Preventiva in ukrepi za manjše tveganje okužbe računalnika

Tu bomo pisali o tem s kakšnimi OS se ukvarjamo in kakšne težave imamo pri tem.

Moderatorji: Kroko, tilz0R

Preventiva in ukrepi za manjše tveganje okužbe računalnika

OdgovorNapisal/-a DusanK » 16 Jan 2020, 01:08

Preventiva pri odpiranju priponk in ukrepi za zmanjševanje tveganja okužbe računalnika.

Namen te teme je splošna razlaga primera iz teme »Poskus izsiljevanja preko emaila«.

Ker nisem ravno velik strokovnjak za to področje bi zato navedel nekaj osebnih spoznanj črpanih iz lastnih izkušenj, iz težav prijateljev/znancev… vse z namenom osveščanja ter želje, da se vas čim manj ujame v preproste pasti.
Vem, marsikdo bo sicer zehal v nadaljevanju, pa vendar, če se najde vsaj nekdo, ki mu bodo naslednje vrstice v pomoč, je moj namen dosežen.

@eldi2011, mi je na mojo željo posredoval zanj sumljivo ZIP priponko, ki jo je dobil na svoj elektronski naslov.
Za analizo sem uporabil testni računalnik brez posodobljene antivirusne zaščite, saj bi bil v nasprotnem primeru primerek takoj odstranjen/izbrisan v karanteno.
Test na dveh drugih računalnikih, eden s Panda, drugi pa z osnovno Windows Defender zaščito je v obeh primerih zaznal nevarno datoteko, jo izbrisal in dal v karanteno. Imam pa tudi primer, da na četrtem računalniku Windows Defender, čeprav posodobljen, ni prepoznal tega virusa in ga odstranil. :_think To moram še raziskati.

Zakaj se po elektronski pošti pošilja ravno ZIP priponka in ne original datoteka v osnovni velikosti?
Ker je original datoteka lahko zares velika ali pa je posredi veliko število manjših datotek, ki jo ZIP program skrči kar je lažje in hitrejše za sam prenos datoteke, je v enem kosu in kar je najbolj pomembno, veliko antivirusnih programov že avtomatsko zavrača/uniči izvršljive končnice datotek npr: .exe, ZIP datoteko pa spustijo skozi. No, ne vsi ampak naj bo zgolj za grobo razlago.

Prva analiza, ko sem ZIP priponko razpakiral v svojo mapo je bila, da se je pojavila datoteka z imenom »seznam neplačanega računa za december 2019«.
slika1_seznam_brez_koncnice.JPG

Zanimiv naslov, posebno, če imaš lasten s.p. ali d.o.o., saj takoj pomisliš na neke čudne lanskoletne dolgove. Čez radovednost ga ni v smislu »zakaj mi pošiljajo, če pa imam vse plačano« ali »kaj za vraga spet hočejo, saj smo dogovorjeni za rok plačila« itd. in…

… in le stran od klika (lahko tudi usodnega) so vsi tisti, ki ne razumejo ključnega pomena imen končnic izvršnih datotek ali ne verjamejo, da se s klikom na priponko ravno njim lahko kaj zgodi saj imajo vendarle antivirusni program, ki v ozadju skrbi za njihove (nes)pametne in (ne)premišljene poteze. Da potem o izgovorih in kazanju na IT-jevce po firmah kot krivca ne govorim. Ampak to je že stvar druge debate.

Da ima priponka vidno ime »seznam neplačanega računa za december 2019«, torej brez končnice datoteke, je »kriva« Windows nastavitev za mape in datoteke.
Natančneje: odprite Raziskovalca, zavihek Pogled, Možnosti, ki odpre novo okno Možnosti mape, zavihek Pogled, dodatne nastavitve Datotek in map, pri »Skrij pripone za znane vrste datotek« je vstavljena kljukica !
slika2_Skrij_pripone_za_znane_vrste_datotek_enable.jpg

Ta izbor je celo privzet ob sveži inštalaciji Windows sistema!

Če kljukico odstranimo in potrdimo (gumb Uporabi), se zdaj v Raziskovalcu pojavi polno ime sumljive datoteke, a zdaj z imenom: »seznam neplačanega računa za december 2019.exe«.
slika3_seznam_s_koncnico_exe.JPG

No, zdaj je zadeva že malce bolj sumljiva za tiste, ki vedo, da končnice datotek npr. .exe, .bat, .msi, .vbs (seznam) predstavljajo neke programe ali ukaze, za katere v osnovi ne vemo kaj bodo naredili, lahko so zgolj inštalacije programov, vnosi v register, lahko pa so virusi, spyware zajedalci … vse do crypto izsiljevalskih virusov.

