ako sa hovori aj majster tesar sa obcas utne. no a ja som sa zatal vcera hoci som niekolko krat dany fajl skontroloval. najprv to bolo zipko stiahnute z netu. nasledne som ho preskenoval nodom ze ci to neni bordel. nebol. tak som ho rozbalil. a opat nasledne preskenoval. nod mlcal ako keby si robil bobrika mlcania. tak reku asi ok a spustil som. no a to som nemal. nod zrazu zacal hulakat cosika o tom ze kua bacha nanho je to trojan. tak som mu na to ze reku vymaz a bude svaty klud a nod zasek ze znova ten isty fajl a ten isty problem. to uz som zacal tusit problemy. ten smradlavy soft bol spakovany sposobom ktory nod nerozoznal az kym nebolo zle (respektive som mal asi slabu heuristiku nastavenu). reku doobre zistim co ti vadi za proces kilneme ho, zmaznes ho a vsetko bude OK. nebolo. bo proces ako taky som nevedel najst. vsetko vyzeralo na prvy pohlad v poriadku. az pokial som nespustil task info. proces "service" mal cudnu ikonku. zacal som sa zamyslat ze co to je? tak som pokusne zrusil proces. zhukol rovno aj explorer. hmmm dobre tak teda spustim noda a uvidime. no a nod sa zrazu odmieta nakopnut. to uz ma vazne dozralo, ale ten co to kodil aspon nebol hlupak. ok restart do safe rezimu (command prompt) a odmaznem tie inkriminovane fajly a bude poradek. safe rezim zbehol, fajly som zmazol, reboot a hopla trojan opat na scene. fiha tento ma vazne tuhy korienok. tak som zacal bruzdat registrami ze co najdem. vela toho nebolo. tak som skusil konkretny nazov trojana ze co povie google. nasiel jeden odkaz na nejake slovinske forum v ktorom sa bolo potrebne registrovat a aj tak mi to nepomohlo. po dlhsom laborovani som nasiel este jeden fajl co stym mal nieco spolocne (kradol identitu service.exe) za pomoci secure task managera (akysi soft z webu, trial verzia, ale aspon ma nakopol spravnym smerom). po vyhladani nazvu tohto suboru uz google ochotne vyhodil stranky norton antiviru a dokonca rovno s navodom na odstranenie. trojan bol zakotveny v systeme niekolkymi sposobmi ktore sa navzajom striehli aby bol stale aktivny. odmazol som vsetky kluce ktorych sa tykal. reboot (safemode), odmaz suborov a vsetko bolo ok. inkriminovany trojan sa volal podla nodu win32/prorat 19. smutne je ze na strankach esetu nieje nikde zmienka o moznosti odstranovania takychto problemoch. iba jednorazove antiviry.
poucenie? byt paranoidny. cim viac tym lepsie. a v node som nastavil heuristiku na max. dufam ze to pomoze. a takisto testovanie vsetkych fajlov.
Žiadne komentáre:
Zverejnenie komentára