Winguider - delad tråd

[Cecilia]

Detta hindrar från 85 till över 90% av alla smittor från att bita sig dast i din dator!

Du har skrivit det många gånger men det enda underlag du har kunnat ge för det är en undersökning som handlar om exploits av säkerhetshål i Microsoft-program, vilket fortfarande är en helt annan sak. Se t ex:

//eforum.idg.se/topic/326879-formateras-alla-win-lika/page__view__findpost__p__1529880

//eforum.idg.se/topic/223596-virusvarning-som-visar-pa-samma-angrepp-men-inte-forsvinner/page__view__findpost__p__1113659

 

Dessutom gällde undersökningen 2008 och de skadliga programmen har utvecklats sedan dess eftersom de har anpassats till att undvika UAC-frågor.

Recently we discovered a newer variant of the threat, Backdoor.Conpee, which infects both 32-bit and 64-bit Windows operating systems. It does not infect drivers, only system DLLs, using the same added import technique. What is also interesting about this threat is that it does not require any privileges to run under Windows 7, as it uses a proof-of-concept exploit—publicly available and known since 2009—that can elevate the privileges of any restricted process to Administrator level without the user’s permission or interaction. The latest fully patched and updated version of Windows 7 is still vulnerable to this exploit.

http://www.symantec.com/connect/blogs/64-bit-system-driver-infected-and-signed-after-uac-bypassed

 

medans ett virusskyddsprogram mest motarbetar kända smittor!

Antivirusprogram har visserligen bättre detektering av kända skadliga filer men deras detekteringsförmåga av nya skadliga filer är numera mycket hög, se t ex resultaten för den proaktiva detekteringen på http://www.virusbtn.com/vb100/rap-index.xml som ligger på uppe på ungefär 90% för de bästa programmen.

[WinGuider.se]

Du har skrivit det många gånger men det enda underlag du har kunnat ge för det är en undersökning som handlar om exploits av säkerhetshål i Microsoft-program, vilket fortfarande är en helt annan sak. Se t ex:

http://eforum.idg.se...ost__p__1529880

http://eforum.idg.se...ost__p__1113659

 

Dessutom gällde undersökningen 2008 och de skadliga programmen har utvecklats sedan dess eftersom de har anpassats till att undvika UAC-frågor.

http://www.symantec....er-uac-bypassed

 

Antivirusprogram har visserligen bättre detektering av kända skadliga filer men deras detekteringsförmåga av nya skadliga filer är numera mycket hög, se t ex resultaten för den proaktiva detekteringen på http://www.virusbtn....0/rap-index.xml som ligger på uppe på ungefär 90% för de bästa programmen.

 

Då skall vi se vad vi hittar för stöd att en icke admininloggning hindrar 85 till över 90% av alla smittor från att bita sig fast i en dator!

 

Vi börjar med att besöka microsoft Security Portals länk för "Active malware" Dvs. smittor som för närvarande finns i omlopp! http://www.microsoft.com/security/portal/Threat/Views.aspx

　

Vi börjar med listan: MSRT top threats då dessa är de smittor som MSRT upptäckt på flest datorer!

 

1: Trojan:DOS/Alureon.A som saknar delaljerad information men då smittan är en variant av alureon så tittar vi på den: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fAlureon

 

Det 1:a vi ser är att den försöker ändra på en registernyckel: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters

Detta TILLÅTS INTE smitta att göra ifall du är inloggad som användare, Så där har smittan gått bet! (Är du inloggad som admin sker ovan registerändring helt omärkligt för dej som är inloggad!)

 

Sedan försöker den modifiera registret igen: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces. Men även det misslyckas om användaren är "icka administratör"

sedan KAN smittan försöka ändra i rasphone.pbk som ligger i inloggad användares Application Data-mapp! Detta kan smittan lyckas med även om du är användare!

 

Sedan försöker smittan köra dessa kommandon:

ipconfig.exe /flushdns

ipconfig.exe /registerdns

ipconfig.exe /dnsflush

ipconfig.exe /renew

ipconfig.exe /renew_all

 

Detta har den ingen nytta av då smittan INTE lyckats ändra DNS-informationen då HKLM-delen av registret inte är redigerbar för en icke administratör! Så dessa gör ingen skillnad!