Če bi bil pošiljatelj iznajdljivejši bi pripet program lahko (pre)imenoval tudi takole:
seznam neplačanega računa za december 2019.pdf.exe
seznam neplačanega računa za december 2019.doc.exe
seznam neplačanega računa za december 2019.xls.exe
seznam neplačanega računa za december 2019.mp3.exe
itd.
slika4_Doimenovanje_exe_v_pdf_exe.JPG

S tem bi še bolj zavedel prejemnike, saj, če imajo še vedno vklopljeno, da se pripone za znane vrste datotek skrijejo, jih bo Raziskovalec seveda prikazal brez, a poglejmo kaj sedaj vidimo v Raziskovalcu:
seznam neplačanega računa za december 2019.pdf
seznam neplačanega računa za december 2019.doc
seznam neplačanega računa za december 2019.xls
seznam neplačanega računa za december 2019.mp3
???
slika5_Doimenovanje_exe_v_pdf_exe in pogled brez pripon za znane datoteke.JPG

V trenutku se zdijo take datoteke manj nevarne, saj ne vsebujejo končnice .exe, vidimo nenevarno končnico .pdf, a istočasno je to hudo zavajajoče in nevarno !

Zato močno in resno priporočam, da obvezno ODSTRANITE kljukico pri »skrij pripone za znane vrste datotek« !!!
Tako boste vedno videli polno ime datoteke s končnico vred.
slika6_skrij pripone za znane vrste datotek disable.JPG

Še vedno pa velja zdrava kmečka pamet in pozornost pri dvokliku na izvršljive vrste datotek.

Dolžan sem še osnovno analizo virusa, ki je skrit v programu »seznam neplačanega računa za december 2019.exe« in čaka na klik naslednjega nevedneža…
slika8_all_Trojan_eldi_seznam.jpg
Največji čar - električar
Uporabniški avatar
DusanK
 
Prispevkov: 3512
Pridružen: 18 Jan 2015, 00:43
Kraj: Medvode
Zahvalil se je: 1159 krat
Prejel zahvalo: 2002 krat
Uporabnika povabil: VolkD
Število neizkoriščenih povabil: 255

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a BojanR » 16 Jan 2020, 07:33

Sumljive datoteke sam pošljem na https://www.virustotal.com
BojanR
 
Prispevkov: 97
Pridružen: 19 Jan 2015, 18:56
Kraj: Vnanje Gorice
Zahvalil se je: 12 krat
Prejel zahvalo: 29 krat
Uporabnika povabil: forest70
Število neizkoriščenih povabil: 5

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a DusanK » 16 Jan 2020, 07:48

Oglej si zadnjo sliko, levo spodaj. ;)
Največji čar - električar
Uporabniški avatar
DusanK
 
Prispevkov: 3512
Pridružen: 18 Jan 2015, 00:43
Kraj: Medvode
Zahvalil se je: 1159 krat
Prejel zahvalo: 2002 krat
Uporabnika povabil: VolkD
Število neizkoriščenih povabil: 255

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a BojanR » 16 Jan 2020, 07:54

pa res.. :oops:
BojanR
 
Prispevkov: 97
Pridružen: 19 Jan 2015, 18:56
Kraj: Vnanje Gorice
Zahvalil se je: 12 krat
Prejel zahvalo: 29 krat
Uporabnika povabil: forest70
Število neizkoriščenih povabil: 5

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a MocnikG » 16 Jan 2020, 08:00

Jaz pa sem mislil, da bom dobil odgovor, kaj se zgodi če klikneš in zaženeš neplačane račune. :D
*Sent*from*my* iPhone.
*Sent*from*my* Linux.
*Sent*from*my* room.
Uporabniški avatar
MocnikG
 
Prispevkov: 480
Pridružen: 18 Maj 2015, 17:56
Kraj: Koroška - MB - CE
Zahvalil se je: 43 krat
Prejel zahvalo: 76 krat
Uporabnika povabil: s55ei
Število neizkoriščenih povabil: 7

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a Carko » 16 Jan 2020, 08:33

MocnikG je napisal/-a:Jaz pa sem mislil, da bom dobil odgovor, kaj se zgodi če klikneš in zaženeš neplačane račune. :D
Še en malo večji račun imaš potem za plačati :_CR
Carko
 
Prispevkov: 2148
Pridružen: 10 Jan 2015, 00:46
Zahvalil se je: 144 krat
Prejel zahvalo: 541 krat
Uporabnika povabil: Vrtni palček
Število neizkoriščenih povabil: 134

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a luccabrassi » 16 Jan 2020, 10:55

a se da kako prodret v kodo virusa tako da ga analiziraš , ( da ni black box) , primerjaš osnovno kodo , nadgrajeno kodo (različice ) , izvor?

