05. marts 2003 - 21:34Der er
26 kommentarer og 5 løsninger
hvordan er Nimda kommet indenfor???
Jeg får ved næsten hver virusscanning advarsler fra mit "Antivir" om at der er fundet virus, eller viruslignende filer. Desværre er mit tyske ikke hvad det har været, så jeg er ikke altid sikker på, hvad programmet prøver at fortælle mig. Det har næsten altid været Nimda som har været refereret til.
Jeg bruger "Antivir", som skulle scanne løbende, og derfor burde der ikke kunne snige sig noget ind (ja, jeg opdaterer jævnligt). Alligevel ville jeg lave et scan med Housecall, og mens den opdaterede sine filer, kom Antivir pludselig med en advarsel. Overskriften lød: "Verdächtige datei gefunden!" - og så kom der adskillige meldinger som nedennævnte:
c:\documents and settings\all users\...\express yourself.eml Enthält signatur des wurmes Worm/Nimda.E.Tmp
I denne omgang hedder de typisk noget fra musiktitler, alle med "efternavnet" eml. Jeg har vel at mærke ikke nogle af de pågældende stykker musik på min computer.
Hvad sker der?? Jeg er ret påpasselig med at åbne ukendte emails (og har slet ikke fået nogen "skumle" for nylig), jeg mener at have alle opdateringer til både IE, Outlook Express, windows osv. Jeg bruger winxp home.
Bufferzone> Jeg aner ikke hvad en IIS web server er! Jeg kan også tilføje, at min anden computer, som XP'eren er i netværk med (og de er begge på nettet via ADSL) IKKE har været inficeret de andre gange. Jeg vil nu sætte en scanning igang på den også for at se om der er noget denne gang.
IIS er en Internet Information Server. Det er Microsofts webserver og den kan sagtens være installeret på XP. Hvis du har gennemført Windows Update, vil din IIS (hvis den er installeret) være patchet og ikke kunne inficeres
Nej aldrig, det vil sløve din maskine mærktbart, jeg gør følgende
Sørger for at min maskine altid er fuldt updatet, både styresystem og applikationer. Sørger for at have en god virusscanner og at den er fuldt opdateret hele tiden (jeg bruger norton, man har tidligere brugt Mcafee) Scanner en gang imellem med en online scanner Har installeret Ad Aware fra www.lavasoftusa.com og scanner med denne mindst ugentligt. Den fjerner adware og spyware. denne opdateres også løbende Har installeret en personlig firewall, der også yder beskyttelse, jeg bruger Sygate fra www.sygate.com denne opdateres også løbende
Bufferzone> Som jeg skrev i indledningen, HAR jeg alle opdateringer. Jeg har netop tjekket igen, for at være sikker på jeg ikke havde overset noget, men der er ingen "vigtige opdateringer" tilgængelige p.t.
Hvis jeg virkelig er/har været inficeret med f.eks. Nimda, - burde jeg så ikke have opdaget det ved f.eks at have modtaget en mail fra mig selv - sendt af Nimda.. (jeg har jo min egen e-mail adresse i kartoteket)
En maate som jeg har faat virus "innenfor" flere ganger det er som lagring av web inhold i web cachen. Her vil virus / virus signatur kunne ligge lagret paa maaskinen uten at den paa grunn av dette er intallert paa maskinen. Naar man har slettet web cachen saa er "den ikke installerte virus" borte. Vet ikke om den path som du oppgir er forenelig med noen web cache. Tenkte bare aa nevne det, siden den problemstillingen ga meg noe aa tenke over for litt siden. (Virus var til stede men maskinen var ikke infisert. Diverse litt avanserte metoder for virusfjerning foerte ikke fram. En helt alminnelig sletting av web cache loeste saken med en gang.)
Bufferzone> Housecall fandt ikke noget, men det var jo også før den startede, at Antivir satte filer i karantæne.
Anje> Jeg har kun Antivir installeret. Prot dur ikke, jeg har ingen diskettedrev!
Langbein> Jeg har også prøvet det med at den finder "viruslignende" under temp-filer. Og jeg tror også det var Housecall der fandt dem.
Ja, ja, nu går det rigtig godt! Min anden computer, som jeg havde sat Housecall til at scanne er netop gået død. Reagerer ikke på nogenting - det bliver vist en lang aften....
Den understøtter , så vidt jeg ved , kun op til Win2K , men den kører fint under Fat32. Så måske alligevel , jeg mener bare at have læst på siden den ikke vil.
Nå det ser ud til at den anden kører igen. Housecall fandt ingenting, nu prøver jeg med Pandasoft, bare for en sikkerheds skyld.
