Promijeni Proxy

Meni rade MS adrese i sa IE 8 i sa Firefox 3.5.2. Meni ovo liči na problem sa Telekomovim DNS serverima.

^ Izgleda da je ćerkin laptop pokupio neku gamad, evo sa mog računara vidim da može...
Tema može da se briše!

PS
Definitivno je u pitanju gamad, pošto sa tog laptopa ne mogu da otvorim ni sajtove AVG, Avast...

Skeniram ga sa butabilnim Avira Rescue Disc i ni manje ni više nego W32/Virut.Gen, totalno je zaražen!!!!
Ako budem morao da formatiram disk i ponovo instaliram Vistu (legalnu), što će verovatno i biti slučaj, moraću da joj napravim butabilni CD sa Slaxom, koji se svaki put pokreće u RAM-u, pa nek onda sa njim visi na tom facebook-u odakle i stiže većina gamadi u zadnje vreme!

PS
Neka moderatori temu prebace u zaštitu...

Užas. I jedna moja drugarica je pokupila neku gamad na tom fejsu, ali uspeo sam da joj spasem računar od formatiranja...
Apel za korisnike fejsa: Budite oprezni!

P.S. Lično ne koristim to čudo od fejsa!

A preko cega pokupe viruse? Da zabranim sestri :))) To ide preko slika koje skidaju (sto mi prvo pada na pamet) ili... ?

Ja pravo da ti kazem nikad nisam posetio taj sajt, tako da ne znam sta mogu da skinu, ali preko slika ne mogu, zato sto je to fajl infektor, koristi druge extenzije, exe, bat, com ...
Moze da se prenese i preko fleske, Catch 22 pretpostavlja da je sa fejsa, mozda, a ne mora da znaci, to niko ne moze sada da zna.

Kad neko dobije GoleSise.exe ili SeverininNoviVideo.exe nema veze da li je sa Fejsa, MajSpejsa ili cega god.

Hehe ma znam to i takodje nisam nikad bila na facebook ali vidim da sestra stalno gleda neke slike i chatuje a ostalo ne znam sta sve podrzava. Inace u sliku je naravno moguce postaviti virus, kao uostalom u sve ili gotovo sve.

Imas neki dokaz za ovo sto pricas? Ili hoces da kazes da mozes da spojis virus sa slikom, ali on nece nista raditi?

Dakle, sta si htela da kazes ovom recenicom?

Evo, spojio sam sliku i virus

Nisam pažljivo pročitao ovo, na prvi pogled mi liči ... Picture this: a virus in a JPEG i Image virus spreads via chat.

Ćerkin računar je bio totalno zaražen, skeniranjem sa butabilnog Avira Rescue Disc pronađeno je više stotina fajlova zaraženih w32/Virut.Gen i sličnim virusima. Čišćenje nije bilo moguće pa je morao da padne format particije na kojoj je operativni sistem.
Usput sam i trajno penzionisao AVG Free Antivirus pošto nije detektovao apsolutno ništa!!!???
Klik na očigledni virus exe fajl na zaraženom USB sticku i AVG ne prijavi ništa, dok ga Avira i Avast uredno detektuju i brišu(!!!?????)
Tako da je AVG juče i danas deinstaliran sa svih mašina koje su mi došle pod ruku i zamenjen Avastom ili Avirom u zavisnosti od situacije (na sistemima sa dva harda i nekoliko operativnih sistema je instalirano naizmenično na jednom Avast, na drugom Avira... )

"History repeating..." Pre mnogo godina sam koristio Norton Antivirus, dok ga jednog dana nisam trajno penzionisao kao sada AVG...

PS
Što se tiče aluzija na seksi sajtove i širenje virusa, ta priča je više iz domena "srpskih urbanih legendi", pošto se 90% virusa danas prenosi popularnim USB stickovima. Razne foto-kopirnice i fotografske radnje su pravi rasadnici svakojake viruelne gamadi, što je već odavno konstatovano kao neosporno!

slike formata .jpg svakako mogu biti podložne virusima kao i screen saveri
scr. Svi antivirusi imaju u listi ekstenzija i ove dve.

@calexx, sa prvog linka:

Dakle, mogao bi da se zarazis samo ako ti je podeseno da ti se jpg fajl otvara pomocu ovog exrtk.exe, koji si dobio ako si kliknuo pre toga na exe fajl i zarazio se.

@agasoft: objasni mi to za jpg, molim te. Za scr je ok, posto su to ionako exe(cutable) fajlovi.

