Enda säkra sättet att scanna är att boota från en garanterat ren disk (lämpligen en CD) och göra scanningen därifrån. Naturligtvis kan man bara hitta det som scan-programmet känner igen, men illbattingsprogrammen hinner i alla fall inte gömma sig.
Edit: Någon av de här är tex bra: http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
Redigerat:
Mats, kan du ge en hint om vad du menar med rätt konfigurerad brandvägg?mats_o skrev:
Och vad är det man ska leta efter i loggen? Har försökt att tyda mina loggar men lyckas nästan aldrig, trots idogt googlande och läsande förstå dem till fullo. Är ju i och för sig på gränsen till vad jag ids lära mig... :blushing:
Med rätt konfigurerad menar jag en som bara tillåter utgående trafik till de sidor du vill kunna besöka, Detta blir dock en rätt häftig lista att underhålla men rätt vanligt på skyddade verksamheter.
När det gäller loggar så finns det inget generellt tips tror jag utan där är det mest av allt känsla för vad som är skumt
När det gäller loggar så finns det inget generellt tips tror jag utan där är det mest av allt känsla för vad som är skumt
Håller med Troberg. Forensics på en hackad dator är att boota på en annan 'ren' disk och undersöka informationen som ligger på den utsatta disken... och Mats: brandväggen, har ni möjlighet att logga utgående trafik i er firewall så låt den suspekta maskinen stå på ett dygn eller så och kolla sedan vad den försökt nå, finns inga garantier hur ofta en trojan 'ringer hem' men en gång i dygnet kan ju vara rimligt... Det man ska leta efter i firewall loggen är avvikande trafik, trafik till IPnummer/siter ni inte surfat till. Inte sällan använder trojaner/BOT-nets IRC chat. Är de lite klurigare kör de SSL/TLS och krypterar trafiken... Ni är ju inte intresserad av VAD som skickas bara att få reda på om det skickas, så leta efter suspekt trafik helt enkelt. Kanske inte är så enkelt för en lekman dock...
Men som sagts tidigare i tråden, ända chansen att vara säker på att få en ren dator är att scratcha hela maskinen och installera om...
Tips från säkerhetsklubbe : Kör ni windows, se till att ni INTE kör som administratör utan med en användare med lägre behörigheter på datorn. Kör automatic updates på OS + alla applikationer ni kan...
Men som sagts tidigare i tråden, ända chansen att vara säker på att få en ren dator är att scratcha hela maskinen och installera om...
Tips från säkerhetsklubbe : Kör ni windows, se till att ni INTE kör som administratör utan med en användare med lägre behörigheter på datorn. Kör automatic updates på OS + alla applikationer ni kan...
Här vill jag flika in en annan sak. Utan att hänga ut någon specifik leverantör så vill jag påpeka att ett rejält stort problem finns med alla dessa förinstallerade datorer som säljs. De innehåller ofta tonvis med skräp, och minst lika mycket bra-o-ha saker som användaren lika gärna kan lägga in själv vid behov.
Inte nog med att datorn segas ner ju mer man lägger på den så finns det flera säkerhetsrisker med att lägga in programmen som de gör. Den mest uppenbara ser ni nog alla, att programmens svagheter redan har upptäckts och använts till virus från det datum som det installerats på datorn tills dess att användaren kopplar upp på nätet. Inte bra.
Alla vi som dessutom programmerat vet hur stor skillnad det är att programmera något som bara ska fungera tillsammans med något enstaka annat program mot att göra något som ska fungera felfritt i ett system med precis hur många program som helst. Sannolikheten att något skiter sig ökar, det är inte så vårt att se. Säkerhetshålen och risken för dessa ökar ju mer man patchar.
