До: Троянец в nuvi 350 ?Възможно ли е?

Колеги моля четете внимателно - фаила е "Autorun.EXE". Друг е въпроса, че фирмуеъра на Nuvi май не изпълнява EXE-та.

До: Троянец в nuvi 350 ?Възможно ли е?

Четем, четем... поне някои от нас .
Името на .exe файла не е от значение, операционната система изпълнява автоматично при маунтване файла указан в autorun.inf, независимо от неговото име (setup.exe, autorun.exe, blabla.exe и т.н.).
Ясно е, че устройството се явява само преносител на вируса и не може да пострада пряко от него.
Косвено обаче може - например пренесения вирус след активирането си в компютъра може да изтрие произволен файл от него...
Тази тема ми се вижда вече изчерпана .

До: Троянец в nuvi 350 ?Възможно ли е?

3 пъти ми се е налагало да махам "вируси" били то под имената autorun.exe, startup.exe и boot.exe, като в един от случайте беше в един GSM (без ос), но бе включван като MSD към заразен комп. а в другите случай бяха в USB флаш памети. В тези случай вирусите се качваха сами при прочитането на boot-а на устройствата, не откривах каква "беля" правят и се махаха лесно (изключвах antivira и изтривах файла), а на заразения комп качвах антивирусна и махах причинителя.

До: Троянец в nuvi 350 ?Възможно ли е?

Може и още как....
Прочети за W32/Perrun-A

До: Троянец в nuvi 350 ?Възможно ли е?

- - OFFTOPIC - -

Прочел съм доста бюлетини по въпроса... това е остаряла информация и общо взето неактуална за никой освен за "Windows 3.11/95/98 (не SE)/ Millenium" потребители... Всички останали няма от какво да се притесняват, ако си ъпдейтват "Windows"-ите.

По-горната част бе флеймът... сега по-сериозно - ето извлечението от Symantec за съответния вирус.

Discovered: June 13, 2002
Updated: February 13, 2007 11:39:18 AM
Also Known As: W32/Perrun-A, PE_PERRUN.A, Win32.Perrun, W32/Perrun, Perrun, W32/Perrun.A
Type: Virus
Systems Affected: Windows 2000, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP


If a .jpg or .txt file that has been altered by W32.Perrun is opened on another, uninfected computer, it will not execute malicious actions on that computer because the virus requires the presence of the Extrk.exe or Textrk.exe file for it to execute and append its malicious content to other files.

Upon execution of the viral executable which is detected as W32.Perrun.dr, the virus does the following:

It drops the files:
Reg.mp3. This is a registry file that the virus uses to modify the registry.
Extrk.exe or Textrk.exe. This is the executable that will be configured in the registry to open all JPEG or TXT files.

Или с няколко думи - вируса по същество е "exe" или "reg" фаил, маскиран (с икона на) jpg. Тъпо...

До: Троянец в nuvi 350 ?Възможно ли е?

-----офффф---топик--------------
Г-н Никой, недей така да се палиш
Щом си толкова навътре, значи знаеш, че почти на всичко може да се пришие троянец или друга гад.
За жалост, вирусите са "доста хиляди" и някои от тях са доста проклети.
Не се сърди, но всичките изброени от теб файлове са уязвими до някъква степен някои повече, други...по-малко.

П.П. За JPEG , най-подходящо беше еКСПЛОЙД

До: Троянец в nuvi 350 ?Възможно ли е?

Във всичко може да се съдържа вирус, включително и в bmp , jpg , mp3 и прочие. Разбира се, сам по себе си този файл е безвреден, но ще бъде засичан от атнивирусните програма, тъй като те ще намират познати байтови поредици. Освен, ако не е криптиран, което е бързо и лесно. Така антивирусната няма как да разбрере, че има вредна гад, ако не знае "паролата". Сам по себе си тази картинка или песен е безвредна, но ако има едно съвсем малко приложенийце, което да отвори тази картинка , да отиде на определен адрес(да прескочи хедъра, тъй като хедъра всъщност е хубаво да си е хедър за да бъде картинката или песничката валидни и неподозрителни), да си задели байтов буфер с определен размер(тя си знае) да фреад()-не данните в буфера, да го превърти и декриптира(най-лесно и често става с xor) и да създаде файл с тези данни и да го стартира. Тоест самата помощна програмка не прави нищо особено и непозволено и сама по себе си не е вирус. Самия демон се съдържа в някакъв си файл, без значение какъв. Даже може и текстови с малки корекции по начина на разчитане на данните.
Правил съм подобно нещо, но не с цел да пиша вируси, а да ползвам един dll, който имаше един лиценз..

До: Троянец в nuvi 350 ?Възможно ли е?


Извинявам се за флейма... напоследък ми се поопънаха ушите... Знам, че подобни полиморфни вируси са често явление в последните няколко месеца - нещо, като нова мода... Дори залових няколко в корпоративната мрежа. Просто не ми харесва да се плашат обикновените хора... От известно време нямам ни антивирус, ни файъруол - просто не ми трябват - нямам нищо, което наистина да си заслужава краденто или триенето... Използвам "Opera", като броузър, секюърнал съм я и това ми стига. Ако толкова искам нещо да спра - има си "white listing" има си и "DEP" (Data Execution Prevention).