Kako to delaš v kakšnem peskovniku ? V čem se programira C-ju ? In testira izvedba …. Kdo ve kaj več?
Moments Before Detonation .............TT
Uporabniški avatar
luccabrassi
 
Prispevkov: 892
Pridružen: 02 Jan 2016, 20:52
Kraj: KOČEVJE - IDRIJA
Zahvalil se je: 175 krat
Prejel zahvalo: 171 krat
Uporabnika povabil: VolkD
Število neizkoriščenih povabil: 86

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a jmivsek » 16 Jan 2020, 11:08

Saj vem, da me zavrnete kar koj, pa vseeno:

Najboljša preventiva proti internetnim napadom je izogibanje Windowsov v največji možni meri. V praksi to pomeni, da najbolj tvegana opravila, kot je brskanje po spletu ter e-pošta, izvajate zunaj Winsov. V njih pa poganjate samo programe, ki brez njih ne morejo.

Kako to izvedemo v praksi? Namestimo si Linux s spletnim brskalnikom ter odjemalcem e-pošte, kot je Thunderbird. Nato si na istem računalniku uredimo še virtualizacijo in pod njo namestimo ter poganjamo Winse. Le-teh lahko občasno (predvsem pred tvegano namestvijo novih programov) naredimo posnetek (snapshot) in če res pride do vdora, se enostavno povrnemo na posneto stanje.

Na tak način boste varni pred takorekoč vsem, kar preži od tam na vas, zato pogumno na to pot. Lahko pa naredimo skupno akcijo v pomoč?
Vem, da nič ne vem (Sokrat)
Uporabniški avatar
jmivsek
 
Prispevkov: 1045
Pridružen: 18 Jan 2015, 00:20
Kraj: Ajdovščina
Zahvalil se je: 1441 krat
Prejel zahvalo: 344 krat
Uporabnika povabil: S52O
Število neizkoriščenih povabil: 60

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a peterp » 16 Jan 2020, 11:25

Uporaben program na Windows sistemu naj bi bil dodaten peskovnik, kjer se poganja brskalnik in bralnik pošte - Sandboxie: https://www.sandboxie.com/
peterp
 
Prispevkov: 625
Pridružen: 23 Feb 2015, 13:52
Kraj: Maribor
Zahvalil se je: 149 krat
Prejel zahvalo: 95 krat
Uporabnika povabil: gumby
Število neizkoriščenih povabil: 97

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a MocnikG » 16 Jan 2020, 11:40

luccabrassi je napisal/-a:a se da kako prodret v kodo virusa tako da ga analiziraš , ( da ni black box) , primerjaš osnovno kodo , nadgrajeno kodo (različice ) , izvor?

Kako to delaš v kakšnem peskovniku ? V čem se programira C-ju ? In testira izvedba …. Kdo ve kaj več?


Mislim, da je to kar problem saj je program (virus) preveden skompajlan. Kako narediš decompile pa ne vem če je to čisto tako enolična preslikava. Če vzameš, da je enako pri HEX končnici nato pa greš nazaj v pretvorbo iz HEX-a v source kodo.

Recimo:
https://superuser.com/questions/282580/is-it-possible-to-retrieve-source-file-from-an-exe

jmivsek je napisal/-a:Saj vem, da me zavrnete kar koj, pa vseeno:
Kako to izvedemo v praksi? Namestimo si Linux s spletnim brskalnikom ter odjemalcem e-pošte, kot je Thunderbird. Nato si na istem računalniku uredimo še virtualizacijo in pod njo namestimo ter poganjamo Winse. Le-teh lahko občasno (predvsem pred tvegano namestvijo novih programov) naredimo posnetek (snapshot) in če res pride do vdora, se enostavno povrnemo na posneto stanje.


