Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: TEraSofT 27. 11. 2016, 21:54:08

Název: Nebezpečná příloha Emailu
Přispěvatel: TEraSofT 27. 11. 2016, 21:54:08
Dnes jsem obdržel dva emaily s přílohou .js
Neví někdo co tyto skripty provádí?

- http://pastebin.com/ZKW7tq1m
- http://pastebin.com/3RNpi4n1
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Sten 27. 11. 2016, 22:47:01
Jeden spustí nějaký ActiveX objekt, druhý cmd.exe. V Linuxu tedy moc fungovat nebudou :D
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 27. 11. 2016, 23:06:39
Hlavne kdyby lidi pouzivali nejake normalni mailery, ktere umi akorat text, nejvyse trochu html, tak by nefungovaly nikde.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Sten 27. 11. 2016, 23:17:55
Hlavne kdyby lidi pouzivali nejake normalni mailery, ktere umi akorat text, nejvyse trochu html, tak by nefungovaly nikde.

Ono se to nespustí přímo v e-mailové aplikaci. Je to v příloze v ZIPu jako „sken faxu“ nebo „faktura“ a uživatel to musí sám spustit.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 27. 11. 2016, 23:41:25
Aha. Ti kyberzlocinci musi byt dost zoufali, kdyz uz se nemuzou ani spolehnout na nejakou chybu v Utlouku.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: ms 28. 11. 2016, 07:26:42
Typicky uzivatel utlouku ti otevre/spusti jakoukoli prilohu, zejmena takove u kterych je na prvni pohled zrejme ze muze byt neco v neporadku.

Takze oni nejsou zoufali, jen vyuzivaj patricne dovednosti objeti ;)
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 28. 11. 2016, 09:32:56
Tedy kdyz ti kyberzlocinci ted musi jeste kazdeho objimat, tak vybudovani botnetu musi byt pekna fuska. A ty letenky bych platit nechtel. Doufam, ze se to omezi na trojiteho Chrusceva a na brezneviky uz nedojde.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: ByCzech 28. 11. 2016, 11:37:10
Jeden spustí nějaký ActiveX objekt, druhý cmd.exe. V Linuxu tedy moc fungovat nebudou :D

To první přesně spustí:

scripting.fileSystemobject')["GetFolder"]('C:\\\\')['type']['length'] > 1

a jestli tomu dobře rozumím (nechce se mi věnovat tolik času průzkumem) a vykonává to nad tím nějaký kód, který je schovaný v tom obfuskovaném kódu v proměnných

Kód: [Vybrat]
unovhutd, ubnuzmotn, pzadow
ale to už se mi skládat přes regexpy nechce. Takže to asi vyvádí něco se soubory na disku C:.

A to druhé ne že spouští cmd.exe, ale přes cmd.exe spouští něco jiného (parametr /c). Taky tam je dobře vidět, že to opět používá VBScript funkce jako
Kód: [Vybrat]
Scripting.FileSystemObject
ADODB.Stream
WScript.Shell
MSXML2.XMLHTTP

dále to používá soubor z netu z adresy: http://www.czetcoola.top/admin.php?f=2.dat, podle začátku souboru "MZÿÿ¸@Ⱥ´   Í!¸LÍ!This program cannot be run in DOS mode." to vypadá na nějakou Windows binárku (asi to spouští přes ten cmd.exe. Také je vidět, že to pracuje s lokálními daty (něco čte, něco zapisuje, něco čte z netu)....

Takže bych řekl, že to budou asi nějaké užitečné administrační utility. To se někdo má, že mu někdo dělá dálkového správce PC zadarmo :D. Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany :D :D :D.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: hawran diskuse 28. 11. 2016, 14:00:45
...
To se někdo má, že mu někdo dělá dálkového správce PC zadarmo :D. Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany :D :D :D.

