Příspěvky

1366

O serveru Root.cz / Re:Hloupá reklama na Rootu

« kdy: 29. 11. 2016, 00:37:37 »

Pořád ještě není nová verze? Pořád to dělá 

1367

Windows a jiné systémy / Re:Nebezpečná příloha Emailu

« kdy: 28. 11. 2016, 23:10:48 »

Ide o Cerber ransomware.Zasifruje to subory a potom odkaze na Tor (http://ffoqr3ug7m726zou.onion). V jednom pripade sa stahuje
hxxp://www.czetcoola.top/admin.php?f=2.dat
a v druhom sa cez powershell spusta:
hxxp://hqtrssx.top/search.php?f=x2.dat

To je upravy Nullsoft installer, co sa spusti. Po zasifrovani suborov to odkaze na nieco ako:
hxxp://ffoqr3ug7m726zou.onion/163A-3455-6F4D-0446-81C5
co je user-friendly stranka, ktora prevedie uzivatela procesom dekryptovania. Cena je 3 bitcoiny do 5 dni, potom 6 bitcoinov.

Ano to je bohužel pravda. Ne že bych se zastával tvůrců cracků programů (i když občas to je jediný normální způsob jak třeba hry, které má uživatel legálně), ale co to má společného s antivirem probůh?! Ten má detekovat škodlivý kód.

Niekedy staci sa pozriet na velkost cracku a nieco to napovie. Tusim to bol RELOADED, co raz za cas spravil z 30kB EXE suboru rovno 15MB subor, ktory vyzadoval prava admina a bezal na pozadi aj po vypnuti hry. A k tomu navod, ze je treba vypnut antivir.

Netvrdím, že k mnoha crackům není přibalený i malware. Bývá.

1368

Windows a jiné systémy / Re:Nebezpečná příloha Emailu

« kdy: 28. 11. 2016, 20:34:28 »

Nekde tu mam tipnutej screen ... windows server 2k8 ... aktualizace to !JEN! hledalo ... 3 hodiny.

Tak to je pohoda, posledně se kámošce dělaly aktualizace přes 3,5 dne . A to byla ráda, že je ráda.

Jako my si tady z toho děláme docela srandu, protože tyhle brebery se vůbec nechytají v Linuxu, ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.

A co bys jako nechtel ... kdyz ti mailem poslu "cmd /c /q format /q c:" .... tak na tom prece neni nic, co by mel nejakej antivirak detekovat. Jak rikam, antivirak je vyhradne zpomalovac systemu, nic vic. Maximalne na usera vyskoci nejaky hlaseni, a on klipne na ano, chci to spustit. Proste proto, ze se ho to pta porad dokola u kazdy ptakoviny.

No tohle není jen příkaz zaslaný emailem (btw. to co popisuješ se ve Windows nespustí, takže detekovat netřeba). To jsou poněkud sofistokovanější brebery a očividně je nějaké antiviry znají půl roku až rok. Navíc ta jedna potvora si tahá normální exáč z netu navíc. Tak kdyby chytaly aspoň tohle, že jo.

Co hur, vsechny antiviraky ti budou hlasit klidne i naprosto neskodny cracky.

Ano to je bohužel pravda. Ne že bych se zastával tvůrců cracků programů (i když občas to je jediný normální způsob jak třeba hry, které má uživatel legálně), ale co to má společného s antivirem probůh?! Ten má detekovat škodlivý kód.

Jednoduse je to dany od zacatku chorym systemem od M$, ze spustit se da vsechno.

Nejen to, ono to často vypadá, jako by ta různá API navrhovali přímo jako pozvánku pro malware
 Kdyz ti na tuxovi neco vynada, ze to nema opravneni ke spusteni, tak i ten blbej user zbystri, protoze takovou hlasku nejspis nikdy nevidel a nejspis ani nevi, jak tomu ty prava dat.

Jo mimochodem, zakos mel toho sifrovaciho ... proste prisel v mailu odkaz "faktura", dotycna si stahla a spustila ... eset ho (na nas report) znal za tyden ... nez sme to vypli, tak stacil zasifrovat cca 150k souboru, obnovili sme je za zalohy, takze tvurce nevydelal ... . Ale hlavne ze na vsech widlostrojich ten eset je, zejo ....

No hlavně že je zaplacený ten ESET a vydělal tvůrce AV, to je nejdůležitější

1369

Windows a jiné systémy / Re:Nebezpečná příloha Emailu

« kdy: 28. 11. 2016, 19:41:51 »

Kdysi tu byla soutez na nekolik dilu, kdy jsme hledali nejake kody v JPEGu.

Tak tohle by mohl byt dalsi rocnik.

Zjistit, co je v javacriptu.
Druhy level by byl, v jakych windowsech/prohlizeci to funguje a jak tomu spousteni snadno zabranit.
Nejvyssi level by byl zjistit, co je v exaci.

