IT

Épp akartam kérdezni, hogy szerintetek mennyire biztonságosak a prog letöltő oldalak( pl. origo szbázis, honosító stb...)
De már tudom, hogy nem 100%-an. A honosítóról szedtem volna le egy progit, de el kellett menni a prog honlapjára és onnan letölteni a triálos verziót. És már kezdődhetett is a bolondozás. Többszörös fertőzés jelenti a vír.kereső. A letöltött exe karanténba, plusz a letöltésvezérlő exe indítója is kapott a jóból, tehát uninstall mindenhonnan. Nem fogom idelinkelni az oldalt, mindenki érdekébe, csak tájékoztatás céljából szóltam, (talán) mindenki érdekében.
A bizonyos prog egy keylogger, ami tudom nem szép dolog, de az én jelszavaimat lenyúlni sem szép dolog, ezért lett volna rá szükségem.

15484: hát igen, szóval kishúgom otthon folyatott atomkísérletein kívül nincs fontosabb információ a gépen, szóval nem követelmény a nagyon magas szintű adatvédelem. Kösz a választ mindenesetre!

- KÖSZÖNÖM MINDENKINEK! Egyet biztos megtanultam, ne nyiss meg ismeretlen használó linkjét!

15537:
Na jó, azért a gyanakvás jogát fenn kell tartani, ilyen "istibizti nem csinál ez semmi rosszat, hidd csak el" típusú szöveget bárki kiírhat a weboldalára.
:)

15524: Édes apámnak nem volt annyi esze, hogy végig olvassa az oldalt mivel az alján kiderül, hogy ez az egész semmit nem telepít a gépre csupán egy ártatlan online játékról van szó

15534: 15535:
Amikor a virtuális géppel mész ki a netre, az teljesen olyan, mintha egy önálló gépről tennéd -- következésképp védeni kell, ahogy kell.
Ha a virtuális gép védtelen (miközben a host nem az), akkor a bejövő huncutságok természetesen a virtuális gépet rágják szét, de ahogy írod, Bálint, arra nincs 100%-os garancia, hogy ezek a dolgok a virtuális gép sandboxából nem másznak ki, pontosabban bele a hostba (hiszen a virtuális gép valójában a host belsejében, annak fájlrendszerében van) -- ha jól értem a gondolatmenetedet.
Tehát minél több helyen építünk ki ellenőrző pontokat, annál jobb.

15534:
Egyetértünk, én is ezt mondom :)

15506: Igen, ez így logikus Örkény. Csak azzal szembe vannak fenntartásaim, hogy az a bizonyos cső mennyire zárt, nincs-e rajta egy rés amit ezek a kis rakoncátlan lények (ha véletlenül erre tévednének) megtalálnak, és amíg én vígan szörfölök a virtuális valóságban, addig azok leépítik a hostomat, szó szerint fű alatt, ezért úgy gondolom, hogy jobb, hogyha nem spórolom ki az anyagot egyik falból sem.

15524: Nekem is NODom van, de nem jelzett semmit, persze a nyitóoldalnál tovább nem mentem, de én is megkaptam az oldal üzenetét, hogy már "gond van" a gépemmel. Jó pofa, és elég sok forumba berakta az illető.

15531:
Olyat csak ünnepnapokon kaphat :)

15530: még egy kis bifidus essensis sincs benne??? szegény ie... :)

15529:
:) Ugyan, nem késztessen pirulásra, sok topiklakó sokkal büfébb nálam, a forrásba bárki bele tud kotorni. Remélem, nem lesz pofára esés belőle -- bár az én napi 1 yoghurton és szöges acélpórázon tartott IE7-em valsz sivalkodott volna, ha az az oldal tényleg gázos.