Sam kod virusa teorijski bi se mogao spakovati u JPEG, ali problem
je sto nije dovoljno samo postojanje koda, vec je tezi deo price naterati
sistem da se neka stvar IZVRSI, dakle, taj virus u JPEG-u sam po sebi
ne moze da uradi nista jer programi koji manipulisu slikama ne otvaraju
te fajlove na nacin da se to unutra moze "pokrenuti".

Posto sam i sam na FB-u, i premda sam na Linuxu pa me zabole za viruse,
opet savetujem da se tamo ne koriste FB aplikacije, osim onih par koje
dolaze aktivirane kada otvoris nalog (groups, events, sta vec..), zapravo sve
sto je potrebno je da vas neko sa fejsa uputi na samo jedan zarazen link, i posto
uglavnom ljudi nemaju adekvatnu zastitu, to je dovoljno.

Takodje i messengeri - o ljudi koje znam, a koji su na msn-u, malo malo
pa mi od nekog od njih stigne neka poruka sa nekim linkom koju taj
prijatelj nije poslao, vec je u pitanju zarazen racunar koji koristi msn da sam
salje poruke sa malicioznim linkovima. Savet - nemojte instalirati (pogotovo na
windowsu), neke dodatke za smajlije, neke dodatne funkcionalnosti msn-a,
pogotovo ako su to neke stvari koje ne poticu od samog MS-a, a vecina ih ne potice,
vec te gluposti pise ko hoce.

Dakle, na FB-u i na MSN-u morate biti oprezniji, ako to koriste deca,
tu nema vajde nesto pricati o opreznosti, jednostavno napraviti bekap
sistema (GHOST windowsa i programa) i onda svaki put kad se tako nesto
desi samo za 5 min vratiti ceo ispravan OS i programe.

Antivirusi pomazu samo ako i ti vodis racuna sta radis, inace malo je onih
koji ce bas svakog moci da nesto previse zastite ako taj i sam ne povede malo racuna,
a za to je potrebno nesto znanja i iskustva, pre svega.

Naravno, resenje sa Live Linux diskom, koje je pomenuo Catch22 isto nije lose,
recimo za Mint Linux-om, koji kad se podigne ima vec i Javu i Flash i sve... potrebno
za te gluposti tipa FB-a, pa nek surfuju klinci do mile volje.

Jedno pitanje, vecina virusa napada particiju na kojoj je windows a da li ima i onih koji napadaju particiju na kojoj nije sistem? Nisam nikada imala takvih problema ali retko cuvak programe koji su mi ne d: particiji pa bih mi moglo nestati dosta vaznih podataka.

^ Pa standardni način je da se zaraza prenosi na sve što se pokrene od momenta kada je računar zaražen uključujući sam operativni sistem, antivirus, firewall i sve ostale aplikacije na računaru.
Ako sam antivirusni program bude zaražen, a ti ga pokreneš da ti skenira ceo računar - eto veselja (posle ne pomaže ni "kijanje u vlastiti rukav")!
Većina virusa / crva inficira izvršne exe fajlove, ali ih ima koji to rade i sa html, pdf... _{(upravo viđeno na pomenutom ćerkinom laptopu)}


PS
Jedina pozitivna stvar je što sam sada instalirao Vistu Ultimate SP2, a da je instalacija prihvatila OEM ključ njene originalne Viste Ultimate SP1 i da je aktivacija preko interneta uredno prošla.

Viraus ne napada particiju, vec fajlove, a fajl moze biti na bilo kojoj particiji,
(C, D, E...) pa naravno i na particijama removable uredjaja (USB Flash) - koji su zapravo
dosta cest nacin rasejavanja virusa (USB koji se usteka na zarazen racunar pa posle na neki drugi).

To pitam posto se kod zaraze obicno sve resi jednim formatom sistemske particije a ne secam se da sam skoro videla na forumu da je neko morao formatirati bas ceo HDD

Pre par godina sam pisao seminarski rad na temu JPEG-a, pa evo ukratko kako se dobija JPEG, a vi sami zakljucite gde tu moze da se ugradi virus:

