Категория ‘Софтуер’

август 16, 2010   alians   Антивирусни системи, Вируси, Софтуер
1

Премахване на червея Conficker (Downadup или Kido)

Win32/Conficker.AA известен също като W32/Worm.AHGV, Net-Worm.Win32.Kido.bg, Worm:Win32/Conficker, W32/Conficker.worm.gen, Mal/Conficker e червeй, който използва Microsoft Windows Server Service RPC за изпълнение на код (MS08-67) и да се разпространи и в други компютри в локалната мрежа. Червеят блокира достъпа до сайтове на системи за безопасност, премахва всички точки за възстановяване на системата, които са съществували до момента на инфекцията, предпазва се от възможност за изтриване, премахвайки всички разрешения, приложими в NTFS, с изключение на достъпа до него и достъпа за четене на директорията, в която се намира и много други. От април 2009 г., червея инсталира и Spyware Protect 2009 (фалшива antispyware програма).

Отстраняване на червея Conficker:

1. Изтеглете пач за уязвимост MS08-67, в зависимост от вашата версия на Windows, отваряйки този линк.
2. Инсталирайте изтегления MS08-67 пач за безопасност.
3. Изтеглете Win32.Worm.Downadup.Gen (Win32/Conficker.AA) removal tool by BitDefender от тук или от F-Secure.
4. Разархивирайте изтегления файл на вашия компютър.
5. Извадете кабела за интернет.
6. Отворете папката, в която сте разархивирали програмата и отворете Anti-Downadup-graphics.exe. Трябва да видите прозорец като този:

7. Щракнете върху Start.
8. Рестартирайте компютъра, когато програмата свърши с сканирането.

Прочети повече
август 15, 2010   alians   Антивирусни системи, Вируси, Софтуер
3

Koobface вирус виреещ в социалните мрежи

Koobface worm е вирус, заразяващ компютрите чрез съобщения в социалните мрежи, като Facebook, Twitter, Myspace и др. Съобщението е подобно на това:


Saw that video yesterday… How coulld you do succh a thing?
Sweet!! Yourr ass loooks great on thiss video!!
Wow! Is tthat reeally you in that videeo?
Funny vide0 with me
Holy shit! Are you really in this video?
Holy shit! You are on hidden camera!

В съобщението има линк. След кликването на линка излиза прозорче, което иска актуализация на Adobe Flash, а всъщност това е инсталацията на koobface. Koobface съдържа бот-компоненти, които ще му позволят да вписва други вредни кодове в бъдеще.

Симптоми в лога на TrendMicro™ HijackThis™


O4 – HKLM\..\Run: [sysldtray] c:\windows\ld15.exe
O4 – HKLM\..\Run: [pp] c:\windows\pp12.exe
O4 – HKLM\..\Run: [sysfbtray] c:\windows\freddy80.exe
O4 – HKLM\..\Run: [sysfbtray] c:\windows\freddy75.exe
O4 – HKLM\..\Run: [sysmstray] c:\windows\mstre24.exe
O4 – HKLM\..\Run: [Captcha7] rundll “C:\Program Files\captcha.dll”,captcha

Ръководство за изтриването на червея:

  1. Изтеглете програмата Avenger от тук и я разархивирайте на Desktop-a.
    1) Пуснете я и копирайте текста долу в Input script Box:

    Drivers to delete:
    podmenadrv
    podmena
    sfxdrv
    sfx
    fioo32
    fio32

    Registry values to delete:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysldtray
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | pp
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysfbtray
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | sysmstray
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Captcha7

