o coelho energizer olha mais como um RATO

Jahne ajuda-o a limpá-lo computador. Proteja-se do vírus, trojans e spyware. Spyware blockers, Proteção de Vírus de Anti

Para casa »informação e Remoção

9 de março de 2010

Nenhum Comentário

isto é RATO como no acesso remoto troiano, para o não iniciado.

por agora estou seguro que a maior parte de gentes de segurança ouviram sobre isto mas se você não tiver ainda, aqui estão os EU-CERT consultivos, o artigo no blog de symantec por liam murchu, um post do blog sophos por graham cluley, um post do blog em cibercrime & cumprimento da pena por gary warner, um post do blog sunbelt por tom kelchner, um post do blog de segurança de dia nulo por ryan naraine, e isto é somente a ponta do iceberg.

agora a razão que estou escrevendo sobre esta história que tantas outras pessoas escreveram sobre quando normalmente evito sobreinformou que os eventos de notícias são porque tenho uma estaca pessoal nisto - de fato tenho o dispositivo de ofensa. pior Entretanto, eu tinha o software em questão instalado em um dos meus computadores desde que tarde marcham do ano passado. ouch! graças a um pio por mikko hypponen descobri sobre esta primeira manhã de sábado (agradece mikko, isto é somente o modo que eu quis começar o meu fim de semana) e prosseguiu a cuss uma tempestade porque isto é a primeira vez nos meus 20 os anos da computação disto fui legitimamente sido golpe com malware - o meu registro perfeito é acabado.

oh bem, bastante disto. há 2 coisas sobre isto que penso merecem o escrutínio mais fechado. o primeiro é que a pergunta de se o malware embarcou com o dispositivo de hardware que próprio tão muitos afirmaram, ou se o symantec blog é certo e o software esteve só disponível como um carregamento do site web energizer. não posso dizer conclusivamente de um jeito ou de outro mas posso oferecer alguma evidência que o software esteve só alguma vez disponível do site web energizer.

o dispositivo não tem nenhuma capacidade de memória. nenhum passeio aparece no explorador de janelas quando você liga o dispositivo.

quando você o tapa em um computador ele pede instalar motoristas mas pode encontrar que nenhum motorista não instala.

o pacote que adquiri não conteve nenhuns meios de comunicação separados, e quando procurei o dispositivo em ebay, nenhum dos pacotes lá pareceu também.

a folha de instrução (sim, ainda tenho isto também) informa-o que você pode ver a posição de carga no seu computador com o software gratuito do site web energizer

o software é inteiramente opcional. o dispositivo trabalha sem ele (embora o software realmente ofereça a usabilidade melhorada por cima do indicador LED). o dispositivo até embarca com um AC-> convertedor de USB (que é o que de fato chamou a minha atenção em primeiro lugar) para que você possa tapar o dispositivo na parede e dar volta ao computador (e assim qualquer software de monitorização) inteiramente.

não só a folha de instrução o instrui para adquirir o software do site web energizer, mas quando você liga o dispositivo, o identificador de dispositivo exposto tanto na nova bolha de notificação de hardware como em mago de instalação de motorista inclui não somente o nome do produto mas também o URL para carregar do software de energizer.

possivelmente houve embalagem alternativa que incluiu o software comprometido, mas quando até o hardware lhe diz carregar do software da web então que apenas parece necessário para lá para ter estado alguma vez software empacotado com ele.

a segunda coisa penso merece o exame é a pergunta do que deu errado. como eu disse, fui batido com isto, mas pode ter sido razoavelmente evitado? isto é uma pergunta que tenho ruminado desde o sábado. vamos por meio de vários fracassos e vêem se atuei desarrazoadamente wrecklessly:

os produtos de antivírus não o descobriram atrás então. esquadrinho tudo e o software subiu 'limpo'. o av não conseguiu salvar-me aqui.