Langbein> Grunden til at jeg netop i dag ville tage en online scan, var et jeg netop havde slået den indbyggede firewall i XP til. Den har jeg ikke rigtig brugt før, så jeg ved ikke hvordan den fungerer (har tidligere brugt ZoneAlarm). Men én gang tidligere, har jeg slået den til, og det var mens jeg så nyhederne livestream - og det slog livestreamen fra. I dag kunne jeg godt se nyheder, til trods for firewall'en, og det var derfor jeg blev nervøs for, om der var virus med i spillet. Man hører jo så meget om, at de kan slå virusprogrammer og firewalls fra. Jeg kan også se filerne på XP'eren fra win98'eren til trods for at firewallen er slået til - burde man kunne det?
Nej, du kan ikke finde trojanere med en antivirusscanner. Her får du lige en som kan scanne for trojanere online. http://www.anti-trojan.net/en/onlinecheck.aspx Jeg vil også råde dig til efterfølgende at installere Ad-aware som kan finde og fjerne trojanske heste spyware mm. Du kan finde en rigtig god side med masser af information på dette link: http://www.spywarefri.dk Her ligger også link til Ad-aware fra lavasoft. Læs alt nøje igennem for her er mange gode råd, og det kan meget vel være sådan noget skidt som ligger på din pc lige nu. Held og lykke
Det er altså noget vrøvl. En trojank hest bliver fint fundet med et antivirus program. Virus bliver brugt som fællesbetegnelsen for mere eller mindre ondsindede programmer, der bliver installeret og afviklet uden brugeren ved det. At de så er opdelt i forskellige kategorier som orme, trojanske heste osv. er en helt anden snak.
SpyWare/ADware er programer som bliver installeret på 1 maskine som regel med brugerens (ubevidste) accept. Dette sker ofte sammen med freeware. Programmet spreder sig ikke, og har som sådan ikke nogen ond hensigt, udover at hjælpe til at målrette en eller anden for for reklame.
Hvis du bliver ved med at få Nimda, ville jeg installer en realtime virus scanner.
Det er ukorrekt at man kun kan få Nimda hvis man kører IIS. Nimda udnytter et MIME exploit i IE, så hvis du kører med nyeste patches, så er det ikke her du skal kigge.
Virussen kan komme ad 3 veje: 1) Angribe en upatched IIS server 2) Via MIME exploit i en e-mail 3) Via et netshare.
Hvis du kører 2000/XP, kan du sætte auditing på et share, og se om det er denne vej, den kommer. Du kan se afsender maskinen i eventloggen.
Nu har jeg brugt hele aftenen og det halve af natten på at lede efter virus på mine to pc'ere. Jeg kan efterhånden ressonere, at "Antivir" kan komme med falske advarsler. Den har givet lyd fra sig hver gang jeg har startet en online scanner (selv om jeg har lukket programmet!!) Desuden kan Antivir og Housecall finde "spor" efter virus i temp-filer. Det er øjensynligt ganske uskadeligt, og kun med til at gøre os brugere (mig!) bekymrede. Men faktum er, at der har optrådt filer med endelsen *.eml på min computer, - filer der er kommet et eller andet sted fra - men hvor? Jeg har nogen i karantæne nu, som Antivir selv fandt i dag, og jeg kom i tanke om, at jeg tidligere har slettet sådanne filer manuelt - og fandt først bagefter ud af, at de kunne have noget med virus at gøre.
- Mange timer er således gået, uden nogen dog har kunnet give en forklaring på: Hvordan er Nimda og/eller de omtalte *.eml filer kommet på min computer? Når alle sikkerhedsforanstaltninger er overholdt??? Det eneste jeg endnu ikke har prøvet - og det bliver ikke før i morgen - det er at scanne med systemgendannelsen slået fra.
Jeg venter derfor med at lukke spm til i morgen. Go'nat og foreløbig tak for indsatsen.
jpvj>> det er ikke rigtigt at antivirus prg. altid finder trojanske heste. Har både hørt og oplevet at det ikke er tilfældet, selv ikke med et fuldstændigt opdateret antivirusprg. Så er det jo heldigt at vi også kan prøve at gardere os mod alt dette spyware med andre programmer.
aovergaard>Du har helt ret. Virusscannerne er fremstillet til at klare vira og fanger også nogle trojaner, men ikke ALLE. Sådan er det bare. Jeg har tidligere haft besøg af en trojaner som ikke én eneste virusscanner fandt anledning til at gøre oprør over. sn67> Se lige her http://www.spywarefri.dk/virus.htm#alle Nok ikke problemets løsning, men en god fremgangsmåde når du har fundet virus på en pc med XP-installation.