    Files to delete:
    %WinDir%\ld16.exe
    %WinDir%\ld15.exe
    %WinDir%\ld14.exe
    %WinDir%\pp14.exe
    %WinDir%\pp13.exe
    %WinDir%\pp12.exe
    %WinDir%\pp11.exe
    %WinDir%\pp10.exe
    %WinDir%\bill107.exe
    %WinDir%\bill105.exe
    %WinDir%\bill104.exe
    %WinDir%\bill103.exe
    %WinDir%\freddy101.exe
    %WinDir%\freddy100.exe
    %WinDir%\freddy84.exe
    %WinDir%\freddy82.exe
    %WinDir%\freddy81.exe
    %WinDir%\freddy80.exe
    %WinDir%\freddy79.exe
    %WinDir%\freddy78.exe
    %WinDir%\freddy77.exe
    %WinDir%\freddy76.exe
    %WinDir%\freddy75.exe
    %WinDir%\freddy74.exe
    %WinDir%\freddy73.exe
    %WinDir%\mstre26.exe
    %WinDir%\mstre25.exe
    %WinDir%\mstre24.exe
    %WinDir%\mstre23.exe
    %WinDir%\mstre22.exe
    %ProgramFiles%\sfx\sfx.sys
    %ProgramFiles%\podmena\podmena.sys
    %ProgramFiles%\captcha.dll
    %WinDir%\system32\drivers\fio32.sys
    %WinDir%\system32\fio32.dll

    Кликнeте на Execute. Ще се появи въпрос за потвърждение на действията ви, кликнете Yes.
    Avenger ще се пусне. В процеса на работата може да има няколко рестарта на компютъра Ви.

  2. Изтеглете програмата Malwarebytes’ Anti-Malware от тук
    Кликнете два пъти върху mbam-setup.exe за да започне инсталационния процес.

    • Уверете се, че има отметки на Update Malwarebytes’ Anti-Malware и Launch Malwarebytes’ Anti-Malware, след това кликнете на Finish.
    • Пуснете програмата и кликнете на Perform Full Scan, а след това кликнете на Scan.
    • Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
    • Уверете се, че на всички редове има отметки, и кликнете Remove Selected.

Ако бъдете попитани за рестарт, потвърдете че желаете вашия компютър да бъде рестартиран.

Прочети повече
август 14, 2010   Jordan   Операционни системи, Софтуер, Трикове
0

Автоматично обновяване на Debian система

Когато става дума за Debian, сигурността винаги е на ниво. Но все пак става дума за системи с отворен код, за това е хубаво системата Ви винаги да е актуална. За да разрешите автоматичното актуализиране на Debian операционната система можете да добавите следния ред в /etc/apt/sources.list файла.

deb http://security.debian.org/ lenny/updates main contrib non-free

По този начин софтуера на операционната система постоянно ще бъде актуализиран от гледна точка на сигурността. Така намалявате шанса някой да експлоитира софтуера, който използвате.

И не забравяйте да използвате Debian документацията. Повече информация за сигурността на Debian можете да намерите на официалния уеб сайт на операционната система.

Един добър системен администратор се отличава с това, че нещата винаги ги прави с мисъл.

Прочети повече
август 11, 2010   Jordan   Мрежи, Сигурност, Софтуер
1

Обезопасяване на безжична Wi-Fi мрежа

7 неща, които хакерите се надяват да не знаете.

Най-успешния начин да се защитите от Wi-Fi хакерите е да се научите да мислите като такъв. Без значение дали сте хакер, който иска да получи безплатен интернет достъп или сте високо квалифициран престъпник, нает да разбие някоя бизнес мрежа с цел получаване на информация за важни документи или кредитни карти, има няколко неща, които винаги се набиват на очи. Знаенето на тези неща може да Ви помогне да се защитите.

Намиране на потенциални жертви.

Първото нещо, което ще провери хакера, е до какви мрежи има достъп. Нещото, което се прави, се нарича военно шофиране (war driving). Нещото, от което имате нужда е програма, наречена inSSIDer. Този софтуер сканира вълните и показва точките на достъп. Както се вижда на изображението, някой мрежи имат име, а други не.

Намиране на така наречените скрити мрежи.

Мрежите без име са настроени през контролния панел на рутера да не споделят своите SSID-та. Мрежовия администратор сигурно си мисли, че по този начин обезопасява първото ниво на сигурност на безжичната мрежа. Но въпреки това, SSID-то на мрежата може бързо да бъде намерено. За тази цел може да бъде използвана друга програма, наречена CommView for Wi-Fi. Това е комерсиален продукт, но въпреки всичко има безплатна временна версия.

