Poslao: 09 Nov 2011 19:04
|
offline
- Sass Drake
- Anti Malware Fighter
Rank 2
- Pridružio: 26 Avg 2010
- Poruke: 10622
- Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building
|
higuy ::Cudi me da pisci malware-a nisu iskoristili buffer memoriju optickih uredaja ili hard diskova za svoje potrebe. Oni su ogromni u odnosu na velicinu malware-a.
Većina optičkih uređaja i hard diskova koriste DRAM memoriju kao bafer, tako da baš i ne mogu biti od neke velike koristi.
Ostaje jedino sumnjiva verzija Windows-a i programi koje ste koristili sa fleševa i optičkih diskova.
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
Poslao: 13 Nov 2011 18:19
|
offline
- vdjjethro
- Ugledni građanin
- Pridružio: 23 Jul 2011
- Poruke: 353
- Gde živiš: Karlsdorf
|
Da se uključim na ovaj topik.
Juče sam jednom prijatelju preinstalirao XP koji je bio zaražen.
Ne znam o kojoj vrsti infekcije je reč. Navešću simptome.
XP se u normalnom modu pokrene tek toliko da se pojavi logo, zatim se restartuje uz kratko pojavljivanje "plavog ekrana smrti". U Safe modu ni toliko, čim se pokrene momentalno se gasi i restartuje.
Memoriju sam testirao, ispravna je. Live linux cd se normalno i brzo podiže i sve radi bez problema.
Nisam imao vremene da se bavim rešavanjem ovog napada. Probao sam da aktiviram DrWeb CureIt preko Mini XP-a ali posle desetak minuta sam odustao jer se ništa nije dešavalo.
Preinstalirao sam XP. Sve je bilo OK bez simptoma kvara. Dan kasnije sam ponovo došao da instaliram još neke programe, pošto mu net nije u funkciji.
Pustio san DrWeb CureIt i onda se desilo takvo treptanje slike na monitoru, boja se u tom treperenju nije primećivala. Posle minut sam restartovao komp, da ne crkne nešto.
Ponovio sam postupak i onda se CureIt normalno aktivirao ali nije ništa pronašao osim jednog sistemskog (pckill tools ili tako nešto slično) koji nije problematičan fajl već ga kao takvog vide zaštitni programi.
Da li je još neko imao ovakve simptome?
Meni je ovo drugi put, mada se ne sećam da li je isti komp u pitanju. Moguće je da jeste. To je bilo pre 7-8 meseci.
Ako se sve ponovi potrudiću se da odradim ambulantni protokol.
|
|
|
|
Poslao: 13 Nov 2011 19:12
|
offline
- Sass Drake
- Anti Malware Fighter
Rank 2
- Pridružio: 26 Avg 2010
- Poruke: 10622
- Gde živiš: Hypnos Control Room, Tokyo Metropolitan Government Building
|
^ Sudeći po simptomima koje si opisao to više liči na hardverski kvar, najvjerovatnije grafičke kartice ili eventualno oštećeni drajveri. Sjećaš li se koja je poruka bila prikazana u BSOD-u.
|
|
|
|
Poslao: 13 Nov 2011 19:50
|
offline
- vdjjethro
- Ugledni građanin
- Pridružio: 23 Jul 2011
- Poruke: 353
- Gde živiš: Karlsdorf
|
Ništa od poruka nije dostupno jer je reset jako brz.
I ja sam posumnjao na hardver, ali u live režimu sve je funkcionisalo OK, i u miniXP i u Linuksu.
A ova dva dana ništa sumnjivo se nije javilo.
To treperenje tipa brzog pali-gasi se desilo samo prilikom prve aktivacije DrWeb CureIt-a u Safe modu. Nakon restarta, nije bilo problema.
Moguće je da postoji neki izvor problema na instalaciji neke od igara koje je prijatelj sam instalirao. Ja nemam vremena da se toliko bakćem oko njegove mašine. Preinstalacija je bila najbrža.
|
|
|
|
Poslao: 15 Nov 2011 23:21
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
dr_Bora ::Ne može MBR rootkit da preživi instalaciju bilo kojeg standardnog Windowsa jer će isti uvek da upiše vlastiti MBR kod (prvih 440 B), a to je upravo ono što rootkit modifikuje.
Naravno, tabela particija se neće dirati ako je disk već particionisan.
Moram da se demantujem/dopunim. Radi se o boldovanom delu (ostalo stoji, MBR code će uvek biti prepisan ako nije standardan).
Nedavno primećena varijanta TDL rootkita ne modifikuje MBR code (kao što rade ostali MBR rookitovi), već tabelu particija (samo pod određenim uslovima, da ne ulazim u detalje), kreira vlastitu particiju i postavlja je kao aktivnu.
Naravno, i ova varijanta malware-a će biti deaktivirana tokom instalacije Windowsa (šta će tačno da se događa zavisi od verzije Windowsa, no malware neće preživeti instalaciju).
|
|
|
|