 ;D  ;D  ;D

Zřejmě nějaký nový vylepšený upgrade, který zkracuje dobu "stažení upgrade / instalace upgrade / restart" z Blábolových 7 sekund na necelé dvě sekundy...
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: ByCzech 28. 11. 2016, 15:42:18
...
To se někdo má, že mu někdo dělá dálkového správce PC zadarmo :D. Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany :D :D :D.

 ;D  ;D  ;D

Zřejmě nějaký nový vylepšený upgrade, který zkracuje dobu "stažení upgrade / instalace upgrade / restart" z Blábolových 7 sekund na necelé dvě sekundy...

Jako my si tady z toho děláme docela srandu, protože tyhle brebery se vůbec nechytají v Linuxu, ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.

První soubor:

Z 58 antivirových řešení ho detekuje jako hrozbu jen 7 (de-facto jen 6, McAfee je tam ve dvou různých verzích, klasický a Web GW edice). Ze zbývajích 51 se 6 vůbec neobtěžuje soubor s takovou příponou skenovat, ostatní si myslí, že je soubor v pořádku.
Ze známých AV řešení ho detekují: ESET-NOD32, F-Prot, McAfee.
Naopak ho nedetekují známá AV řešení jako: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, DrWeb, F-Secure, Kaspersky, Malwarebytes, Microsoft Defender ;D, Panda, Sophos, Symantec, TrendMicro, Zoner.

Druhý soubor:

Z 58 detekuje 7. Šest se vůbec neobtěžuje. Zajímavé je, že od McAfee jej detekuje jen standardní, ta Web GW edice ne.
Ze známých ho detekují: DrWeb, ESET-NOD32, Kaspersky, McAfee, Sophos.
Známé AV, které toto za hrozbu nepovažují: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, F-Prot, F-Secure,

A do třetice ta win binárka, co si ta druhá brebera tahá z netu (2.dat):

Z 58 jej detekuje 6. Tady je zajímavostí, že ty co ho detekují to chytají heuristikou a dle informací z netu se vyskuje hromada false-positive detekcí, takže uživatel to určitě odklepne tak jako tak :D nebo mu je asi hlášena tato hrozba i u neškodných souborů ;D.
Ze známých hrozbu detekují: Kaspersky a Symantec.
Naopak ho nedetekují známé AV: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, DrWeb, ESET-NOD32, F-Prot, F-Secure, Malwarebytes, McAfee, Microsoft Defender, Panda, Sophos, TrendMicro, Zoner.

Úsměvné (škodolibě) pak je, že z těch co výše zmíněné umí zachytit není u těchhle 3 souborů ani jeden AV, který by uměl zachyti všechny tři :-D. Takže to, že do Windows něco projde je i na takovém malém vzorku nejspíše jistota. A když vezmu, že nejčastější AV co se u uživatelů v ČR můžu setkat jsou AVG, Avast a případně ESET-NOD32, tak se nedivím, že kde se setkám s Woknama, tam očividně nějaká breberka je, ač uživatel tvrdí, že má vše aktualizované a antivir taky ::).
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JSH 28. 11. 2016, 17:10:57
... ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.
Nechci být moc cynický, ale daleko překvapivější by bylo, kdyby se ty antiviry chytaly. Být autorem tohohle šmejdu tak si samozřejmě koupím poslední verze všech dostupných antivirů a před releasem svůj produkt patřičně poladím.

Antiviry jsou holt už od začátku v brutální nevýhodě.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: ehmmm 28. 11. 2016, 18:35:15
Kdysi tu byla soutez na nekolik dilu, kdy jsme hledali nejake kody v JPEGu.

Tak tohle by mohl byt dalsi rocnik.

Zjistit, co je v javacriptu.
Druhy level by byl, v jakych windowsech/prohlizeci to funguje a jak tomu spousteni snadno zabranit.
Nejvyssi level by byl zjistit, co je v exaci.

Název: Re:Nebezpečná příloha Emailu
Přispěvatel: ByCzech 28. 11. 2016, 19:39:13
... ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.
Nechci být moc cynický, ale daleko překvapivější by bylo, kdyby se ty antiviry chytaly. Být autorem tohohle šmejdu tak si samozřejmě koupím poslední verze všech dostupných antivirů a před releasem svůj produkt patřičně poladím.