Mycket av problemet ligger just i att det är mycket kod som behöver fungera tillsammans. Jämför detta med ett lapptäcke. Om en söm spricker (säkerhetshål upptäcks) och du lägger en lapp (patch/uppdatering) över hålet så är dels den totala volymen större då man täcker en söm med en hel lapp, och samtidigt är det en större söm som håller fast den nya lappen. (En större söm som lätt kan spricka, och med flera vassa hörn)
Vad drar vi för slutsats av detta? Jo, datorleverantörer som levererar sina datorer utan möjligheten för kunden att starta en helt ren dator (så som de f.ö. köpt den enligt annonsen med bara ett OS angivet) ska ha med installationsskivor utan skräpet.
Inte nog med att datorn segas ner ju mer man lägger på den så finns det flera säkerhetsrisker med att lägga in programmen som de gör. Den mest uppenbara ser ni nog alla, att programmens svagheter redan har upptäckts och använts till virus från det datum som det installerats på datorn tills dess att användaren kopplar upp på nätet. Inte bra.
Alla vi som dessutom programmerat vet hur stor skillnad det är att programmera något som bara ska fungera tillsammans med något enstaka annat program mot att göra något som ska fungera felfritt i ett system med precis hur många program som helst. Sannolikheten att något skiter sig ökar, det är inte så vårt att se. Säkerhetshålen och risken för dessa ökar ju mer man patchar.
Mycket av problemet ligger just i att det är mycket kod som behöver fungera tillsammans. Jämför detta med ett lapptäcke. Om en söm spricker (säkerhetshål upptäcks) och du lägger en lapp (patch/uppdatering) över hålet så är dels den totala volymen större då man täcker en söm med en hel lapp, och samtidigt är det en större söm som håller fast den nya lappen. (En större söm som lätt kan spricka, och med flera vassa hörn)
Vad drar vi för slutsats av detta? Jo, datorleverantörer som levererar sina datorer utan möjligheten för kunden att starta en helt ren dator (så som de f.ö. köpt den enligt annonsen med bara ett OS angivet) ska ha med installationsskivor utan skräpet.
Ett av verktygen vi använder på mitt företag är secunia. De har ett verktyg som man kan köra gratis som privatperson för att scanna sin dator och leta efter produkter som har upptäckta säkerhetshål (obs, upptäckta... 0-day hittas inte). http://secunia.com/vulnerability_scanning/personal/
edit: Vi kör alltså CSI 4 och dyligt för patchning/rapporter/undersökningar hos våra kunder... inte privatversionen då
edit: Vi kör alltså CSI 4 och dyligt för patchning/rapporter/undersökningar hos våra kunder... inte privatversionen då
Redigerat:
En annan sak att vara väldigt försiktig med är så kallade addons. Alltså program som på olika sätt ändrar spelet och gör det personligare.
Mer eller mindre alla som spelar WOW använder dessa och eftersom man laddar ner och installerar dom manuellt så händer det att man får annat med sig på köpet.
Eftersom de enbart är de som spelar som laddar hem dem är det ett perfekt ställe sätt att få in en keylogger.
Mer eller mindre alla som spelar WOW använder dessa och eftersom man laddar ner och installerar dom manuellt så händer det att man får annat med sig på köpet.
Eftersom de enbart är de som spelar som laddar hem dem är det ett perfekt ställe sätt att få in en keylogger.
Mja, de addon's som är skriva till wow, dvs ett in-game addon har inga möjligheter att "sno" lösenordet. Så de är inget problem.
Det folk däremot gör är att använda externa program (utanför wow), för att uppdatera alla sina addons, och de kan innehålla diverse skräp.
Annars så har det funnits ett flertal incidenter där reklamen på wow-relaterade siter har varit infekterad med virus och annan skadlig kod som infekterat besökarna när de surfat dit, via t.ex sårbarheter i Flash och/eller FF/IE mm mm.
Så addon's i sig är inte boven i dramat.
MIsstänker ni redan installerat om burken.
Annars är det prcis som alla säger, i denna ordningen;
- formatering
- ominstallation
- lämna Windows Firewall påslagen
- in med alla säkerhetsuppdateringar via Windows Update (eller ännu heldre Microsoft Update)
- installera antivirus, t.ex det nya från Microsoft
http://blogs.technet.com/microsoftn...crosoft-lanserar-gratis-antivirusprogram.aspx
- byt lösenord på diverse siter;
t.ex ditt mailkonto,
och givetvis på wow-europe.com,
- Därefter kan ni börja installera wow och andra program igen.
