MCShield

6

MCShield

offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

mislim da i ja imam neki grub ili grldr ili grub.exe , za juxlala linux za decu Confused
(negde je na flešci malo je komplikovan postupak butovanja ne sećam se trenutno da li on zove syslinux ili se iz njega poziva Very Happy )



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

The inevitable, u principu, feature. Smile

Strogo govoreći, to nisu FP-ovi. Markirani su (najverovatnije) rutinom za dodatnu heuristiku kao sumnjivi (postoji više mogućih kriterijuma za procenu da li je nešto sumnjivo).

Ako im se uklone hidden atributi (pretpostavljam da ih imaju), verujem da neće biti markirani kao sumnjivi (kao što rekoh, postoji više elemenata koji odlučuju o tome - uklanjanje ovoga će da ih zadrži u "legitimnoj zoni").

Ako imaš kopije file-ova, mogao bi da mi ih pošalješ, pa ću videti da li je moguće odraditi whitelisting (tako da više uopšte ne mogu biti detektovani).



offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

ovde je sa usb-a , za ovaj drugi , koji je kod mene
(ali on ima tu još neke zaboravio sam tačno šta čemu služi Embarassed
mislim da grub4dos ima razne revizije , u binarnoj formi na web adresi Confused )

https://www.mycity.rs/must-login.png

offline
  • higuy  Male
  • Legendarni građanin
  • penzionisani tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 8565
  • Gde živiš: Dubocica

Evo loga i nista mi nije jasno,




<<< MCShield v1.0.1 >>> Monitoring started at 4/21/2010 2:30:06 PM

4/21/2010 2:30:12 PM > Checking C: ( ~17 GB, NTFS HDD )...



---> Warning: the database is damaged or missing.

---> Please, update MCShield.


>>> C:\AUTOEXEC.BAT - Worm.Sus > Renamed.

>>> C:\f.bat - Worm.Sus > Renamed.

>>> C:\o.bat - Worm.Sus > Renamed.

>>> C:\r.bat - Worm.Sus > Renamed.

>>> C:\sound32.dll - Worm.Sus > Renamed.


4/21/2010 2:30:13 PM > Checking D: (data 2 ~29 GB, NTFS HDD )...



---> Warning: the database is damaged or missing.

---> Please, update MCShield.



4/21/2010 2:30:14 PM > Checking F: (data 1 ~29 GB, NTFS HDD )...



---> Warning: the database is damaged or missing.

---> Please, update MCShield.




4/21/2010 2:38:43 PM > Checking G: ( ~2 GB, FAT flash drive )...







<<< MCShield v1.0.1 >>> Monitoring started at 4/22/2010 7:24:11 AM

4/22/2010 7:24:17 AM > Checking C: ( ~17 GB, NTFS HDD )...


>>> C:\AUTOEXEC.BAT - Worm.Sus > Renamed.

>>> C:\sound32.dll - Worm.Sus > Renamed.


4/22/2010 7:24:18 AM > Checking D: (data 2 ~29 GB, NTFS HDD )...



4/22/2010 7:24:19 AM > Checking F: (data 1 ~29 GB, NTFS HDD )...





https://www.mycity.rs/must-login.png

https://www.mycity.rs/must-login.png

https://www.mycity.rs/must-login.png

https://www.mycity.rs/must-login.png

Nisam uspeo da okacim autoexec.bat posto mcshield kaze da je fajl veci od 1mb sto je glupost jer fajl ima velicinu 0 bit-a, a kamoli kbyte ili mbyte. Svi bach fajlovi se koriste za knjigovodstvene programe.

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

Citat:>>> C:\f.bat - Worm.Sus > Renamed.

>>> C:\o.bat - Worm.Sus > Renamed.

>>> C:\r.bat - Worm.Sus > Renamed.


File-ovi su sumnjivi zbog besmislenog naziva (a pri tome se nalaze u rootu, gde nikako ne treba da budu).

Potreban je rename file-ova u duži naziv (npr. neki koji ukazuje na funkciju) da bi se izbegla detekcija (ili isključivanje dodatne heuristike, što nikako ne preporučujem).


Citat:>>> C:\sound32.dll - Worm.Sus > Renamed.

Ovaj file biva markiran samo u slučaju da je skriven. Važi isto što i gore.


Citat:>>> C:\AUTOEXEC.BAT - Worm.Sus > Renamed.