Antiviry jsou holt už od začátku v brutální nevýhodě.

Ale to jo, já to říkal každému, že tvůrci malware jsou min o půl kroku napřed, ale to, že např. ten 2.dat soubor je detekovatelný od prosince minulého roku (McAfee) potažmo květen tohoto roku (Symantec), takže žádné 0day hrozby. To už by dávno měly umět všechny AV řešení. Tohle mi spíš přijde, že na to pěkně kašlou.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: ByCzech 28. 11. 2016, 19:41:51
Kdysi tu byla soutez na nekolik dilu, kdy jsme hledali nejake kody v JPEGu.

Tak tohle by mohl byt dalsi rocnik.

Zjistit, co je v javacriptu.
Druhy level by byl, v jakych windowsech/prohlizeci to funguje a jak tomu spousteni snadno zabranit.
Nejvyssi level by byl zjistit, co je v exaci.

Přeskládat pár řetězců z javascriptových polí/promměných a diasseblovat nějakou binárku resp. dekopmilovat,  beztak to bude zase nějaký kompilovaný script kiddie v něčem známém mi nepřijde při dnešních nástrojích jako extra výzva.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: j 28. 11. 2016, 20:11:51
...
To se někdo má, že mu někdo dělá dálkového správce PC zadarmo :D. Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany :D :D :D.

 ;D  ;D  ;D

Zřejmě nějaký nový vylepšený upgrade, který zkracuje dobu "stažení upgrade / instalace upgrade / restart" z Blábolových 7 sekund na necelé dvě sekundy...
Nekde tu mam tipnutej screen ... windows server 2k8 ... aktualizace to !JEN! hledalo ... 3 hodiny.

Jako my si tady z toho děláme docela srandu, protože tyhle brebery se vůbec nechytají v Linuxu, ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.
A co bys jako nechtel ... kdyz ti mailem poslu "cmd /c /q format /q c:" .... tak na tom prece neni nic, co by mel nejakej antivirak detekovat. Jak rikam, antivirak je vyhradne zpomalovac systemu, nic vic. Maximalne na usera vyskoci nejaky hlaseni, a on klipne na ano, chci to spustit. Proste proto, ze se ho to pta porad dokola u kazdy ptakoviny.

Co hur, vsechny antiviraky ti budou hlasit klidne i naprosto neskodny cracky.

Jednoduse je to dany od zacatku chorym systemem od M$, ze spustit se da vsechno. Kdyz ti na tuxovi neco vynada, ze to nema opravneni ke spusteni, tak i ten blbej user zbystri, protoze takovou hlasku nejspis nikdy nevidel a nejspis ani nevi, jak tomu ty prava dat.

Jo mimochodem, zakos mel toho sifrovaciho ... proste prisel v mailu odkaz "faktura", dotycna si stahla a spustila ... eset ho (na nas report) znal za tyden ... nez sme to vypli, tak stacil zasifrovat cca 150k souboru, obnovili sme je za zalohy, takze tvurce nevydelal ... ;D. Ale hlavne ze na vsech widlostrojich ten eset je, zejo ....
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: ByCzech 28. 11. 2016, 20:34:28
Nekde tu mam tipnutej screen ... windows server 2k8 ... aktualizace to !JEN! hledalo ... 3 hodiny.

Tak to je pohoda, posledně se kámošce dělaly aktualizace přes 3,5 dne :D. A to byla ráda, že je ráda.

Jako my si tady z toho děláme docela srandu, protože tyhle brebery se vůbec nechytají v Linuxu, ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.
A co bys jako nechtel ... kdyz ti mailem poslu "cmd /c /q format /q c:" .... tak na tom prece neni nic, co by mel nejakej antivirak detekovat. Jak rikam, antivirak je vyhradne zpomalovac systemu, nic vic. Maximalne na usera vyskoci nejaky hlaseni, a on klipne na ano, chci to spustit. Proste proto, ze se ho to pta porad dokola u kazdy ptakoviny.