 

Sedan försöker smittan kopiera in en fil med slumpmässigt namn till "Windows system mapp, Och som alla vet tillåts inte en icke administratör att skriva in filer i systemmappar så t.o.m. där går smittan bet, så länge du inte är inloggad med administrativa behörigheter!

Sedan försöker smittan injicera kod till "lokala processer", något smittan inte heller kan då en icke administratör inte har behörighet till detta! Så även detta misslyckas!

 

Vidare försöker smittan skriva till HKCR (Classes ROOT som är en blandning av info från HKLM och HKCurrent User) så detta KAN ev. lyckas, i 30-50% av fallen (motsv. nycklar måste finnas på BÅDA ovan platser för att HKCU skall gälla!)

 

Men då informationen den skriver troligtvis härrör tillde FILER som smittan kopierat in, men inte kunnat då användaren saknat behörigheter, så finns inte något att "peka till" via registerändringarna! Så även där går smittan bet!

 

Sedan insamlar smittan användarens surfhistorik genom att hämta in URLar från användarens Webbläsarhistorik! Detta lyckas smittan med!

 

sedan skapar smittan ett registervärde i HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion, som den givetvis misslyckas med då användaren saknar behörighet till detta! Vidare försöker smittan skapa en fil med slumpmässigt namn i Windows systemmapp. Något den misslyckas med då en icke Administratör saknar behörighet till detta! Så även där går smittan bet! Tack vare att du är inloggad som användare!

 

Därefter försöker smittan skriva in länkar till ovan filer (som inte finns) till HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Vilket även det misslyckas då en icke administratör inte får skriva eller ändra i denna del av registret!

 

Nästa händelse är lite intressant, som jag tolkar informationen så raderar smittan slänkarna till sina egna startfiler (vilket måste ske direkt efter uppstart!) Detta för att "dölja sig" för ev. rensningsförsök etc.!

 

Notera här att smittan INTE hade kunnat startas efter en omstart, då INGA kopior av smittan hittills har tillåtits sparas på er dator! Men trots det så fortsätter vi analysen då vi vill se VAD smittan hade gjort och om det tillåtits utföra dessa händelser!

 

När det är klart så startar smittan den webbläsare som är satt som "standardwebbläsare"och injicerar sin kod till dennes processer, även detta misslyckas då en icke användare saknar behörighet till detta! Om man är icke admin!

 

Därefter startar smittan explorer.exe (som är såväl skrivbordet som utforskaren) för att injicera sin kod till även denna process! Men då inte en vanlig användare har behörighet till dito så misslyckas även detta!

Därefter försöker vissa varianter infektera vissa drivrutiner för hårddisken, vilket tyvärr ofta skadar drivrutinen så den inte längre fungerar, Men är ni inloggade som användare så tillåts inte denna infektering heller så to.m. det misslyckas!

Andra varianter försöker sedan inaktivera ev. proxy-inställningar i IE, vilket kan lyckas på användarnivå! Men då privatpersoner sällan använder en proxy hemma så finns det inte mycket att inaktivera!

 

Som sagt Av (om jag räknat rätt) 16 olika saker smittan försöker göra så lyckas INGEN AVGÖRANDE händelse! Smittan "fungerar" därmed inte i en dator om ni loggat in som användare. En omstart och ev. processer som körs i minnet försvinner!

 

Av dessa 16 händelser lyckas smittan med 2 saker: 1: köra ipconfig, dock till ingen nytta! 2: Samla in användarens surfhistorik!

Vilket är rena bagatellerna jämfört med om användaren loggat in som Amdinistratör!

 

Och för att rensa bort smittan hade ett kommando behövst utföras. Starta om datorn!

 

Att rensa bort en Alureon-smitta från en dator vars användare var administratör hade krävt betydligt mycket mer arbete, speciellt med tanke på att smittan injiceras sin kod till massor av filer och ev. lyckas förstöra en drivrutin för hårddisken!!