Zašto je taj file sumnjiv u ovom slučaju?

Njegova funkcionalnost na XP-u i novijim Windowsima je svedena na smešno malu meru i isti se gotovo isključivo (zlo)upotrebljava od strane malware-a (npr. Brontok crv ga modifikuje). Upravo iz tog razloga taj file nije whitelistovan (čemu štititi nešto što u svom standardnom obliku ne može biti detektovano?).

U ovom konkretnom slučaju, (ručno) su menjani atributi file-a (zato je sumnjiv).

Znači, smisleni, pojmljivi nazivi file-ova i uklanjanje hidden atributa će biti dovoljni da se ove detekcije izbegnu.

offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

Citat:
U ovom konkretnom slučaju, (ručno) su menjani atributi file-a (zato je sumnjiv).

jeste da postoje ručno menjani atributi ali kako da zaštitite neki sistemski file
da ga recimo dete ne prebriše Embarassed
(bilo je slučajeva da korisnici obrišu sami sve iz root a C: , sve što vide )
zato što imaju superuser privilegije po difoltu

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

Sistemski file-ovi su po defaultu skriveni, lock-ovani i/ili zaštićeni od strane WFP-a, dok ovaj, s razlogom, nije.

Anyway, u v1.1 će biti ignorisani atributi ovog file-a (ne zato što je njegov rename problem, jer nije, već da ne bih svako malo objašnjavao istu stvar).

offline
  • higuy  Male
  • Legendarni građanin
  • penzionisani tabijatlija
  • crni hronicar
  • Pridružio: 21 Apr 2010
  • Poruke: 8565
  • Gde živiš: Dubocica

Citat:Nisam uspeo da okacim autoexec.bat posto mcshield kaze da je fajl veci od 1mb sto je glupost jer fajl ima velicinu 0 bit-a, a kamoli kbyte ili mbyte.

Da li nameravate da napravite ispravku za ovaj problem, a problem je kako fajl velicine 0 bit-a moze da bude problem.

offline
  • dr_Bora  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 24 Jul 2007
  • Poruke: 12280
  • Gde živiš: Höganäs, SE

Biće javljeno vlasniku foruma...

offline
  • Pridružio: 22 Okt 2007
  • Poruke: 84
  • Gde živiš: Nigde, autostopiram kroz galaksiju...

dr_Bora ::The inevitable, u principu, feature. Smile

Strogo govoreći, to nisu FP-ovi. Markirani su (najverovatnije) rutinom za dodatnu heuristiku kao sumnjivi (postoji više mogućih kriterijuma za procenu da li je nešto sumnjivo).

Ako im se uklone hidden atributi (pretpostavljam da ih imaju), verujem da neće biti markirani kao sumnjivi (kao što rekoh, postoji više elemenata koji odlučuju o tome - uklanjanje ovoga će da ih zadrži u "legitimnoj zoni").

Ako imaš kopije file-ova, mogao bi da mi ih pošalješ, pa ću videti da li je moguće odraditi whitelisting (tako da više uopšte ne mogu biti detektovani).


Bio si u pravu, nakon skidanja hidden atributa McShield Smile ih više ne detektuje.
Evo u prilogu pomenuti fajlovi (mada mislim da je Farscape Fan postavio grub.exe) ako vam šta pomažu. Pošto su u pitanju boot fajlovi bilo bi korisno da ostanu skriveni da se ne mešaju sa ostalim podacima na flešu.

mycity.rs/must-login.png

mycity.rs/must-login.png

17 Mar 2012 12:55 dr_Bora Zaključavanje topica Razlog: Objavljena je verzija 2 i otvorena je nova tema.  
Ko je trenutno na forumu
 

Ukupno su 737 korisnika na forumu :: 40 registrovanih, 2 sakrivenih i 695 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3028 - dana 22 Nov 2019 07:47

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., cavatina, crnitrn, cvrle312, danilo.daca.v, darkangel, Dimitrise93, doktor1964, flash12, galijot, havoc995, ikan, ivance95, Kubovac, lacko2, Marko Marković, mačković, MilosKop, Miskohd, nenad812, ninareflex, Oluj2.1, robertino2, sasa.zoric, Sibin2, Stanlio, Toni, Van, vasa.93, vathra, VJ, Vlada1389, vladom6, vlvl, vobo, voja64, Warhawk, xandar, YU-UKI, zgoljo