No tohle není jen příkaz zaslaný emailem (btw. to co popisuješ se ve Windows nespustí, takže detekovat netřeba). To jsou poněkud sofistokovanější brebery a očividně je nějaké antiviry znají půl roku až rok. Navíc ta jedna potvora si tahá normální exáč z netu navíc. Tak kdyby chytaly aspoň tohle, že jo.

Co hur, vsechny antiviraky ti budou hlasit klidne i naprosto neskodny cracky.

Ano to je bohužel pravda. Ne že bych se zastával tvůrců cracků programů (i když občas to je jediný normální způsob jak třeba hry, které má uživatel legálně), ale co to má společného s antivirem probůh?! Ten má detekovat škodlivý kód.

Jednoduse je to dany od zacatku chorym systemem od M$, ze spustit se da vsechno.

Nejen to, ono to často vypadá, jako by ta různá API navrhovali přímo jako pozvánku pro malware ;D
 Kdyz ti na tuxovi neco vynada, ze to nema opravneni ke spusteni, tak i ten blbej user zbystri, protoze takovou hlasku nejspis nikdy nevidel a nejspis ani nevi, jak tomu ty prava dat.

Jo mimochodem, zakos mel toho sifrovaciho ... proste prisel v mailu odkaz "faktura", dotycna si stahla a spustila ... eset ho (na nas report) znal za tyden ... nez sme to vypli, tak stacil zasifrovat cca 150k souboru, obnovili sme je za zalohy, takze tvurce nevydelal ... ;D. Ale hlavne ze na vsech widlostrojich ten eset je, zejo ....

No hlavně že je zaplacený ten ESET a vydělal tvůrce AV, to je nejdůležitější :D :D :D
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: aaa 28. 11. 2016, 22:54:42
Ide o Cerber ransomware.Zasifruje to subory a potom odkaze na Tor (http://ffoqr3ug7m726zou.onion). V jednom pripade sa stahuje
hxxp://www.czetcoola.top/admin.php?f=2.dat
a v druhom sa cez powershell spusta:
hxxp://hqtrssx.top/search.php?f=x2.dat

To je upravy Nullsoft installer, co sa spusti. Po zasifrovani suborov to odkaze na nieco ako:
hxxp://ffoqr3ug7m726zou.onion/163A-3455-6F4D-0446-81C5
co je user-friendly stranka, ktora prevedie uzivatela procesom dekryptovania. Cena je 3 bitcoiny do 5 dni, potom 6 bitcoinov.

Ano to je bohužel pravda. Ne že bych se zastával tvůrců cracků programů (i když občas to je jediný normální způsob jak třeba hry, které má uživatel legálně), ale co to má společného s antivirem probůh?! Ten má detekovat škodlivý kód.
Niekedy staci sa pozriet na velkost cracku a nieco to napovie. Tusim to bol RELOADED, co raz za cas spravil z 30kB EXE suboru rovno 15MB subor, ktory vyzadoval prava admina a bezal na pozadi aj po vypnuti hry. A k tomu navod, ze je treba vypnut antivir.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: ByCzech 28. 11. 2016, 23:10:48
Ide o Cerber ransomware.Zasifruje to subory a potom odkaze na Tor (http://ffoqr3ug7m726zou.onion). V jednom pripade sa stahuje
hxxp://www.czetcoola.top/admin.php?f=2.dat
a v druhom sa cez powershell spusta:
hxxp://hqtrssx.top/search.php?f=x2.dat

To je upravy Nullsoft installer, co sa spusti. Po zasifrovani suborov to odkaze na nieco ako:
hxxp://ffoqr3ug7m726zou.onion/163A-3455-6F4D-0446-81C5
co je user-friendly stranka, ktora prevedie uzivatela procesom dekryptovania. Cena je 3 bitcoiny do 5 dni, potom 6 bitcoinov.