Så ja! Här hade en icke admininloggning hindrat över 90% av smittans skadeverkan!

 

[WinGuider.se]

Du har skrivit det många gånger men det enda underlag du har kunnat ge för det är en undersökning som handlar om exploits av säkerhetshål i Microsoft-program, vilket fortfarande är en helt annan sak. Se t ex:

http://eforum.idg.se...ost__p__1529880

http://eforum.idg.se...ost__p__1113659

 

Dessutom gällde undersökningen 2008 och de skadliga programmen har utvecklats sedan dess eftersom de har anpassats till att undvika UAC-frågor.

http://www.symantec....er-uac-bypassed

 

Antivirusprogram har visserligen bättre detektering av kända skadliga filer men deras detekteringsförmåga av nya skadliga filer är numera mycket hög, se t ex resultaten för den proaktiva detekteringen på http://www.virusbtn....0/rap-index.xml som ligger på uppe på ungefär 90% för de bästa programmen.

 

Vi fortsätter besöket hos microsoft Security Portals länk för "Active malware" Dvs. smittor som för närvarande finns i omlopp! och som innan väljer vi MSRT top threats Denna gång nr: 3 i ordningen: (missade nr: 2, men den kommer strax!)

 

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanProxy%3aWin32%2fPramro.F

 

Denna smitta installerar en "proxy" på den smittade datorn, Detta gör att virusmakaren kan "surfa via den smittade datorn på samma sätt som vissa använder proxytjänsten TOR etc. Dvs. man döljer sina förehavanden bakom en annans ip-adress för att andra inte skall kunna spåra illbattingen lika lätt!

 

Av informationen under "Installation" så tolkar jag det som att smittofilen körs från den plats den exekveras från! Vilket den tillåts göra även om du är inloggad som användare!

 

Men det 1:a smittan försöker göra är att ändra inställning för Windowsbrandväggen så att den inte hindrar smittans exekvering. Detta genom att redigera HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List och då HKLM inte är redigerbar för en icke admin, så misslyckas smittan med detta och därmed kommer windows brandväggen att blockera smittans åtkomst till internet! eller extern åtkomst till smittan! Så här går smittan bet!

 

Smittan försöker sedan kontakta en lista av webbplatser, Då windowsbrandväggens konfiguration misslyckades så förhinsdras detta. Här går smittan bet!

 

Smittan skall sedan försöka skicka ett antal HTTP GET-kommandon till ett par ipadresser, och även hör går smittan bet!

 

Vidare försöker smittan öppna ett antal portar för extern åtkomst, och då en icke admin INTE tillåts utföra dessa öppningar så går smittan bet även här!

Denna smittas framfart hindras även den till mer än 90% av en icke administratörs-inloggning! En simpel omstart av datorn hade rensat bort den del av smittan soom ev. körs i minnet! En administratörsinloggning hade gett smittan rätt att utföra 100% av allt den ville!

 

[WinGuider.se]

Ja, men oavsett om det bara gäller lösenord eller även annan personlig information så är det ointressant när man ska välja antivirusprogram till datorn och det är ämnet för denna tråd.

 

Jag har ingen smartphone, alldeles riktigt, men försök hålla dig till ämnet för tråden.

 

Cecilia

Moderator

 

Då skall vi se vad vi hittar för stöd att en icke admininloggning hindrar 85 till över 90% av alla smittor från att bita sig fast i en dator!

 

Vi fortsätter besöket hos microsoft Security Portals länk för "Active malware" Dvs. smittor som för närvarande finns i omlopp! och som innan väljer vi MSRT top threats Denna gång nr: 2 i ordningen:

 

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader%3aWin32%2fPluzoks.A

 

Detta är en trojan som i smyg installerar andra program på den smittade datorn! Vilket troligtvis även det rör sig om smittor i en eller annan form!

 

Det 1:a smittan försöker göra när den exekveras är att redigera en registernyckel:

HKCU\Software\Microsoft\windows\currentversion\run Detta tillåts smittan ÄVEN om du är inloggad som användare! Så här läggs en "pekare" till den smittade filen, så att smittan aktiveras varje gång som datorn startas!

