Wirus na serwerze

[www.mzone.uk 1200]

Poczekaj na odpowiedz obsługi, zgłoszenie jest zakolejkowane.

[kafi 2425]

 

 

Ale to też można załatwić łącząc sedem czy innym ustrojstwem stringi z pominięciem znaków zdefiniowanych

No można... Tylko nie zdziw się, jak okaże się, że zajeżdżasz maszynę grubą analizą każdego z pliczków.

A wystarczy zrobić coś takiego:

 

 

//$s_func="cr"."eat"."e_fun"."cti"."on";
$abc = 'abcdefghijklmnopqrstuvwxyz';
$s_func = $abc{2} . 'r' . $abc{4} . $abc{0} . 't' . $abc{4} . '_' . 'function';

 

Tego function już mi się nie chciało kodować. Wtedy i wszelakie sedy na nic się zdadzą.

A wbrew pozorom to co wymieniłem, to częsta technika maskowania takich szkodników

[Gość Progruś27]

To co ty chcesz zrobić zamaskować wirusa . Pewnie dobry pomysł niech się rozmnażają. Sama analiza zajeżdża maszynę ciekawe. Jak ci się nie chce kodować czemu dajesz bezsensowny post lubisz tak nabijać posty ?

[kafi 2425]

 

 

czemu dajesz bezsensowny post lubisz tak nabijać posty

Chcę po prostu uzmysłowić, że przy dzisiejszych technikach maskowania się owych wirusów (branych z praktycznej ich analizy, nie teoretyzując z kosmosu) szkoda marnować raz, że swojego czasu na pisanie automatu, dwa że mocy obliczeniowej na szukanie wiatru w polu.

 

 

 

Sama analiza zajeżdża maszynę ciekawe.

No niestety. Bo każdy, nawet najdurniejszy plik trzeba z dysku otworzyć, załadować najlepiej do pamięci, przeciosać wieloma wyrażeniami regularnymi mielącymi to i owo (a często nawet wycinającymi jakieś przecinki, apostrofy itp.), a to niestety obciąża trochę podsystem i/o.

[Pan Kot 1535]

@kafi

Ale czy ja gdzieś napisałem, że istnieje automatyczna metoda, która wykryje dowolnego wirusa X i go przemieli?

 

Ja dałem przykład, ot zwykły przykład napisany w ciągu pół minuty, który może (ale nie musi) pomóc w poszukiwaniach. Nie wiemy ani w jaki sposób wirus się dostał, ani to w jakiej postaci się dołączył. Wbrew pozorom lepiej napisać coś takiego prostego, kliknąć i trzymać kciuki "a nuż znajdzie" niż udowadniać, że to nie ma sensu .

 

Pewnie, że wszystko się sprowadza do manualnego zrobienia, ale czasem można sobie nieco ułatwić życie .

[Gość Progruś27]

@kafi

 

Czyli rozumiem że jeśli Ty masz wirusa na kompie maskujesz go zamiast usunąć ? To nawet nie chce wiedzieć jaki ty masz syf. Rozbawiłeś mnie tym . Może poradz koledze @patryk0493 niech wyłączy firewalla, antiwirusa, zaporę i niech wszystko maskuje .

 

@Archi

 

Można ale nie znając wirusa trzeba to robić z głową nie robić to co przyjdzie pierwsze do głowy.

 

A jeśli mam rację że został dodany kod w JavaScript bardzo częsty przypadek. Wystarczy go znaleźć

[kafi 2425]

 

 

Czyli rozumiem że jeśli Ty masz wirusa na kompie maskujesz go zamiast usunąć ? To nawet nie chce wiedzieć jaki ty masz syf. Rozbawiłeś mnie tym

Ja o gruszce, ty o pietruszce...

Chodzi mi tylko o sensowność pisania bezsensownych IMO skryptów.

Jeśli będę chciał sobie szukać prymitywów w stylu jawnego base64_decode albo eval,

to odpalę MC i tam w szukajce wybiorę szukanie po zawartości.

Ba, jak coś znajdze, to po wciśnięciu F3 na nazwie pliku od razu przeniesie mnie do danej linijki

Więc pytanie - po co tracić czas, żeby do tego skrypt pisać?

 

Dodatkowo podałem, że teraz to właściwie rzadko który wirus jawnie to base64 czy inne ciągi po których można szukać umieszcza. Pisanie do nich automatów także jest bez sensu, bo techniki maskowania co kod to są inne i coraz bardziej zawiłe. Więc po prostu szybciej IMO jest przejrzeć ręcznie pliki, które odbiegają dosyć mocno datą modyfikacji od całej reszty i poszukać (nawet scrollując owy plik) jakiegoś podejrzanego wg nas kodu.

 

Można jeszcze zapuścić ClamAV, który co nieco też potrafi wykryć.

[Gość Progruś27]

Po prostu nie ufam programom.

 

Widocznie nie potrafisz czytać z zrozumieniem.

A o czym ja piszę od samego początku aby sprawdzić pliki ręcznie.