a aplicação whitelisting também me reprovou. ele perguntou se eu quis permitir ao software corra mas isto é software que intencionalmente instalei - porque eu não lhe permitiria correr?

naturalmente há razões de desaprovar o software que você somente instalou - fiz a minha diligência devida e googled o arquivo e tudo me disse que ele se associou com o carregador e nada disse que houve algo desfavorável sobre ele. como tal a inteligência de comunidade, o sistema de reputação nascente da Internet abaixou-me também.

o firewall de software é um caso interessante - na teoria posso ter feito a conexão e ter perguntado porque o software de carregador de bateria tem de abrir um porto e escutar para conexões. de outro lado, realmente investiguei o arquivo e encontrei que nada não indicava que não foi legitimamente parte do software e por isso nenhuma razão de não acreditar que tudo o que ele tentasse fazer fosse algo que se supôs que ele fizesse. talvez posso ter sido mais suspeito, talvez até fui - o sistema comprometido foi um clunker de 10 anos que não é determinado responsivo para introduzir no melhor de tempos que, quando combinado com a sobrecarga popup ocasional da banda firewall/whitelist, resultou em pelo menos um exemplo do meu clique o botão aceitar sem ver o que eu aceitava.

posso ter-me salvado um pouco de dor de cabeça (e ter salvado um bocado da cara) usando sandboxing? considerando os pormenores do sistema não há nenhum modo que eu usaria uma máquina virtual cheia nele, e além disto teria sido massacre desta aplicação. ele também teria mexido no comportamento bastante desejável de automaticamente lançar o monitor UI (aplicação o virtualization não teria sido muito melhor naquela consideração). isto parece com uma coisa estranha para mim a dizer, mas o PC é tão velho que lançar algo nele é terrivelmente lento portanto o comportamento automatizado foi bem-vindo no momento. suponho o fato que eu nunca tinha nenhuma intenção de enganchá-lo até o meu PC principal (que de fato tem o poder que o examina muito mais muitas vezes) significa que a algum nível eu de fato usava uma caixa de areia de tipos - uma máquina de caixa de areia física se você vai - mas realmente, eu confiei no software e não tinha nenhuma razão de pensar que eu tinha de dirigi-lo em uma caixa de areia.

a confiança parece estar o tema que ocorre aqui. confiei no software. talvez não devo ter confiado nele, mas você não pode tornar-se muito distante na computação sem confiar em pelo menos algum software, e não houve uma razão inelutável de não confiar neste software.

uma coisa a levar disto (ou pelo menos algo que estou levando dele) consiste em que um número dos meus comportamentos de segurança só ajudam a proteger-me contra o desconhecido. se eu confiar em algo, embora eu esteja enganado, não há muito a minha defesa pode fazer para ajudar-me. estarei pensando certamente em modos de superar aquela fraqueza no futuro.

naturalmente, desde que eu estive atrás de um encaminhador NAT-permitido e não expedia o porto 7777 à máquina comprometida, um pouco da minha defesa realmente trabalhou - mas tive sorte. se tinha sido algum outro, o tipo mais agressivo de coisas malware não poderia ter resultado tão bem para mim. ou, de outro lado, nada mais do que a escuta passiva de ordens poderiam ter-me avisado de fato à presença de algo malicioso.

podemos jogar "e se" até que sejamos azuis na cara - eu tenha identificado tanto o fato que a minha defesa tem o quarto da melhora como a natureza que a melhora deve tomar. também fui lembrado que o que eles dizem realmente é verdade - ele acontece a todo o mundo conseqüentemente. precisou-se de mais de 20 anos para mim que sou mais longo do que o mais e fui um pouco convencido sobre isto, mas no fim há sempre alguma fraqueza, algum caminho em, e se não tinha sido para a minha monitorização de eventos relacionados à segurança eu ainda seria provavelmente comprometido agora mesmo. no fim a coisa que me ajudou o mais foi o meu interesse na própria segurança.