15528: Lehetek-é Dr. Watson ön mellett? : )
(lenyűgöző ez az alaposság :D )

15524: 15526: 15524:
Csatlakozom Leslie véleményéhez. Linkekre csak akkor kattintunk, ha tisztában vagyunk vele, hová vezet és tényleg szükséges számunkra, hogy odamenjünk.
Óvatosságra intő jelek, ahogy Leslie is írta:
1. link mellett egy büdös szó magyarázat nincs (kíváncsiságra bazírozó trigger fogás)
2. a link domainje, TLD-je, az URL valamelyik része gyanús
3. a fentiek alapján fura link szerzőjének adatlapja gyanús:
- az adatok, a név irreális (itt: életkor, doktori fokozat, születési dátum ellentmondásai),
- az esetek többségében az illető viszonylag friss regisztráció (talán sokadik), nem tiltja le a hozzászólásainak listázását és azok többsége ugyanaz, válogatás nélkül beletéve a legkülönfélébb topikokba. Ez a spammelés legbiztosabb jele.
Vot éta:
http://www.iwiw.hu/pages/forum/forumsearch.jsp?userID=10458870
Az ilyen linkspammelés általában
a) saját kóceráj promóciója (.hu-s weboldallal)
b) saját piti reklámbiznisz felpörgetése (.com-ba is, referer, ID résszel az URL-ben)
c) ismeretlen célú oldalra csábítás, ami a vírustól az adathalászatig bármiben végződhet.
Konkrétan:
nem árt bekapcsolni a Phishing filtert, illetve a gyanús weboldalak megnyitására való figyelmeztetést a böngészőkben, és ha piros, akkor (legalább akkor, az utolsó pillanatban) elhúzni onnan.
De hogy megnyugtassalak (már amennyire):
Megnéztem az adott oldal forrását, nincs benne semmi olyan, ami aggodalomra adna okot. Valsz egy online játék. Legalább is én így vélem, reménykedjünk :)
(természetesen az egyes linkekre, menüpontokra az oldalon nem kattintottam, mert azért túlzásokba ne essünk)
A forrás részei (tegyük fel, hogy nincsenek átírva :) ):
- IE7-re felránt egy PNG fixáló javascriptet (hm, gyanús, miért, hiszen az IE7 pont a jó PNG kezeléséről ismert)
- Google Analytics urchin.js,
- chat.js, ami valójában egy teljesen üres forrású html oldal
- wz_tooltip.js, elvileg ez egy ingyenes, ismert eszköztipp-script (Walter Zorntól)
- menüpontok és szöveg
- egy counter.js, ami egy visszaszámláló, ha minden igaz, a forráskódja alapján
Azért, ha vírust akarna letömni a gépedre egy weboldal, az feltűnne (már ha a védelem jól be van konfigurálva). El akarna indítani egy ActiveX-vezérlőt, futtatni akarna egy scriptet stb., amire azért a jól kisámfázott böngésző felszokott horkanni.
Ettől függetlenül: ártalmatlan játék ide vagy oda, ilyesmikre ne regisztrálgass. Isten tudja, kihez kerülnek az adataid, és regisztráció után mit akar majd letöltetni, telepíttetni. A jó játék ilyesmit nem kér, lehet elfáradni a zindex-közeli
http://kmk.blog.hu/
oldalra és szórakozni a sima Flash játékokkal.
:)

15525: 26: Jelentettem, az volt az első dolgom.

15524: Értelmes ember elolvassa a címét - és nem nyitja meg.
Eleve: ilyen magyarázat nélkül csak úgy odalökött mutatókat minek megnyitni? Szereted az orosz rulettet? De mi itt a nyeremény?
A jobbak jelentik is ezt az embert.
A WIW pedig - ha közösségi oldal lenne - páros lábbal rúgná ki.

15524: Hát ha volt védelem, akkor nem lehet baj. Ha nem haragszik, nem nyitom meg...

