Próbálok rövid lenni. Akit csak az érdekel hogyan távolítsa el az görgessen a bejegyzés aljára.
Egy szép napfényes délután leülök a gép elé és látom, hogy egy osztálytársam küldött nekem egy linket meg egy szívecskét. Meg még egyszer ugyanezt. A link a http://jrWebDesigners.us/banners/jenny18.zip fájlra mutatott. A szív meg egy (L) volt.
Ez két okból volt gyanús. Ilyen linket nem szokás küldeni a másiknak. Se nem zip-fájlt se nem /banner/valami fájlt. Másrészt a szív is gyanús volt. Visszakérdeztem, vírust kaptál? Megkérdezte, hogy én?. Fogalma sem volt miről beszélek. Még gyanúsabb. Bekopipészteltem az üzenet előzményket. Ja, igen más is mondta. A gyanú beigazolódott. Kapott egy vírust, ami az msn-es partnereknek jenny18.zip letöltésként reklámozza magát. Ősi román szokás. [Épp az imént jelentkeztem be, hát nem megint kaptam egy vírusüzenetet?!]
Akkor Vindózt használtam, így érthető módon nem kísérleteztem a vírussal. Addig mentem, el, hogy böngészőbe megnéztem, beírtam az url-t, valóban zip fájl, nem, nem kívánom menteni. Kiírtam msn-re, hogy a […]/jenny18.zip fájl egy vírus; nemérdemesmegnyitni. Gondoltam ez triviális, hiszen a szimptómákat ismerjük. Irreleváns link-url + irreleváns szivecske. Vagy “LOL”. De ma megint kaptam ilyen üzenetet, csak mástól. Ez már annyira felcsigázta kíváncsiságom, hogy egyszerűen meg kellett néznem mi ez a vírus.
A védekezés [mindig, mindenhol] fontos dolog. Ezért óvatosan láttam hozzá. Előszöris átmentem linuxra. Tudjátok, az is olyan mint a vindóz, programok futnak benne csak más a neve és nincs benne Paint. Letöltöttem a zip-fájlt. Remegő kézzel megnyitottam. Egy IMG_0123.scr fájl van benne. Elmosolyodok. Arra gondolok, hogy vannak akik ezt az olcsó trükköt beveszik. Képfájlnak álcázott képernyővédőnek álcázott vírus. IMG_blabla=kép, .scr=képernyővédő. Feltöltöttem a VirusTotal-ra.
Itt vannak a virológiai eredmények. Siralmasak. Jóformán csak a fizetős vírusírtók ismerték fel. A közös nevező az nagyjából az, hogy Trójai vírus, méghozzá a Dropper.
Végülis túléltem. Csak az érdekesség kedvéért itt van nektek a jrWebDesigners.us főoldaláról egy screenshot. Minőségi oldal. Tippem szerint ’96-os évjárat.
Ez a gyors leírás nagyjából minden vírusra vonatkozik.
- Indítsuk újra a gépet safe-mode-ban (ált. indításkor kell rögtön a bekapcsolás gomb után F8-at nyomni és a rendszermenüből kiválasztani a megfelelő opciót)
- Nyissuk meg kedvenc vírusírtónkat
- Frissítsük a definíciókat
- Futtassuk le a vírusírtót
- És töröljünk minden fertőzött fájlt
Segíthet még ez a google keresés link is. Vagy ha még kell segítség akkor írj egy hozzászólást. Milyen géped, vírusírtód van, és milyen vírust kaphattál…
Tanulság
Soha a büdös életbe’ ne nyiss meg gyanús fájlokat, még ha jóisten küldte se. Gyanús az, amit nem várnál a bizonyos feladótól. Ha mégis letöltötted, és nem olyan fájl amiről biztosan tudod, hogy nem fertőzött (kép, videó, txt, html, de ezekkel sem árt vigyázni…) akkor ne nyisd meg. Ha csak egy kicsit is gyanús valami: ellenőrizd. Ajánlom a VirusTotal.com-ot.
Ez aranyos, és tanulságos mese volt…. aki nem hiszi járjon utána, és nyissa meg a jenny18.zip fájlt 😀
Egyszer volt hol nem volt, voltam és volt egy jenny18.zip fájl. Letöltöttem, megnyitottam, NOD32 előbújt a barlangjából és leüvöltötte a vírust. A vírus meghalt, temetést nem rendeztek neki, a NOD32 pedig visszabújt a barlangba és megkért engem, ne zargassam mégegyszer.
Ha megnézeted a VirusTotal-os statisztikát, akkor a NOD32, azon kevés vírusírtók egyike volt, amelyik felismerte, mint vírus.
Jóformán az összes ilyen vírusírtó fizetős.
Áááá, nem hiszem el.
Pont ezt a vírust sikerült bekajálnom egy olyan ismerőstől aki amúgyis olyan flúgos, küldözget minden hülyeséget (vírust eddig nem).
Lényeg: NOD32 nem szólt bele ! Csodálkoztam is rendesen.
Egyébként wkssvr.exe néven fut a fertőzést okozó fájl, ezt töröltem, azóta nem jelentkeznek a tünetek.
Fontos csökkentett modba lenni a virusirtáshoz ???
Elég butaságokat írkálsz itt. A Linux nem csak azért linux, mert másképp néz ki, és más neve van az ottani programoknak. Nem tudom miért remegett a kezed, egy W32 vírustól, linux alatt.
A Másik. Ezt a fost egyenlőre (December, 2007) semmi nem észleli, és írtja, kivétel a panda, és a sophos. f-prot, f-secure, norton, nod32 észre se veszi, se a spyware-k szóval nem egyszerű leszedni…
Hali.
Éjjel 3kor kaptam a linket és álmosan rányomtam, aztán mikor láttam a file méretett gyorsan le is töröltem. Az lenne a kérdés, hogy ha nem nyitom meg akkor nem kapom el a virust?
A Nod32 nem tallált semmit, feltélezem, ha nem nyimtom meg a filet nem lehet elkapni?
DartWather, vedd ezt egy költői szófordulatnak. Nagyon is jól tudom, hogy a vírusok kilencvenakárhány százaléka win32-n kívül ártalmatlan. És azt is tudom, hogy nem csak a “start menü” más *nix alatt.