Ano to je bohužel pravda. Ne že bych se zastával tvůrců cracků programů (i když občas to je jediný normální způsob jak třeba hry, které má uživatel legálně), ale co to má společného s antivirem probůh?! Ten má detekovat škodlivý kód.
Niekedy staci sa pozriet na velkost cracku a nieco to napovie. Tusim to bol RELOADED, co raz za cas spravil z 30kB EXE suboru rovno 15MB subor, ktory vyzadoval prava admina a bezal na pozadi aj po vypnuti hry. A k tomu navod, ze je treba vypnut antivir.

Netvrdím, že k mnoha crackům není přibalený i malware. Bývá.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Lisak 29. 11. 2016, 17:19:21
Typicky uzivatel utlouku ti otevre/spusti jakoukoli prilohu, zejmena takove u kterych je na prvni pohled zrejme ze muze byt neco v neporadku.

Takze oni nejsou zoufali, jen vyuzivaj patricne dovednosti objeti ;)

Typický uživatel offline klienta (Outlook,Thunderbird )  náhledová okna jsou lahůdka.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: j 29. 11. 2016, 18:13:33
Netvrdím, že k mnoha crackům není přibalený i malware. Bývá.
Ale ne od tvurce cracku ...

Pripadu, kdy crack (vcetne hlavicky - treba zmineny RELOADED) vydal primo tvurce gamesky, jako reseni toho, ze se ta hra spoustela treba 1/2 hodiny, taky neni zrovna malo. Chces si zahrat gamesu, kterou sis !koupil!, a ktera (pochopitelne naprosto nezbytne) vyzadovala M$ game for win? Smolik, M$ to zrusil ... nezahrajes si.

A zase sme u neschopnosti widli ... procpak treba widle neumej pro konkretni binarku omezit opravneni do konkretnich adresaru? Jak je mozny, ze je zcela bezny, ze kazda druha appka instaluje do \windows ??? Zrovna nedavno sem narazil na takovou gamesu, ktera tam chtela v ramci "proticheatovaci" manie neco zapisovat, tak sem ji terminoval. A to nemluvim o M$ opicich a defakto 100% jejich veci, ktery zapisujou uplne vsude. Pak nema bejt celej system vecne rozmrdanej.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 09:05:57
Tak ať je větší sranda, před pár dny se mi v ~ objevil spustitelný soubor .tar, samozřejmě ELF a nikterak neznámý: https://virustotal.com/cs/file/853287b5380c414a938bd53ddd9923a5c5b12fa18809b3e8c927530391bf043e/analysis/
Víc jsem ho nezkoumal, víte někdo co je to zač? Mám ho uložený, kdyby ho někdo chtěl poslat.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 10:54:32
Radovan: Me na tom nejvic zaujalo to, ze pises, ze se objevil v ~. Objevil jak, odkud?
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 12:32:51
Já jsem ho tam určitě nedal, vlezl mi tam z netu, netuším odkud ;D
Co si matně vzpomínám, tak v době odpovídající času souboru jsem nelezl nikam kde by něco hrozilo, maximálně tak na play.cz a sem. Žádné maily jsem nečetl, a spouštěl akorát DOSBox.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 13:11:13
@Radovan: A kde presne v ~ se objevil?
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 13:47:48
Přímo v domovském adresáři uživatele, vedle těchhle:
.Xauthority
.Xresources
.bash_history
.bashrc
.bbkeysrc
.blackboxrc
.dmrc
.fonts.conf

Víc tam toho nemám, protože jedu na Slaxu zkopírovaném do RAM z liveCD, takže jsem to okamžitě "odviroval" tlačítkem Reset ;)
Disk jsem další den projel, ale žádné změny jsem nenašel, takže netuším jestli se to vůbec spustilo nebo jenom uložilo.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: javaman () 11. 12. 2016, 13:52:42
Na mě to spíš působí, že jsi nikdy s Linuxem nedělal a píšeš nemysly :D Vůbec to nedává smysl, kámo.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 14:22:38
Soráč javalopato, ale s Linuxem jsem si začal někdy před patnácti lety, a posledních deset nic jiného už nepoužívám. Stáhni, vypal a nabootuj Slax, ať víš o čem píšu.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: javaman () 11. 12. 2016, 14:32:53
Tak je smutné, že jsi po tolika letech pořád začátečník :D