 

Därefter försöker smittan kopiera in en fil på två platser 1: till Windows/Temp-mappen. En mapp som en användarehar skrivrätt till så här går lyckas smittan!

2: till den folder som smittan körs ifrån! (Det anges tyvärr inte vilken?)

 

Därefter kontaktar smittan en webbplats för att både rapportera "hem" till virsmakaren och för att hämta fler program att installera etc.

 

Så den här smittan KAN installeras även om man loggar in utan administrativa behörigheter! Dock så drabbar smittan endast den för närvarande inloggade användaren, Alla andra användare (som har egna konton) slipper denna smitta!

 

Hur det är med de "program" som smittan laddar mer beror på! Kräver dessa att filer skrivs till program eller systemmappar så misslyckas dessa installerioner. Detsamma gäller alla registerändringar som hade gällt hela datorn (=HKLM) och datorns alla användare.

Smittans inverkan hade endast påverkat inloggad användare! och är relativt lätt att rensa bort!

[WinGuider.se]

Du har skrivit det många gånger men det enda underlag du har kunnat ge för det är en undersökning som handlar om exploits av säkerhetshål i Microsoft-program, vilket fortfarande är en helt annan sak. Se t ex:

http://eforum.idg.se...ost__p__1529880

http://eforum.idg.se...ost__p__1113659

 

Dessutom gällde undersökningen 2008 och de skadliga programmen har utvecklats sedan dess eftersom de har anpassats till att undvika UAC-frågor.

http://www.symantec....er-uac-bypassed

 

Antivirusprogram har visserligen bättre detektering av kända skadliga filer men deras detekteringsförmåga av nya skadliga filer är numera mycket hög, se t ex resultaten för den proaktiva detekteringen på http://www.virusbtn....0/rap-index.xml som ligger på uppe på ungefär 90% för de bästa programmen.

 

 

Då skall vi se vad vi hittar för stöd att en icke admininloggning hindrar 85 till över 90% av alla smittor från att bita sig fast i en dator!

 

Vi fortsätter besöket hos microsoft Security Portals länk för "Active malware" Dvs. smittor som för närvarande finns i omlopp! och som innan väljer vi MSRT top threats Denna gång nr: 4 i ordningen:

 

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fDorkbot.A

 

Smittan sprids via "instant messaging" samt via flyttbara enheter (usb-pinnar/diskar etc) via "autorun.inf" som numera är hindrad från autostart i såväl XP som Windows 7 (och då troligtvis även i Vista!) Vare sig du är admin eller ej!

 

Då spridningsmetoden är blockerad skippar jag denna smitta! Som f.ö. även den försökte injicera kod till olika processer, något som inte tillåts om användaren är just användare!

 

[WinGuider.se]

Du har skrivit det många gånger men det enda underlag du har kunnat ge för det är en undersökning som handlar om exploits av säkerhetshål i Microsoft-program, vilket fortfarande är en helt annan sak. Se t ex:

http://eforum.idg.se...ost__p__1529880

http://eforum.idg.se...ost__p__1113659

 

Dessutom gällde undersökningen 2008 och de skadliga programmen har utvecklats sedan dess eftersom de har anpassats till att undvika UAC-frågor.

http://www.symantec....er-uac-bypassed

 

Antivirusprogram har visserligen bättre detektering av kända skadliga filer men deras detekteringsförmåga av nya skadliga filer är numera mycket hög, se t ex resultaten för den proaktiva detekteringen på http://www.virusbtn....0/rap-index.xml som ligger på uppe på ungefär 90% för de bästa programmen.

 

 

 

Vi fortsätter besöket hos microsoft Security Portals men då Alureon dyker upp igen så hoppar till till t.ex. Top adware/spyware och den översta:

 

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Backdoor%3aWin32%2fIRCBot.gen!K

 

Denna smitta försöker öppna upp en "bakdörr" in till den smittade datorn så virusmakaren etc. kan komma åt datorn på distans!

