie reinstaluje systemu z powodu trojanów itp., tylko zpowodu śmietnika w rejestrach(testy oprogramowania). Póki co system nadal czysty. Najlepsza rada to nie używać konta z uprawnieniami admina, wszystko jedno czy jest stałe łącze czy nie.

Zapomniałem o jednej ważnej rzeczy, która powinna znaleźć się w artykule: jeśli ktoś używa Rootkit Revealera, z każdym skanowaniem powinien uzyskiwać różne wyniki - daje to sporą dawkę pewności, że w systemie nie ma niczego podejrzanego. Jeżeli natomiast wyniki skanowania zawsze są podobne, np. zauważymy, że ciągle te same pliki chowają się w systemie, warto się tym bliżej zainteresować. Informacje o dziwnych plikach można zamieścić choćby i w komentarzu do tego tekstu - gwoli ostrzeżenia innych użytkowników. /ŁB

@...: "Artykuł do tylnej części pleców. "w systemie pojawiło się kilka nieznanych programów, których wcześniej nie było" jakich programów ???" Widać je na ostatniej zrzutce: optimize.exe i mrjj.exe. Ten pierwszy nawet się wyróżnia w Menedżerze zadań. @Xarafaxz: "Widać braki w wiedzy autora. Obecność plików w API a nieobecnośc w tabeli jest najzwyczajniej normalna ponieważ dzisiejsze systemy buforują operacje i/o w przypadku plików tymczasowych może być tak że znikną one zanim wogóle zajdzie konieczność zapisu na dysku. Dalej dlaczego nie napisał wprost że wchodząc na strone crackz.com zagoscił na swym kompie trojany ?" 1. To prawda. Nim jednak odsądzi Pan kogoś od czci i wiary, proponuję sprawdzić, czy ten bufor zawsze jest opróżniany po zamknięciu aplikacji. 2. Napisał wprost, napisał - w podsumowaniu. :) @Daniel K.: "Panie Łukaszu Bigo mam do Pana pytanie: czy Pan przed wejściem na witrynę Crackz.com zainstalował wszystkie dostępne poprawki dla Windows i Internet Explorera?" Nie, miałem tylko SP2. Pozdrawiam, ŁB komentarz edytowany przez moderatora

Panie Łukaszu Bigo mam do Pana pytanie: czy Pan przed wejściem na witrynę Crackz.com zainstalował wszystkie dostępne poprawki dla Windows i Internet Explorera? Jeśli tak Pan zrobił, a mimo to Internet Explorer uległ wirusom, to ja zmieniam w trybie natychmiastowym przeglądarke.:)

Hmm... [moje ulubione słowo] It seems that there are no safe operating systems at all. Chyba napiszę kompletnie od zera swój własny OS, przeglądarkę, program antywirusowy, firewall, albo najlepiej przerobię starą mikrofalówkę tak aby była komputrem klasy PieC z 666 bitowymi instrukcjami procesora, które to instrukcje będą zbyt skomplikowane dla jakiegokolwiek rootkita. A w razie gdyby jaki wirus się dostał to wrzucam na 3 minuty i mam ładną zupkę. [po godzinie dręczenia mikrofalówy] Dobra, wolę trojany, wirusy, rootkity, windowsa, już nawet nie przeszkadza mi że PC nie podgrzewa żarcia. A poza tym kiedyś nie było internetu i był spokój.

Czysty Windows jest czysty ale Win2000 po tygodniu pracy ma już coś koło 200 lub 300 małych sekretów... :-)) Amulety informatyczne - szukaj mojej strony w sieci...

re Tadek: oczywiście reprezentujesz firmę Świstak & Sreberka Company?

Robiliśmy precyzyjną analizę stacji i serwerów na paru popularnych dystrybucjach Linuxa (zaraz po zainstalowaniu), tu też w pewnych sytuacjach występuje przekazywanie upakowanych danych gdzieś do USA...

Zlota zasada kazdego usera ze stalym laczem racuj na koncie z prawami "smiertelnika" najleiej ograniczajac mozliwosc zapisu do wybranych katalogow :) a jesli plik bedzie wymagal praw administracyjnych to albo instalator albo to jakis rootkit ktory potrzebuje "odpowiednich praw zeby wingerowac sie w system"

Widać braki w wiedzy autora. Obecność plików w API a nieobecnośc w tabeli jest najzwyczajniej normalna ponieważ dzisiejsze systemy buforują operacje i/o w przypadku plików tymczasowych może być tak że znikną one zanim wogóle zajdzie konieczność zapisu na dysku. Dalej dlaczego nie napisał wprost że wchodząc na strone crackz.com zagoscił na swym kompie trojany ? Konkluzja wygląda tak: mimo że na świeżo zainstalowany windows XP SP2 przelażą radośnie trojany i jest to jeden wielki szwajcarski ser to CAŁE SZCZĘŚCIE BO ŻADEN Z NICH NIE JEST ROOTKITEM. A tak się akurat składa że czy coś nim jest czy nie niema potecjalnego wpływu na zagrożenie.

Artykuł do tylnej części pleców. "w systemie pojawiło się kilka nieznanych programów, których wcześniej nie było" jakich programów ??? Autor juz tego nie podał. Dlaczego ??? Bo wyssał cały artykuł z palca :P Mógł przynajmniej podać nazwy tych plików ale jeśli ich nie podał to oznacza że nigdy nie przeprowadzał takiego testu :P

Ciekawy artykuł. Warto, żeby użytkownicy wiedzieli co siedzi w ich komputerach.