- Vírusgyáros?
- Kéremszépen! Aki megnyitja ezt a linket, azt télleg vírussal fertőződik neg? Mert ha igen, akkor nekem annyi. Persze van NOD32-m...
http://www.iwiw.hu/pages/forum/topic.jsp?messageID=23374027#message23374027

15522: Kedves Örkény,megköszönöm,hogy ilyen lelkesen foglalkoztál ezzel a témával,de az az igazság,hogy lehet ilyenekből tanulni,mindenki okulására.Leszedtem az AVG antirootkitját,normál keresés után lefuttattam "in-depth search"üzemmódban,természetesen semmit nem talált!Mivel van Adobe Shockwavem,a Safari plug-injében szerepel a Netscape bejegyzés.Valószinüleg a Windows ill.a Netscape DRM rejtett registry és value értékeit mutatta a Sophos.De ezek minden Windows-ban vannak,és valószinűleg jelentést is küldenek.Üdvözöllek

Kollégák, aki használ Sophost és/vagy F-Securét, segítsen kicsit, mert én egyiket sem használom momentán.

15520:
Azt nem tudom, melyik program mit miért nem mutat. Lehet, hogy frissíteni kellene az F-Secure adatbázisát (vagy magát a programot), de mint írtam, simán lehet, hgoy az egyik észleli azt, amit a másik nem, de az is lehet, hogy a saját hurisztikája alapján az egyik valami normál dologra is farkast kiált.

15518: De,igazad van:lnk!Szóval 5 db volt,amióta letöltöttem az SP 3-at,van 6.A vizsgálat végén felugrik a záróablak,amiben a vizsgálat időtartama,valamint az van irva:6 hidden files.Az F-secure miért nem mutatja?

15518:
"Defualt user" se rossz, de Default akart lenni :)

15516:
Nem kérted, de a kettőspont mögé szóköz nélkül beírt zárójel smileyvé alakul itt :)
A "C:\Documents... Ink" sor a három ponttal egy lerövidített elérési útvonalra emlékeztet. Az biztos, hogy a Doc n Settingsen belül a "Default User" júzermappára utal.
- Vajon mi lehet a teljes útvonalnév, a Defualt User mappán belül?
- A vége biztosan "Ink"? Nem "lnk"?

15515:
Hm, megnéztem, az enyémben mi van az adott Registry részben: "shortcut1" nevű dolog nincs.
A \CreatedLinks mappáig lehet lemenni, abban belül pedig van egy Default kulcs ("Windows Media Player") és egy AppName kulcs (ennek értéke pedig a wmplayer.exe elérési útvonala).

15515: Most nem is kértem a smileyt.

15514: Nos,egyet irok,v.szeg tipikus.:Hidden registry value,Hotkey users/S-1-5-18/Software/Microsoft/Media Player/setup/created links/shortcut1 Note:( type1 lenght 168)"C:/Documents and settings/Default Us"...Ink Kiváncsi vagyok.

15511: 15512:
Másold ide be, ha lehet, a pontos Sophos jelentést, szóról szóra, akkor biztosan többen és többet tudnának itt is mondani.
A Ctfmon.exe a MS Office egyik rezidens modulja, a szövegbevitelért felel, és általában mindig bent üldögél. A helye a sysroot:\Windows\System32 folder (ha máshol lenne ilyen néven, az gyanús lehet). A WMSDK elvileg a Windows Media SDK része.
Nagyon fontos a kiterjesztés is, sok ártó program azonos névvel, de más kiterjesztéssel, vagy azonos névvel és kiterjesztéssel, de más helyen, vagy megfelelő helyen, de a névben apró eltéréssel bújik meg. Na mindegy, az első a Sophos pontos üzenete, jelentése lenne.

15512:
A legális alatt most nem a jogtisztaságra gondoltam, hanem arra, hogy olyan program subája alatt sunnyog a rootkit, amelyiket a tűzfal kiengedi (ami tűzfal szempontjából "legálisan" mehet ki a netre).

15511: Megnéztem,mindegyikből egy van:media player,windows user assist,int.settings 5.0,CTFMON.EXE,serial number,plusz 1 Netscape,ami tényleg gyanús.Persze volt fölrakva ez a böngésző,de levettem,mert megszünt a támogatása.De köszi,hogy érdekel a téma.Egyébként teljesen legális a windows-om,és nem rendszergazdaként vagyok bejelentkezve.