Přeskládat pár řetězců z javascriptových polí/promměných a diasseblovat nějakou binárku resp. dekopmilovat,  beztak to bude zase nějaký kompilovaný script kiddie v něčem známém mi nepřijde při dnešních nástrojích jako extra výzva.

1370

Windows a jiné systémy / Re:Nebezpečná příloha Emailu

« kdy: 28. 11. 2016, 19:39:13 »

... ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.

Nechci být moc cynický, ale daleko překvapivější by bylo, kdyby se ty antiviry chytaly. Být autorem tohohle šmejdu tak si samozřejmě koupím poslední verze všech dostupných antivirů a před releasem svůj produkt patřičně poladím.

Antiviry jsou holt už od začátku v brutální nevýhodě.

Ale to jo, já to říkal každému, že tvůrci malware jsou min o půl kroku napřed, ale to, že např. ten 2.dat soubor je detekovatelný od prosince minulého roku (McAfee) potažmo květen tohoto roku (Symantec), takže žádné 0day hrozby. To už by dávno měly umět všechny AV řešení. Tohle mi spíš přijde, že na to pěkně kašlou.

1371

Windows a jiné systémy / Re:Nebezpečná příloha Emailu

« kdy: 28. 11. 2016, 15:42:18 »

...
To se někdo má, že mu někdo dělá dálkového správce PC zadarmo . Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany .

    

Zřejmě nějaký nový vylepšený upgrade, který zkracuje dobu "stažení upgrade / instalace upgrade / restart" z Blábolových 7 sekund na necelé dvě sekundy...

Jako my si tady z toho děláme docela srandu, protože tyhle brebery se vůbec nechytají v Linuxu, ale ještě mi to nedalo a nechal jsem to prohnat antivirama a výsledek je na pováženou.

První soubor:

Z 58 antivirových řešení ho detekuje jako hrozbu jen 7 (de-facto jen 6, McAfee je tam ve dvou různých verzích, klasický a Web GW edice). Ze zbývajích 51 se 6 vůbec neobtěžuje soubor s takovou příponou skenovat, ostatní si myslí, že je soubor v pořádku.
Ze známých AV řešení ho detekují: ESET-NOD32, F-Prot, McAfee.
Naopak ho nedetekují známá AV řešení jako: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, DrWeb, F-Secure, Kaspersky, Malwarebytes, Microsoft Defender , Panda, Sophos, Symantec, TrendMicro, Zoner.

Druhý soubor:

Z 58 detekuje 7. Šest se vůbec neobtěžuje. Zajímavé je, že od McAfee jej detekuje jen standardní, ta Web GW edice ne.
Ze známých ho detekují: DrWeb, ESET-NOD32, Kaspersky, McAfee, Sophos.
Známé AV, které toto za hrozbu nepovažují: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, F-Prot, F-Secure,

A do třetice ta win binárka, co si ta druhá brebera tahá z netu (2.dat):

Z 58 jej detekuje 6. Tady je zajímavostí, že ty co ho detekují to chytají heuristikou a dle informací z netu se vyskuje hromada false-positive detekcí, takže uživatel to určitě odklepne tak jako tak nebo mu je asi hlášena tato hrozba i u neškodných souborů .
Ze známých hrozbu detekují: Kaspersky a Symantec.
Naopak ho nedetekují známé AV: AVG, Ad-Aware, Avast, Avira, BitDefender, ClamAV, Comodo, DrWeb, ESET-NOD32, F-Prot, F-Secure, Malwarebytes, McAfee, Microsoft Defender, Panda, Sophos, TrendMicro, Zoner.

Úsměvné (škodolibě) pak je, že z těch co výše zmíněné umí zachytit není u těchhle 3 souborů ani jeden AV, který by uměl zachyti všechny tři :-D. Takže to, že do Windows něco projde je i na takovém malém vzorku nejspíše jistota. A když vezmu, že nejčastější AV co se u uživatelů v ČR můžu setkat jsou AVG, Avast a případně ESET-NOD32, tak se nedivím, že kde se setkám s Woknama, tam očividně nějaká breberka je, ač uživatel tvrdí, že má vše aktualizované a antivir taky .

1372

Windows a jiné systémy / Re:Nebezpečná příloha Emailu

« kdy: 28. 11. 2016, 11:37:10 »

Jeden spustí nějaký ActiveX objekt, druhý cmd.exe. V Linuxu tedy moc fungovat nebudou

To první přesně spustí:

scripting.fileSystemobject')["GetFolder"]('C:\\\\')['type']['length'] > 1

a jestli tomu dobře rozumím (nechce se mi věnovat tolik času průzkumem) a vykonává to nad tím nějaký kód, který je schovaný v tom obfuskovaném kódu v proměnných

Kód: [Vybrat]

unovhutd, ubnuzmotn, pzadow

ale to už se mi skládat přes regexpy nechce. Takže to asi vyvádí něco se soubory na disku C:.