Sem bil sam enakega mnenja, vendar se je pogosto pojavil na takšnem računalniku problem z preslikavo USB in opstalih naprav, ki jih želiš videti v Windowsih, z Ubuntu in VirtualBox sem imel nekaj težav, da sem naredil problem rešljiv. Potem pa se je z novim updejtom VB pojavila spet težava.
Za Advanced userja, ki updejta in upgrejda tudi Host OS (Linux v tem primeru) se potem pojavijo tudi problemi s tem ko mapiraš USB in izhodne naprave na VBOX guest OS. Potem pa prideš do točke, ko samo nekaj popravljaš na 14 dni. In izgubiš voljo.
Najprimernejši način je, da paziš na končnice datotek, ki jih prejmeš, downloadaš. Saj če veš da pričakuješ sliko oz. pdf dobiš pa EXE veš da je nekaj narobe.
Če pa vseeno nisi prepričan, pa vseeno lahko narediš tako, da odpreš PDF reader iz znotraj tega skušaš odpreti datoteko. Program pa ti javi seveda, da datoteke ne moreš odpreti, če je EXE oz. zagonska. Enako storiš pri IMG viewerju. Vendar je spet loterija, lahko ja lahko ne. Najboljše pa je seveda imeti posoboljen antivirusni program stalno vžgan.
*Sent*from*my* iPhone.
*Sent*from*my* Linux.
*Sent*from*my* room.
Uporabniški avatar
MocnikG
 
Prispevkov: 480
Pridružen: 18 Maj 2015, 17:56
Kraj: Koroška - MB - CE
Zahvalil se je: 43 krat
Prejel zahvalo: 76 krat
Uporabnika povabil: s55ei
Število neizkoriščenih povabil: 7

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a luccabrassi » 16 Jan 2020, 12:36

Moments Before Detonation .............TT
Uporabniški avatar
luccabrassi
 
Prispevkov: 892
Pridružen: 02 Jan 2016, 20:52
Kraj: KOČEVJE - IDRIJA
Zahvalil se je: 175 krat
Prejel zahvalo: 171 krat
Uporabnika povabil: VolkD
Število neizkoriščenih povabil: 86

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a kobraN » 16 Jan 2020, 14:36

Sam imam nameščen Malwarebytes Premium 4.0.4 in moram priznati da bi brez njega imel računalnik že neštetokrat okužen, do sedaj mi je še vedno blokiral trojance in drugo nesnago.Kako bo ko se to ponesreči pa ne vem .Sam pa imam drugače nameščen Windows Defender zaščita ki je nameščena v Windowsih vendar bi vseeno rad namestil boljšega pa ne vem kaj namestiti da se med sabo ne bi tepli.
Brane.
Uporabniški avatar
kobraN
 
Prispevkov: 1019
Pridružen: 26 Mar 2016, 19:39
Kraj: Murska S.
Zahvalil se je: 282 krat
Prejel zahvalo: 146 krat
Uporabnika povabil: mirkatmir
Število neizkoriščenih povabil: 74

Re: Preventiva in ukrepi za manjše tveganje okužbe računalni

OdgovorNapisal/-a Carko » 16 Jan 2020, 14:55

jmivsek je napisal/-a:Saj vem, da me zavrnete kar koj, pa vseeno:

Najboljša preventiva proti internetnim napadom je izogibanje Windowsov v največji možni meri. V praksi to pomeni, da najbolj tvegana opravila, kot je brskanje po spletu ter e-pošta, izvajate zunaj Winsov. V njih pa poganjate samo programe, ki brez njih ne morejo.

Kako to izvedemo v praksi? Namestimo si Linux s spletnim brskalnikom ter odjemalcem e-pošte, kot je Thunderbird. Nato si na istem računalniku uredimo še virtualizacijo in pod njo namestimo ter poganjamo Winse. Le-teh lahko občasno (predvsem pred tvegano namestvijo novih programov) naredimo posnetek (snapshot) in če res pride do vdora, se enostavno povrnemo na posneto stanje.

Na tak način boste varni pred takorekoč vsem, kar preži od tam na vas, zato pogumno na to pot. Lahko pa naredimo skupno akcijo v pomoč?
Temu pristopu se reče Security through obscurity - varnost čez obskurnost.

Tvoj predlog zaščite temelji izključno na tem, da je Linux na namizjih manj uporabljan in zaradi tega ta trenutek ni tako zanimiva tarča za nepridiprave.
Carko
 
Prispevkov: 2148
Pridružen: 10 Jan 2015, 00:46
Zahvalil se je: 144 krat
Prejel zahvalo: 541 krat
Uporabnika povabil: Vrtni palček
Število neizkoriščenih povabil: 134


Vrni se na Operacijski sistemi

Kdo je na strani

Po forumu brska: 0 registriranih uporabnikov in 1 gost