След като хакера отвори софтуера за сканиране, той има опция види скритите мрежи. На имената на някои мрежи може да излиза празно място, но веднага, щом някой започне да използва мрежата, името ще се види. Не трябва да се забравя, че компютрите от мрежата, постоянно изпращат сигнали (broadcasting), така че едва ли ще се наложи хакера да чака много.

На изображението се виждат 2 скрити мрежи.

И двете са еднакво уязвими. Дори мрежите да са криптирани, тяхното име може да се разбере. Въпреки, че името на мрежата не е всичко, то поставя хакера една крачка напред.

Разбиване на безжичното криптиране.

Следващото, с което ще се сблъска хакера е криптирането, като то може да бъде WEP, WPA или WPA2, например. При сканирането на мрежите, хакера ще види мрежите с и без криптиране. Тези, които са без криптиране, са крайно уязвими. Всеки може да свърже към тях буквално за няколко секунди. В повечето случаи тези мрежи се администрират от домашни потребители, които или не ги е грижа, или не знаят как да си конфигурират мрежата, но понякога такива мрежи се намират и при бизнес потребителите. Това са хора широко отворени към света.

Добър хакер може да разбие WEP криптиране за няколко минути, като за това нещо има голямо количество инструменти в нета. Колкото по-сложна е паролата, толкова по-сложна е за разбиване. За кракването на паролите, хакерите използват речници (с милиони думи вътре), като правят асоциации с името на мрежата и насочеността на потребителя. Понякога тази техника е изключително успешна.

По-големите компании използват WPA2 криптиране, използвайки Extensible Authentication Protocol (EAP) и 802.1X. Техните пароли не могат да бъдат разбити с използване на речници и Brute Force, но са уязвими към man-in-the-middle (човек по средата) атаки.

Как атакуват такива мрежи? На мястото на текущата, установяват нова, имаща същото SSID, като се опитват да примамят потребителите да се свържат към измамната мрежа. За целта използват модифициран RADIUS сървър за оторизация. Ако всичко върви по план, хакера ще успее да прихване потребителските имена. А паролите ще атакува по вече известният начин.

Маскиране на МАК адреса

Друга техника, която използват някои администратори е филтриране по МАК адрес. Всяка мрежова карта или устройство съдържа МАК адрес, затова всеки администратор може да създава списъци с позволените или забранените за достъп МАК адреси. Това може да бъде използвано дори и без мрежово криптиране, дори и при скрити мрежи.

Ако хакера прецени, че мрежата се филтрира по МАК адрес, просто ще се наложи да използва софтуер за анализ на мрежата, като отново може да използва CommView. Ще бъдат прегледани МАК адресите на машините, като за целта ще бъдат анализирани прихванатите Wi-Fi пакети, докато не бъде намерен „добър” МАК адрес.

След като бъде намерен подходящия адрес, може да бъде емулиран на мрежовата карта на компютъра на хакера.

Време е за действие.

След като хакера получи достъп до мрежата, той може да започне да подслушва трафика с цел получаване на информация.

Изводи.

  1. Изключването на SSID не спира хакерите, а само води до главоболия, освен това намалява производителността на мрежата.
  2. Не използвайте WEP криптиране, безсмислено е.
  3. WPA/WPA2-PSK криптирането има смисъл само при използването на сложни пароли.
  4. WPA/WPA2-Enterprise е още по-добър вариант при правилна администрация.
  5. Опитайте се да използвате само WPA2 (с AES/CCMP) криптиране.
  6. За допълнителен контрол на достъпа използвайте Network Access Control (NAC) или Network Access Protection (NAP).
Прочети повече

  • Бъдете информирани

    RSS Feed Следете ни в Twitter
  • Славчо Хаджийски: Аз не съм толкова в час с нещата, в които се ровя ... »
  • DIDEXS: Това е доста полезно точно това ми трябваше за да ... »
  • Делян: Атанасе моля те хващай мотиката и стига писа глупо... »
  • Делян: Сара ще да е изхвърчала от Сони като тапа от задни... »
  • Делян: За домашни потребители, които нямат чуствителна ин... »