Tänk på detta, enligt en undersökning så innehåller över 80% (kanske t.o.m 90%) av alla keymakers, crack mm skadlig kod. Så det är en rätt stor risk att man blir infekterad när man kör olagliga program.
// Markus
Det folk däremot gör är att använda externa program (utanför wow), för att uppdatera alla sina addons, och de kan innehålla diverse skräp.
Annars så har det funnits ett flertal incidenter där reklamen på wow-relaterade siter har varit infekterad med virus och annan skadlig kod som infekterat besökarna när de surfat dit, via t.ex sårbarheter i Flash och/eller FF/IE mm mm.
Så addon's i sig är inte boven i dramat.
MIsstänker ni redan installerat om burken.
Annars är det prcis som alla säger, i denna ordningen;
- formatering
- ominstallation
- lämna Windows Firewall påslagen
- in med alla säkerhetsuppdateringar via Windows Update (eller ännu heldre Microsoft Update)
- installera antivirus, t.ex det nya från Microsoft
http://blogs.technet.com/microsoftn...crosoft-lanserar-gratis-antivirusprogram.aspx
- byt lösenord på diverse siter;
t.ex ditt mailkonto,
och givetvis på wow-europe.com,
- Därefter kan ni börja installera wow och andra program igen.
Tänk på detta, enligt en undersökning så innehåller över 80% (kanske t.o.m 90%) av alla keymakers, crack mm skadlig kod. Så det är en rätt stor risk att man blir infekterad när man kör olagliga program.
// Markus
Det har tagit lite tid innan vi kom dit men jo, datorn ominstalleras just nu.
Men det är mycket intressant att få er input kring vad som är riskfyllt kring WoW och andra spel. Jag har själv inte tid till att spela så jag har dålig koll på riskerna där men det är oerhört intressant läsning för systersonen. Får bara hoppas att han tar det till sig så att det här strulet inte kommer tillbaks med allt vad det innebär i arbetstid
Men det är mycket intressant att få er input kring vad som är riskfyllt kring WoW och andra spel. Jag har själv inte tid till att spela så jag har dålig koll på riskerna där men det är oerhört intressant läsning för systersonen. Får bara hoppas att han tar det till sig så att det här strulet inte kommer tillbaks med allt vad det innebär i arbetstid
Själv har jag använt Secunia OSI ganska ofta när jag hjälpt privatpersoner att kolla patchning. Den är riktigt bra även som onlinescanner. Någon som brukar använda PSI? Hur mycket skiljer OSI och PSI i vad de kontrollerar bland vanliga produkter som konsumenter använder? Hemsidan säger inte så mycket egentligen om vad som skiljer dem åt. http://secunia.com/products/consumer/compare/lt1cobra skrev:Ett av verktygen vi använder på mitt företag är secunia. De har ett verktyg som man kan köra gratis som privatperson för att scanna sin dator och leta efter produkter som har upptäckta säkerhetshål (obs, upptäckta... 0-day hittas inte). [länk]
edit: Vi kör alltså CSI 4 och dyligt för patchning/rapporter/undersökningar hos våra kunder... inte privatversionen då
Har letat efter den undersökningen men hittar inte på den igen (var nog en 6-10 månader sedan jag läste den).mrfrenzy skrev:
Tror det var Trend Micro eller Kaspersky som skrivit rapporten, men i och med att jag inte hittar den så får jag backa i mitt påstående
Man ska ta det säkerhetsföretagen skriver med en liten nypa salt. De tjänar ju trots allt grova pengar på att skrämma upp folk så att de köper mer av deras produkter.
Det har väl hänt att jag kört en eller två keymakers och jag har nog aldrig hittat något virus i dem...
Det har väl hänt att jag kört en eller två keymakers och jag har nog aldrig hittat något virus i dem...