Nechceš to popsat ještě jednou a jako člověk? Našel jsi soubor s názvem .tar ve svém domácím adresáři a byl to ELF? A jak víš, že přišel z netu? To máš nějakou webovou službu, kterou si ukládáš k sobě věci?
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 14:43:31
@Radovan: Hm, zajimave. Copak to asi mohlo nacpat primo do ~? A ze se to ani nepokusilo nekam schovat.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Kit 11. 12. 2016, 14:48:46
Já jsem ho tam určitě nedal, vlezl mi tam z netu, netuším odkud ;D
Co si matně vzpomínám, tak v době odpovídající času souboru jsem nelezl nikam kde by něco hrozilo, maximálně tak na play.cz a sem. Žádné maily jsem nečetl, a spouštěl akorát DOSBox.

To spíš vypadá, že sis ho nějakým způsobem vyrobil sám a nevíš o tom.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 16:33:18
@javalopata: Ano, i po tolika letech jsem pouze spokojený uživatel. Přispívat do kernelu nehodlám.

@jardaP.: Firefox? Ten mám zapnutý skoro pořád. A také mc, který jediný to zobrazil, jiné programy ho nevidí.

@Kit: Nevím, řekneš mi jak? Něco naprogramovat dovedu, ale tohle ne: http://v.virscan.org/Backdoor.Linux.Agent.W.html
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 17:47:12
@jardaP.: Firefox? Ten mám zapnutý skoro pořád. A také mc, který jediný to zobrazil, jiné programy ho nevidí.

Jo, protoze mc ma tusim defaultne zapnut zobrazovani dotfiles, zatimco file managery v X to maji defaultne spis vypnuto. Jinak nevim, jak by bylo mozne to nevidet, ledaze by to skryl rootkit. Ten by to ale skryl i pred mc.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 18:03:22
zatimco file managery v X to maji defaultne spis vypnuto
Právě sis odpověděl. Dolphin tam vidí jen prázdný adresář. A když jsem to posílal na virustotal, musel jsem tu tečku odstranit, protože ten soubor ve FF jinak nebyl vidět. To byla kopie na jiném disku a po resetu, takže žádný rootkit už nebyl.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 18:14:00
I v dialogu na vyber souboru ve FF se da zapnout zobrazovani skrytych souboru.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: javaman () 11. 12. 2016, 18:15:29
Bude to odborník ;D
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 18:33:47
Možná to FF18 má někde v nastavení, ale prohrabávat se tím po každém bootu nebudu. Dolphin určitě také. Jenže já většinou používám mc, ten to vidí.

V mládí jsem se učil DOSařem (http://kubus.borec.cz/dosar.htm), takže NC a jeho nástupci jsou pro mě nejpřirozenejší způsob komunikace s počítačem. A když si v tom Dolphinu zapnu dva panely a na spodku pruh s konzolí, začíná mít GUI konečně smysl ;D
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Kit 11. 12. 2016, 18:47:51
@Kit: Nevím, řekneš mi jak? Něco naprogramovat dovedu, ale tohle ne: http://v.virscan.org/Backdoor.Linux.Agent.W.html

Co já vím? Také jsem nedávno našel v domovském adresáři adresář ~ s obsahem, který měl být někde jinde. Zřejmě některý z používaných programů ji neexpandoval.

Ve tvém případě by to mohlo způsobit automatizované ukládání příloh e-mailu s příponou tgz. Zkus vyzpovídat svého mailového klienta.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 18:55:47
Žádný klient se nekoná, do mailů lezu přes web a naposledy jsem je skouknul minimálně týden předtím. Muselo se to dostat buď přes FF nebo přes něco co ve Slaxu běží.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 19:25:41
Možná to FF18 má někde v nastavení, ale prohrabávat se tím po každém bootu nebudu. Dolphin určitě také.