@solenoid т.нар полиморфи са чиста глупост - и съм сигурен, че го разбираш. Веднага щом им изтече "модата", ще ги забравят, както и всичко останало от зората на бизнеса.

Поздрави и не се впрягайте на производителите на AV софтуер - жив съм си все още


Вирус, който да се изпълнява от фаил с BMP компресия до скоро съществуваше - т.е. отваряш картинката или приложението, което има същия интегриран и се заразяваш. Това е нещо коренно различно от полиморфа, който има нужда от изпълним фаил за да действа!

От Microsoft бая фучаха по темата и вече единствения начин да го пипнеш е да извадиш x386-цата от мазето и да стартираш Windows 3.11 for workgourps... И ще е много малък шанса, защото от Microsoft така го погнаха горкия пич, дето го направи, че... сега е шеф в секюрити пачинг отдела

До: Троянец в nuvi 350 ?Възможно ли е?

Това звучи като легенда
Назначили го лошия за шеф в Майкрософт. Ако за същия вирус, за който се сещам, мисля, че малко са попрекалили с добрите чувства. Тоя бмп май изполваше един бъг в IE 5.0 и IE 5.5 и то заради "изтеклия" уиндоуски код. Някакъв бъг с препълване на int. Като чуя препълване на буфери и ми изникват асоциации с stack-ове, ретърн адреси, еxploit-и и Shellcode-ве, които са известни от доста време в 1337 средите. Така че, според мен в този случай почестите са за МС

До: Троянец в nuvi 350 ?Възможно ли е?

Обаче и чисто новите браузъри май не са застраховани.
Имаше една тема за Гоогле-Хроме, ама реших да не правя антиреклама и да плаша хората там. Пък и не знам колко е сериозно това.
http://julianrdz.wordpress.com/2008/...vulnerability/

До: Троянец в nuvi 350 ?Възможно ли е?

Едва ли става въпрос за вирус, който да е заразил самия ГПС. По-скоро се е наместил в него, когато е бил свързан към компютър, в качеството на преносима памет. Това съобщение, което изскача в момента, в който се включи апарата към ПЦ се дължи на факта, че троянецът се е наместил като самостартиращо се приложение - същото поведение, както когато пъхнете диск с игра в дисковото и играта тръгва автоматично. Това става като се пренапише файла autorun.ini в главната директория на кое да е устройство или носител с преносима памет. Изключение правят само дискетите.
Някъде по-нагоре видях описание какво трябва да съдържа файла autorun.ini в паметта на машинката - всеки друг ред е излишен и вероятно злонамерен. Преглеждат се всички имена на файлове, които са упоменати в злонамерените редове, намират се къде са файловете, трият се, после и самите редове се изтриват от autorun.ini. Добре ще е наблизо да има подобно Нуви, незаразено, за да се направи сравнение и да се избегне да се изтрие някой файл, който е бил нужен.
Ако се съмняваш, че може да оплескаш нещо, тогава просто изтрий autorun.ini - това ще промени иконата, с която се появява апаратът в My Computer, но няма да измени нищо друго, няма да повреди нищо. След това пусни антивирусната да провери паметта му за вируси и да се опита да ги изчисти. Ако не успее да изчисти някой файл, пусни я да го изтрие. Ако се случи да е необходим файл някакъв за апарата - ще трябва да си го копираш наново или инсталираш - зависи какво е съдържал.
По-нататък просто трябва да се внимава в какви компютри се включва машинката.

До: Троянец в nuvi 350 ?Възможно ли е?


Това си е за отделна тема...

Не, не става дума за експлоита на IE... Става въпрос за нещо доста по-сериозно, което заразяваше директно през механизма за BMP декомпресиране. Много лошо! Почти всички "user friendly" програми използват формата, я за бутони, я за други елементи от интерфейса, а това си е проблем... Както и да е - това е минало и няма да го бъде със сигурност. Колкото до пича, който го откри... е MS имат сериозен подход в тази посока... "Keep your friedns close and keep your enemies even closer". Оставяйки това на страна, тези хора буквално "купиха" всички по-добри хардуерни дизайнери от по-водещите фирми преди има-няма пет години, така че май това е станало със съответния хакер.

До: Троянец в nuvi 350 ?Възможно ли е?

Четох някъде, че преди време група хакери успели все пак да съборят сайта на Майкрософт и да проникнат в него. Майкрософт ги издирили и ги назначили на работа, да им пазят сайта от проникване. Ха сега някой да се пробва да го събори.
Доколкото чух, нещо подобно станало и със сайта на Министерството на отбраната (нашето) - някакъв пич го счупил, те го намерили и го назначили ...
Не е лоша стратегия това за намиране на хубава работа ...