A to druhé ne že spouští cmd.exe, ale přes cmd.exe spouští něco jiného (parametr /c). Taky tam je dobře vidět, že to opět používá VBScript funkce jako

Kód: [Vybrat]

Scripting.FileSystemObject
ADODB.Stream
WScript.Shell
MSXML2.XMLHTTP

dále to používá soubor z netu z adresy: http://www.czetcoola.top/admin.php?f=2.dat, podle začátku souboru "MZÿÿ¸@Ⱥ´   Í!¸
LÍ!This program cannot be run in DOS mode." to vypadá na nějakou Windows binárku (asi to spouští přes ten cmd.exe. Také je vidět, že to pracuje s lokálními daty (něco čte, něco zapisuje, něco čte z netu)....

Takže bych řekl, že to budou asi nějaké užitečné administrační utility. To se někdo má, že mu někdo dělá dálkového správce PC zadarmo . Jestli to nebude něco podobného, co dělá MS v rámci tzv. telemetrie. Akorát to vypadá na nějakou aktualizaci OS od třetí strany .

1373

O serveru Root.cz / Re:Hloupá reklama na Rootu

« kdy: 26. 11. 2016, 17:06:33 »

Už se stihla nasadit nová verze? Protože zatím to tak nevypadá:

1374

Software / Re:Promazání velkého množství videosouborů

« kdy: 26. 11. 2016, 14:24:29 »

Gwenview

Mezerník další video
Backspace předchozí
Delete smazat soubor

1375

Studium a uplatnění / Re:Chtít víc peněz po skončení zkušební doby?

« kdy: 21. 11. 2016, 01:52:55 »

nechal jsem si u truhláře postavit kuchyň ale těsně před přebráním jsem zjistil že ji jinde mají levněji, buď mi tu kuchyň prodá za polovic nebo ať si ji strčí do špic, stejný svinský jednání

Mohl bych prosím vědět zákon a paragraf(y), který toto umožňuje?

Co se týká zkušební doby, tak je to doba na posouzení, zda pracovní poměr vyhovuje tak jak je. Ale nejen zaměstnavateli, ale také zaměstnanci. Posuzovat mohou obě strany. Na to ta zkušebka je. Takže dle mého žádné sviňské jednání, ale využití svých práv daných zákonem. Stejná práva když se zaměstnavateli něco nelíbí má možnost s tím do ukončení zkušební doby něco dělat, že?

1376

Studium a uplatnění / Re:Chtít víc peněz po skončení zkušební doby?

« kdy: 21. 11. 2016, 01:48:25 »

(3 měsíce jsou zákonné maximum (!)),

To je nesmysl, může být až 6 měsíců u vedoucích pracovníků.

1377

Hardware / Re:Jak často měníte hardware?

« kdy: 10. 11. 2016, 17:21:07 »

si debil? tady mas:

CUDA is a parallel computing platform and application programming interface (API) model created by Nvidia.

na kartach od AMD to nepojde. co pleties procesory sem?

Intel nedělá GPU, na kterých se dají dělat výpočty? Nepovídej... Ale jo jasně, já jsem debil, když vím, že Intel není jen CPU. A protože jsem určitě tuplovaný debil, tak narozdíl od takového "chytrolína" jako jsi ty vím, že OpenCL není limitované pouze na GPU a hlavně to není omezené na jednu firmu a podporuje to kromě AMD také Intel i NVIDIA a nejen oni.

1378

Hardware / Re:Jak často měníte hardware?

« kdy: 10. 11. 2016, 15:49:59 »

preboha, to su tu az taki amateri, ktori radia cloveku AMD? ved AMD ma vecne problemy s procesormi, hlavne take prehrievanie sa. a graficke karty? tam uz je to lepsie, ale ani zdaleka sa to nechyta na NVIDIU. Co ak tu panko robi CUDA vypocty, ako si ich asi spravi na AMD karte? jednoznacne pre profesionala programatora jedine Intel a NVIDIU. AMD zaspal dobu, ten moc nikto nepouziva

Intel je o niekolko mil vpredu pred AMD.

A jak panko jurdo počítá CUDA výpočty na tom Intelu, co je o několik mil před AMD? :-D

Když už, tak se počítají věci na standardu OpenCL ne na proprietární technologii jedné firmy.

1379

Software / Re:Textový editor bez BOM

« kdy: 03. 11. 2016, 01:30:06 »

Samotný skript bomstrip-files neumí procházet podadresáře.

Pokud je potřeba i podadresáře, tak samozřejmě souhlas.

1380

Software / Re:Textový editor bez BOM

« kdy: 03. 11. 2016, 00:36:24 »

Ještě jsem našel jedno elegantní řešení:

Kód: [Vybrat]

find . -type f -name "*.php" -print0 | xargs -0 bomstrip-files

elegantnější mi přijde:

Kód: [Vybrat]

bomstrip-files *.php