Byva zvykem, ze pri pravem kliku do dialogu ci okna filemanageru se zobrazi nejaka nabidka, jejiz soucasti je i "Show hidden files". Tak jednoduche to byva, aspon na Linuxu. Ani registry kvuli tomu editovat nemusis.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Kit 11. 12. 2016, 19:34:47
Žádný klient se nekoná, do mailů lezu přes web a naposledy jsem je skouknul minimálně týden předtím. Muselo se to dostat buď přes FF nebo přes něco co ve Slaxu běží.

FF je také klientem...
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 19:41:11
FF je také klientem...

To jo, ale uz jsi slysel o tom, ze by webmail sam nekde ukladal prilohy? To delala akorat Eudora, o zadnem jinem klientu nevim a urcite ne webmail. Takze leda nejaky pochybny web pres diru ve FF, coz by bylo mozne, protoze ve Slaxu na CD asi tezko bude posledni verze. A dira to musi byt jak vrata od stodoly, kdyz to soubor nejen ulozi, ale jeste mu nastavi executable priznak.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: javaman () 11. 12. 2016, 20:14:21
OMG, ty fakt věříš tomu, že se mu to samo uložilo z netu? ;D Tak určitě...
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 20:32:44
OMG, ty fakt věříš tomu, že se mu to samo uložilo z netu? ;D Tak určitě...

Proc ne? Deravy browser dokaze zazraky. Ono se to mohlo s klidem i spustit a system to nenapadlo jen proto, ze byl na CD.
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: javaman () 11. 12. 2016, 20:38:45
To sice jo, ale pokud to píše začátečník, který s Linuxem neumí, tak je to dost podezřelé. Si to tam nasadil sám, jen neví jak :D
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Pavel Skokan 11. 12. 2016, 20:50:31
berte v potaz to, že ff18 měl EoL na začátku roku 2013

takže dotyčný, který používá slax se zastaralou sw výbavou průběžně pro běžnou práci, je potenciální hrozbou pro své síťové okolí a v jistých případech patrně i pro svá vlastní data
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: Radovan. 11. 12. 2016, 21:58:21
Ono se to mohlo s klidem i spustit a system to nenapadlo jen proto, ze byl na CD.
Mohlo, v rychlosti jsem nakoukl do procesů přes ps a nic podezřelého jsem tam nenašel. Výpis jsem si neuložil, chyba, ale holt poslední virus jsem měl v počítači někdy v roce 2002 a trochu jsem vyšel ze cviku 8)
Systém běží z RAM, domovský adresář je také v RAM, data mám na flashce ale žádná změněná nebyla. Podle netu je to nějaký backdoor, víc k tomu nevím.

Potenciální hrozba zdaleka nejen pro své okolí je cokoliv připojeného k netu, především veškerá zařízení IoT. Já můžu hrozit maximálně pár hodin co to mám zapnuté, na to CD se nic nedostane a další den jsem zase čistý. A uvědomuji si že je to vykopávka se spoustou nezáplatovaných děr, takže je otázka času kdy se něco takového stane zase.

Jestli si někdo chcete pohrát a třeba zjistit co to dělá a s čím to komunikuje: https://uloz.to/!iUIGYpoxGXPc/tar
Název: Re:Nebezpečná příloha Emailu
Přispěvatel: JardaP . 11. 12. 2016, 22:37:15
Ono se to mohlo s klidem i spustit a system to nenapadlo jen proto, ze byl na CD.
Mohlo, v rychlosti jsem nakoukl do procesů přes ps a nic podezřelého jsem tam nenašel.

Otazka je, jestli ta vec ma bezet a neco delat nebo neco nainstalovat, co treba bezi az po pristim bootu. V druhem pripade neni prekvapive, ze jsi v ps nic nevidel.