1. Izmena prostora boje - prevodimo RGB format u YCbCr, jer ljudsko oko opaza vise nijansi u intenzitetu osvetljenja nego u boji, pa za osveteljenje izdvajamo zaseban kanal
2. Redukcija palete boja - umanjimo kolicinu informacija koju nose Cb i Cr komponenta, i to najcesce za faktor 2, pri cemu stedimo od 33 do 50% na velicini krajnje datoteke
3. Deoba na blokove 8x8 piksela - u slucaju da ukupan broj piksela po bilo kojoj osi nije deljiv sa osam, primenjuje se jedna od tri metode za dopunjavanje nedostajucih piksela (popunjavanjem piksela na ivicama nekom unapred odredjenom bojom, ponavljanjem piksela na ivicama, popunjavanje piskelima cija je boja srednja vrednost preostalih piksela u bloku)
4. Diskretna kosinusna transformacija - upotrebom normalizovane dvodimenzionalne diskretne kosinusne transformacije tipa II prevodimo svaku komponentu YCbCr modela u svakom 8x8 bloku u domen frekvencija, pri cemu DKT nagomilava vece vrednosti u gornjem levom cosku matrice, dok se u donjem desnom nalaze manje vrednosti bliske nuli, i njih mozemo da odbacimo pri cemu dodatno stedimo na prostoru za skladistenje informacija
5. Kvantifikacija - podelimo sve komponente u frekventnom domenu nekom konstantom, i zatim dobijeni rezultat zaokruzimo na najblizu celobrojnu vrednost; kao rezultat ove operacije, vecina visokih frekvencija bice zaokruzena na nulu, a preostale vrednosti bice veoma mali pozitivni i negativni brojevi, za koje je potrebno mnogo manje bitova za skladistenje podataka
6. Entropijsko kodiranje - delovi slike se redjaju drugacijim redosledom prateci odredjenu cik-cak putanju, a zatim se upotrebom Huffmanovog algoritma odredjeni tipicni nizovi brojeva (npr. sve nule u donjem desnom cosku matrice) mogu zameniti odredjenim kodnim recima, cime se jos stedi na prostoru za cuvanje informacija

Da bi se JPEG prikazao, radi se obrnuti proces: entropijsko dekodiranje, zatim dekvantifikacija, pa inverzna diskretna kosinusna transformacija, i na kraju od dobijenih blokova 8x8 ponovo rekonstruisemo sliku.

Pa neka mi neko kaze koji normalan viewer, koji se pridrzava ovog recepta, moze od jpg fajla da generise bilo sta drugo osim gomile piksela. Znaci, morali bismo imati modifikovani viewer koji bi od jednog dela JPG fajla generisao i nesto drugo, a ne samo piksele, ali bi onda verovatno i svaki normalan viewer od tog dela JPG fajla generisao gomilu "djubreta" u slici, pa bi svakome bilo jasno da tu nesto nije u redu sa tim fajlom. jedino sto mi pada na pamet je da se iskoriste neki nestandardni markeri, koje bi normalni vieweri ignorisali, a modifikovani iskoristili da generisu neki novi fajl sa malicioznim instrukcijama.



Tehnicki gledano, MBR nije fajl, ali sadrzi instrukcije u masinskom kodu za bootsrapovanje operativnog sistema, i te instrukcije mogu biti izmenjene i dopunjene da rade nesto drugo (i postoji i zasebna grupa virusa koje se naziva boot virusi i "zive" upravo u MBR). A kako se MBR nalazi u takozvanom nultom LBA sektoru svakog diska, onda mozemo reci da boot virus "napada particiju" (mada particija moze biti i logicka i extended, pa se tu malo menjaju pravila igre, ali da se ne rasplinjujemo previse).



Vecina korisnika racunara se drzi pravila igre i sve instalira u C:\Program Files, i drzi Windows folder na default lokaciji na C: disku, a posto je virusima potreban domacin, i uglavnom ih pronalaze medju aktivnim fajlovima, onda je veoma mala verovatnoca da ce se nesto sa drugih particija zaraziti, a i ako se zarazi nije stalno aktivno i ne predstavlja pretnju kao potencijalno novo izvoriste zaraze nakon ciscenja racunara. Zbog toga vecina korisnika posle zaraze formatira samo sistemsku particiju a ostale ostavlja netaknute.

_{[Ovu poruku je menjao valjan dana 09.08.2009. u 13:16 GMT+1]}

A zašto si mislio da aktivacija neće proći?

Recimo onaj kojem se dogodi da u slucaju nepravilnih podataka u slici dodje do buffer overflow-a pri cemu se programski de memorije popuni podacima i to podacima koji su ugradjeni na odgovarajuce mesto u slici (zavisno od bug-a). Pri tome su ti podaci zapravo identicni kodu (kod je takodje podatak, samo je markiran da se treba izvrsavati). Tada se izvrsi taj kod koji je zapravo bio ugradjen u sliku.