"En trojank hest bliver fint fundet med et antivirus program."
Tja, det kan vel variere litt. Det finnes vel trojanske hester som nesten ikke kan finnes med noe program dvs at den ikke har noen fast struktur, noen filnavn eller andre typiske moenstre som antivirus programmet eller antispyware kan kjenne igjen.
Den trojanske hesten kan i prinsipp hete hva som helst for eksempel et tilfeldig filnavn som er generert individuelt for installasjon paa din PC.
En maate denne type trojanere kan spres paa er at de legges ved som "ekstralastlast" i andre tilsynelatende nyttige eller oenskede programmer. Man intstallerer for eksempel et program spill.exe og saa samtidig saa smutter paa plass en netsen ikke detekterbar trojan med et tilfeldig generert navn.
Maaten aa detektere slike ting paa, tror jeg, det maa vaere ikke ved aa forsoeke paa tradisjonell virusdetection men ved aa forsoeke aa observere den adferd en slik trojan kan forventes aa ha.
1. Forsoek aa slaa fra alle firewalls. Kjoer saa portscanning utenfra. En del trojanere inneholder server funksjoner for fjernpaalogging. (Slik at en hacker skal ha mulighet for aa ta over maskinen.) Se om portscanningen avsloerer mystiske serverfunksjoner ved at ukjente porter staar aapne.
2. Deaktiviser firewall funksjonen i XP. Denne fitrerer bare trafikken inn og gir derfor ingen beskyttele mot den eventuelle trafikken som trojanere forsoeker aa sette opp med retning ut. Installer i stedet ZoneAlarm igjen og konfigurer den slik at du faar automatisk varsel ved et hvert automatisk forsoek paa aa sette opp forbindelse ut til internett. En del viruser og trojanere gjennomfoerer vel automatisk utsendele av mail, for varsling eller det kan vaere en del av spredningsmekanismen. Andre gir automatisk paalogging paa visse irc kanaler der det automatisk blir lagt ut beskjed om at maskin paa ip x er infisert og at den kan hackes. ZoneAlarm vil normalt gi varsel paa forsoek paa aa sette opp trafikk ut enten via mail eller ved forsoek paa pologging til irc. Det er ellers ogsaa mulig til en viss grad aa lure ZoneAlarm ved aa gi trojansk hest programmet et navn som er likt et kjent og godkjent windows program. I de fleste tilfellene saa vil vel ZoneAlarm ikke bli lurt. (For eksempel vil den ikke bli lurt hvis trojan har et tilfeldig generert filnavn.)
Naar du eventuel klarer aa fange et automatisk forsoek paa aa sette opp trafikk ut vha mail, irc eller annet saa kan du samtidig ha fanget filnavnet paa trojan.
jpvj> Langt de fleste kendte bliver fundet med en virusscanner, men der er altså undtagelser. Det kan også være at en virusscanner finder en trojaner som ikke kan deletes fra scanneren. Det er ikke ualmindeligt. Så må man ha' fat i noget andet værktøj som kan fjerne trojaner. En trojaner kan ikke helt sammenlignes med en virus og formålet er da helt anderledes idet det for en trojaner først og fremmest gælder om at få åbnet en bagdør i din pc så den kan komme ind og virke som et fjernstyringsprogram. Trojanske heste er ikke svære at "fremstille" og det er jo ikke sikkert at virusscanneren kender lige den du fremstiller, men mange har samme mønstre og vil blive fanget. Det er korrekt. Typisk har den trojanske hest en grafisk brugerflade med nogle logiske dropdown menuer. Den er opbygget af en server del og en klient del. Det er serverdelen som installeres på din pc og klientdelen hos "indbrudstyven". Serveren skal installeres på din pc ellers virker systemet ikke. Nu må du altså ikke forlange noget af langbein som er umuligt. Dit spørgsmål kan jo ikke besvares jpvi for alle de kendte trojanere (se evt. alle de kendte på spywarefri.dk ) burde en virusscanner kunne fange (jeg har ikke testet det :o) )men det er ikke alle som virusscanneren kan fjerne. Her må der ofte en rigtig trojanscanner til eller man må til at rode lidt i registreringsdatabasen.
Nu fik jeg endelige taget mig tid til at lukke dette spm. Selvom jeg nu kun kan se en masse linier - og ingen indlæg....!!?? (har set, at der før er nogen der har oplevet det samme) Points er delt ligeligt som tak for indsatsen
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.