Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Nevím jestli to je přímo tohle,ale setkávám se s tím už asi půl roku.
řešení - hirens boot CD - bootICE - oprava mbr - combofix,atd....
Není nutné, máš to i v článku - stačí nabootovat instalační CD Windows - konzola, příkaz fixmbr... a je to.
Trochu problém je pokud někdo má např. multiboot přes GRUB... ale ten to bude pravděpodobně řešit jinými nástroji z jiného OS :-)
četl jsem, ale víc nic se z toho CD udělat nedá. z hirens pouštím rovnou několik dalších nástrojů a většinou i obnovu registrů, která je taky dost často potřeba jinak WIN nenaběhnou.
Proč by po fixmbr nenaběhly Windows? Dělal jsem ho snad třicetkrát a nikdy s tím nebyl problém.
Mě by spíš zajímalo, jestli je tento vir funkční, když máte Windows nainstalované v režimu EFI ;). Tam se totiž moc na MBR nehraje. Na druhou stranu až bude UEFI běžné, to bude skrytých virů ;-)
To mě by víc zajímalo, jak ta část uložená v MBR dokáže následně ve Windowsech spustit program.
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?...
V kratkosti: vytvori na disku soubor a prida do registru ze se ma spustit po startu.
Dis is One-Half.
Tuhletu hlášku opravdu nemám rád... Dešifrovat jím smazaná data byla noční můra... Ale jedná se o rols-royse mezi viry..
Kdo nezazil One-halfa, jako by nebyl :D
Tak já tedy jsem :)
jo One-half to je klasika, já ten otravný nápis při bootu vyřešil jednoduše. Prostě jsem posunul obraz na monitoru a problém byl vyřešen :-)
Hehe, to je řešení na úrovni blokování dětské pornografie na netu (problém nepřestal existovat, jen ho nevidíme ;).
Podle mě byl ještě lepší Černobyl. Onehalf se dal vyléčit klasicky SW. Ale kvůli Černobylu jsem v mašině měnil EEPROMky za chodu :-)
Nejchytřejší virus byl ten albánskej... :-)
Heh, nezapomenu na to, jak jsme se skladnikem hrali upirateny hry na 286 ve skladu a po tydnu lehla cela hotelova sit. to byl poprask panecku :-)
Po dlouhé době virus s fantazii a neotřelým nápadem.
Ještě by ten virus mohl hlídat příkaz "read" a vracet "správný" MBR.
Pokial to dobre chapem, tak antivir ktory dokaze pracovat este pred nabehom win by mohol vediet tento virus odstranit? Berte to s rezervou, nakolko sa jedna o novinku tak doterajsie verzie antiviru asi nevedia co maju hladat.
To moc asi ne protoze MBR je uplne prva vec co sa spusta ... to by ten antivir musel byt priamo v BIOSe aby mal sancu ....
Vrací se staré známe triky...
- Autorun-na CD prakticky mrtvá věc ožívá ve spojení s USB flash a externími disky. Příčina - možnost zápisu a spouštění po startu. Řešení - přepínač proti zápisu.
- Microsoft se Autorun snaží zabít jeho vypnutím pomocí aktualizace.
- MBR viry(rootkity) jsou na výsluní. Antivir ve Windows nedokáže odstranit a pokud jsou dobře napsané, tak ani detekovat.
- Četl jsem článek i o Rootkitu ve firmwaru Realtec síťovky. Což už se dá považovat za hardwarový virus.
Zkrátka blízká se na temné časy...
Re: "Microsoft se Autorun snaží zabít jeho vypnutím pomocí aktualizace"
Malá oprava: Microsoft se nesnaží autorun zabít pomocí aktualizace. Spíš opravit. Ta aktualizace autorun nevypíná, pouze zajišťuje, aby byl skutečně vypnut, pokud si to uživatel bude přát a patřičně si to nastaví. V systému byla chyba, že se po uživatelském vypnutí autorun prostě nevypnul. Já jsem za tuto aktualizaci celkem rád, protože autorun _si_ všude vypínám (sám nejlíp vím, co chci dělat s nově připojeným úložištěm, nepotřebuji, aby se systém zdržoval jeho prohledáváním jen proto, aby mi nabídl řadu možností, z nichž stejně vždy všechny odmítnu).
Rootkit ve firmwaru čehokoliv už je podle mě "state-of-the-art" kousek ;). Býval tuším kdysi dokonce malware ve firmwaru vypalovačky, emuloval CD, na kterém byl nahrán ;).
Toto si urobia tí, čo sa vyznajú. U nás v sieti je to pohodlné, lebo v doméne sa automaticky aktualizujú počítače zo servera a autorun sa dá v politikách jedným zápisom zakázať. Ale medzi bežnými užívateľmi to asi nebude také samozrejmé.
Prepínač nie je bežná vec. Naposledy som to videl na mojej starej usb fleške PQI. A na externých diskoch to je asi ešte väčšia rarita. Ja som ju získal ako bonus k novému hdd boxu Zalman ZM-VE200, o ktorom sa na začiatku roka aj tu písalo. Proste vie bootovať iso obrazy z disku a v systéme sa tvári ako virtuálna mechanika aj disk, ale má aj eSATA na pripojenie ako čistý disk a rýchle nakopírovanie dát. No a ten prepínač je tiež dobrá vec. Príchod k cudziemu počítaču neohrozí dáta.
Mne to zasa ako uplne genialny napad nepride. Funkcia WriteFile ma buffer deklarovany ako LPCVOID, takze aplikacia moze poslat buffer, do ktoreho sa neda zapisovat, a crapware sa zbytocne prezradi.
Jiste ... logictejsi je presmerovat zapis i cteni na jiny sektor ... s puvodnim MBR ...
Tak u mě by měl smůlu, já už MBR dobrýho půl roku nevedu :)
Disk Killer:
Warning!!
Don't turn off the power or remove the diskette while Disk Killer is Processing!
PROCESSING
Now you can turn off the power. I wish you Luck!"
:)
To mi připomnělo ten vir, tuším "midnight", co jednoho krásného dne smazal FAT tabulku (nebo to byla tabulka oddílu disků, nevím) a prohlásil, že zablokoval počítač, že ji smazal a má ji v paměti a když uživatel vydrží do půlnoci nevypínat a nerestartovat PC, tak ji vrátí zpět. Když to uživatel nevydržel a počítač restartoval, měl smůlu. Když to vydržel, vir splnil slib a data vrátil na své místo.
A pak byl jeden taky takovej, co udělal něco podobného a pak si s uživatelem o tu fatku zahrál jednorukýho banditu na tři pokusy. Šance, že by uživatel vyhrál, byla poměrně malá, ale byla.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.