 

Det 1:a smittan försöker göra är att kopiera in en fil (kopia av smittan) till Windows systemmappar! Direkt går smittan bet om användaren är Användare, så behörighet för dito saknas! Är du inloggas med ett administratörskonto finns inget som hindrar smittan (mer än ev. ditt virusskydd!)

 

Så resterande händelser hade aldrig lett till någonting i användarens dator!

 

smittan försöker skriva till 2 platser i HKLM, Här går smittan bet då en användare inte har behörighet till detta!

 

1 gång till HKCU detta tillåts, men då filen som registerändringrn pekat på intehar kunnat kopieras in, så går smittan bet även har! Om du är användare!

 

Smittan försöker sprida sig till andra system bl.a genom att utnyttja svaga lösenord och vissa sårbarheter (Dock inga Nolldagars sårbarheter så vitt jag kan förstå!)

 

OM er brandvägg tillåter okända filer att kommunicera med internet, eller ni saknar aktiv brandvägg så försöker smittan kontakta ett par webbplatser!

 

Gör den det så finns en pågående session vilket innebär att trafik tillåts till smittan som därmed kan styras från webbplatsen!

 

Och smittan kan ladda ner fler smittor, uppdatera sig, skicka ut ev. information osv..

 

Men som vanligt! Är ni Administratörer på er dator så har denna smittan installerats och fungerar även efter omstart!

 

Är ni Användare så fungerar smittan (den körs " i minnet") tills ni stänger av eller startar om datorn, Sedan är den borta!

 

Så även här har en icke admin-inloggning räddat er dator, även om ert virusskydd t.ex. inte var uppdaterat!

 

 

Så kort sagt!

En användarinloggning hindrar alla smittor som kräver tillgång till C:\program (files), Systemmappar eller registrets maskinspecifika registerdelar..

och ALLA som arbetar med virusskydd och smittorensningar vet att i 9 fall av 10 så finns smittofilerna i Windows systemmappar, programmappar och att ev. smittorelaterade registerändringar återfinns under HKLM-delen av registret!

Dessa delar har en användare inte behörighet att skriva till! och det är ytterat få smittor som använder ev. sårbarheter!

enligt http://download.micr..._11_English.pdf på sidan 10 visas att mindre än 1 % av alla smittor utnyttjar sk: Noll dagarssårbaeheter! (dvs. okända sårbarheter som det inte finns en patch för ännu!)

Totalt är det drygt 5% av alla smittor som på ett eller annat sätt använder någon sårbarhet så risken att drabbas av en sådan är relativt liten!

Av dessa dryga 5% utgörs största delen dessutom av sedan LÄNGE patchade sårbarheter så alla som uppdaterar sina datorer automatiskt via t.ex. Windows update är starkt skyddade i dessa fall! (De med Pirat-Windows ligger sämre till då de inte vågar installera uppdateringar automatisk!)

Har man automatisk uppdatering av JAva och flach etc. så är man ännu säkrare, då dessa står för den absoluta merparten av alla sårbarheter!

Och JA! dessa fungerar utmärkt, iallafall i WinGuider-installationer, då man får upp en notis om ny uppdatering som jan accepterar, skriver in PC-adminkontots lösenord och uppdateringen installeras! Man kan t.o.m se att uppdateringen signerats av adobe etc.!

 

Så JA! En icka administratörsinloggnin hindrar generellt sett minst 85% till över 90% av alla smittor din dator kan stöta på!

Detta helt UTAN virusskyddets hjälpande inverkan! Lägg till ett virusskydd (som ALLA alltid skall ha) så är du ännu mer skyddad!

 

Och att du hindrar så många smittors framfart, är något virusskyddsföretagen håller riktigt tyst om, då de är rädda att stora massa nöjer sig med det skyddet och låter bli att köpa virusskydd! De vill ju tjäna sina pengar i fred!

WinGuider.se påtalar dock detta högt och tydligt för att sprida denna kunskap!

Frågar man vilken kompetent säkerhetsperson somhelst så är en icke admin-inloggning det absolut 1:a steget i säkerhetsarbetet!, Först därefter tar man till olika programvaror och metoder!