Ovakve stvari su jako retke ali moguce. Znam za jedan slucaj koji je postojao u GDI-u pa je isvaki program koji ga je koristio imao taj problem. Jedino nisam siguran da li je u pitanju bio jpg ili neki drugi format slike, ali princip je isti.

Ljudi, ovo je sve extra sto pisete, ali mora neko od moderatora do promeni naziv teme...

Upravo se ovaj virus Virut siri na sve particije, pa je preporucljivo posle formatiranja C particije prvo instalirati antivirus i skenirati kompletan racunar.
Sto se tice AVG antivirusa, po meni je to najobicnije djubre od programa i ne bih ga preporucio nikome.

Nisam mislio da aktivacija neće proći, nego da OEM serijski broj neće proći kod same instalacije, pa da ću morati da instaliram standardno bez serijskog broja, naknadno ga unesem i aktiviram... Ali eto sve je prošlo glatko i bezbolno.
Drugu particiju na kojoj su dokumenta, ali i sistemski folderi Desktop, Favorites... sam skenirao sa Avastom i tamo je pronašao i utamanio dva zaražena fajla.

A sada evo ćerka i ja vežbamo kako se koristi SLAX Linux sa butabilnog USB, za surfovanje, pa i za slušanje muzike, gledanje filmova... ponešto da napiše...
Pitam se samo koji sam joj onda moj i kupovao originalnu Vistu Ultimate?!?
Bilo mi je žao da joj pored originalne Viste sad instaliram Windows 7, koji bi sigurno brže radio... možda kod sledećeg kraha.


PS
Da slažem se, moderator bi mogao da promeni naslov teme u adekvatniji!?

E da, zaboravio sam na GDI+ vulnerability, jer sam mislio da se odnosila samo na EMF i WMF fajlove, ali sam sad malo procesljao MS security bulletine i nasao da je postojao i JPEG buffer overflow u ovom interfejsu - u JPEG je moguce dodavati komentare, sto se obelezava posebnim kodom, ali je nekoliko varijanti gdiplus.dll biblioteke imalo bug da nije radjena provera sadrzaja ovih komentara pre normalizacije, pa je kljucni bit tokom normalizacije bio promenjen i to je dovodilo do pucanja aplikacije i mogucnosti da se nakon toga izvrsi odgovarajuci kod. Medjutim, uglavnom su samo MS proizvodi koji prikazuju JPEG slike bili podlozni ovome, pa je svako sa odgovarajucom verzijom gdiplus.dll biblioteke i/ili odgovarajucom verzijom IE6, .NET-a, Office paketa ili specijalizovanih MS grafickih aplikacija bio ugrozen. Zato sam i rekao "normalan viewer" ;-)



Virut je uspesan zbog toga sto se utrpa u bukvalno svaki exe ili scr fajl koji je aktivan na racunaru, bez obzira da li je on vec zarazen drugim virusom ili ne. Ako neko zeli da sazna kakvu enkripciju koristi Virut i koliko autori Viruta verovatno zarade po racunaru na koji Virut downloaduje drugi malware, mogu da pogledaju sledeci link:
http://www.secureworks.com/res...ats/virut-encryption-analysis/

Nije samo MS-ov, vec sav software koji koristi GDI (ili GDI+?).


Onaj program koji nema nikakav bug (pa onda signo ni takav) nikako nije normalan :))

GDI i GDI+ su API-ji, bas kao i DirectX i OpenGL i slicni. Od proizvodjaca softvera zavisi da li ce ga iskoristiti ili ce razviti svoje funkcije. Sad sam na brzinu procesljao moj racunar, i izgleda da ga ACDSee ne koristi (a negde sam procitao na netu da je isti slucaj sa IrfanView-om), a koriste ga recimo Adobe Bridge, Nero Slide Show i Autodesk Design Review.

E ovo se nisam nadao, covek ladno posalje Nortona u penziju i koristi Avira, AVG Free Antivirus, Avast !?! Elem, 300 din. je KAV mesecno, ljudi sto se patite ...

A ti misliš da si sa Kasperskim potpuno imun, zato što platiš 3600,00 za jednogodišnju licencu?

Sto tebi nesto proslo ?

^ Kada bi postojao "100% bullet-proof" AV program, svi bi koristili samo njega a drugi ne bi ni postojali na tržištu! _{(as simple as that)}

Hmmm, ma ima svasta