 

 

 

PS! Det jag påpekat om hur sårbarheter går att utnyttja är, som du förstår, en separat positiv fördel du får om du loggar in som användare! DS!

[WinGuider.se]

Dessutom gällde undersökningen 2008 och de skadliga programmen har utvecklats sedan dess eftersom de har anpassats till att undvika UAC-frågor. http://www.symantec....er-uac-bypassed

 

Du blandar ihop flera saker!

Och ÄR du inloggad som administratör är det otroligt mycket lättare att "lura" UAC. Speciellt då ALLA (100%) smittor tillåts installera sig och arbeta helt ostört!

 

Är du inloggad som användare och dessutom har satt UAC till att fråga om det separata Administratörskontots lösenord, så är det otroligt svårt för smittor att kringå UAC! Extra speciellt i dessa fall få smittorna inte ens tillåts arbeta ifred, eller kan installera sig till din dator!

 

Det är därför WinGuider.se alltid rekommenderar folk att skapa ett Adminkonto i installationens slutskede och installera klart alla program osv. innan de skapar vanliga användarkonton till datorns användare! och att sätta UAC till att fråga efter det dedikerade Adminkontos lösenord!

 

Att hindra smittor från att bita sig fast i en dator via icke admininloggning är en sak!

Att detta ÄVEN hindrar utnyttjandet av mer än 75% av alla Windows sårbarheter och hela 100% av t.ex. alla internet explorer sårbarheter är en extra fördel! Men den är inte inräknad i smittoblockeringen som jag nämnde ovan!

9 av 10 smittor kräver fortfarande att användaren har admin--behörigheter för att kunna kopiera in filer i Windows system och program mappar samt för att skriva till registrets maskin-del HKLM. Utan denna behörighet hindras 9 av 10 smittor från att "fastna"

 

Så blanda inte ihop olika delar av säkerheten, det förvirrar bara för en läsare!

[Cecilia]

Ovanstående är utbrutet ur tråden //eforum.idg.se/topic/335319-antivirus/ där det började som ett svar på inlägget //eforum.idg.se/topic/335319-antivirus/page__view__findpost__p__1573823

 

Cecilia

Moderator

[Cecilia]

Man kan inte plocka ut delar av skadliga program på det sättet. Antivirusprogrammen har ju olika benämningar på olika filer i ett skadligt program.

 

"Internet Security" har varit ett väldigt vanligt skadligt program i Eforum med fler ställen de senaste två månaderna.

Associated Internet Security 2012 Files:

 

%CommonAppData%\isecurity.exe

%Desktop%\Internet Security 2012.lnk

%Desktop%\Internet Security.lnk

 

...

 

Associated Internet Security 2012 Windows Registry Information:

 

HKEY_CURRENT_USER\Software\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Internet Security 2012"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Internet Security"

http://www.bleepingcomputer.com/virus-removal/remove-internet-security-2012#files

 

Generellt är Microsofts Encyclopedia-sidor dåligt uppdaterade och informationen i dem räcker inte på långa vägar för att rensa en dator på skadliga filer. De verkar skrivas för den första varianten av någon skadlig fil och uppdateras sällan när det kommer nya varianter som t ex lägger filer på andra ställen eller använder andra registernycklar. Dessutom har många skadliga program alternativ inbyggda så att om det inte går att lägga en fil i en Windows-mapp eller skriva till HKLM så läggs filen i en användarmapp resp. HKCU används i stället. Microsofts beskrivningar saknar ofta sådana alternativa vägar eftersom de bara verkar kolla vad som händer när man infekterar datorn från en admin-konto.

 

MSRT är ju ytterst begränsat i vad det kan upptäcka och statistik från det säger ju inget om vad som är vanligast i hemanvändares datorer. Det är ju t ex stor skillnad på de två tabellerna "MSRT top threats" och "Top desktop threats". Den senare listan toppas av Conficker som endast är problem om man inte har uppdaterat Windows, vilket numera är ovanligt. Däremot så är det ytterst vanligt att det finns ouppdaterade Flash, Java och/eller Adobe Reader i infekterade datorer. Jag har inte stött på någon Conficker-infekterad dator i något av alla de forum jag besöker sedan våren det skrevs mycket om den i tidningar.

 

Överhuvudtaget verkar alla sidorna du länkar till vara gamla, någon är från i höstas medan de andra är äldre, ett par t o m närmare två år. Skadliga program är definitivt inte detsamma efter så lång tid.

 

Denna smitta installerar en "proxy" på den smittade datorn, Detta gör att virusmakaren kan "surfa via den smittade datorn på samma sätt som vissa använder proxytjänsten TOR etc. Dvs. man döljer sina förehavanden bakom en annans ip-adress för att andra inte skall kunna spåra illbattingen lika lätt!

Nej, syftet är att den normala användaren av datorn ska surfa via en proxy så att de kriminella får kontroll över internetanvändningen, vanligen genom att webbsidor med reklam kan visas så att de kriminella tjänar pengar.

 

Dock så drabbar smittan endast den för närvarande inloggade användaren, Alla andra användare (som har egna konton) slipper denna smitta!

Min erfarenhet är att hemdatorer oftast endast har ett användarkonto.

 

Smittan sprids via "instant messaging" samt via flyttbara enheter (usb-pinnar/diskar etc) via "autorun.inf" som numera är hindrad från autostart i såväl XP som Windows 7 (och då troligtvis även i Vista!) Vare sig du är admin eller ej!

Instant messaging har inget med autorun att göra. Enligt webbsidan även:

We have received reports from the wild that this worm may be distributed from compromised or malicious websites utilizing PDF exploits or particular browser exploits.

 

Är du inloggad som användare och dessutom har satt UAC till att fråga om det separata Administratörskontots lösenord, så är det otroligt svårt för smittor att kringå UAC!

Trojaner innebär ofta att det är något som folk installerar med vilje.

[Cecilia]

Trojan:DOS/Alureon.A som saknar delaljerad information

Nej, den finns här: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aDOS%2fAlureon.A och det är en väldigt annorlunda beskrivning.

 

Vi fortsätter besöket hos microsoft Security Portals men då Alureon dyker upp igen så hoppar till till t.ex. Top adware/spyware och den översta:

Alureon.E är annorlunda än Alureon.A och väldigt annorlunda mot den generella Alureon-beskrivningen du länkade till.

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aDOS%2fAlureon.E

 

Det 1:a smittan försöker göra är att kopiera in en fil (kopia av smittan) till Windows systemmappar! Direkt går smittan bet om användaren är Användare, så behörighet för dito saknas!

Observera att det står "typically copies". Backdoor:Win32/IRCBot.gen!K är en mycket generell benämning och omfattar en hel familj av olika typer av skadliga filer som har olika beteenden. En nästan två år gammal beskrivning går inte att använda för att veta exakt vilka mappar som används numera.

 

OM er brandvägg tillåter okända filer att kommunicera med internet, eller ni saknar aktiv brandvägg så försöker smittan kontakta ett par webbplatser!

Windows-brandväggar är som standard konfigurerade för att tillåta all trafik ut.

 

enligt http://download.micr..._11_English.pdf på sidan 10 visas att mindre än 1 % av alla smittor utnyttjar sk: Noll dagarssårbaeheter! (dvs. okända sårbarheter som det inte finns en patch för ännu!)

Totalt är det drygt 5% av alla smittor som på ett eller annat sätt använder någon sårbarhet så risken att drabbas av en sådan är relativt liten!

Rapporten utgår från MSRT som inte är något generellt detekteringsprogram för många olika typer av skadliga filer utan endast kollar efter vissa begränsade typer. Det gör det mindre sannolikt att det kan detektera de senaste typerna av skadliga program, t ex sådana som utnyttjar nolldagars-sårbarheter. Observera att ca 45% kräver användarinteraktion och det är just vad folk gör, installerar trojaner med vilje.

 

Min slutsats, som du förstås inte behöver hålla med om, är att ditt påstående om 85-90% inte är statiskt säkerställt.