Ieri am dat de un virus interesant pe un calculator cu Windows XP instalat. Navigând cu Firefox pe un site obişnuit, dintr-o dată fereastra browserului s-a închis, iar un mesaj ciudat a apărut pe ecran. În dreapta jos lângă ceas a apărut o notificare şi mi-am dat seama imediat că ceva nu este în regulă. Antivirusul a detectat ceva, probabil a şters fişierul infectat, dar deja se executase şi modificase setările sistemului.

În momentul următor m-am trezit că în Start menu nu mai pot rula nimic, opţiunea Run fiind dezactivată. Task managerul era deasemenea dezactivat. Am dat imediat restart şi am intrat în safe mode. Din fericire, contul de pe care a rulat executabilul infectat era altul decât cel implicit de administrator din Windows XP. Astfel, în safe mode am reuşit să intru pe contul Administrator, celălalt cont fiind compromis. Aici am reuşit să intru în regiştri, command prompt sau Run.

Cea mai interesantă parte a activării virusului a fost faptul că a ascuns toate fişierele. Prin ‘ascuns’ vreau să zic că nici în My Computer navigând pe drive-uri, nici în Total Commander nu se vedea absolut nimic. Se afişa o fereastră albă goală fără niciun fişier. Nici măcar în command prompt tastând comanda DIR nu a afişat absolut nimic, afişând mesajul “Nu sunt fişiere”.

Nu am mai întâmpinat o asemenea problemă, aşa că am dat căutare pe Google. Soluţia am găsit-o aici. Am aflat că totuşi, tastând comanda DIR cu anumiţi parametri, se pot vedea fişierele, comanda fiind dir/ah. Soluţia pentru restaurarea fişierelor a fost scrierea în command prompt a comenzii attrib *. -h -s /s /d pe fiecare drive în parte.

Cum mă protejez pentru ca astfel de evenimente să nu mai aibă loc?

Probabil cea mai sigura metodă este crearea unui user cu drepturi limitate (Limited account). În acest mod, fişierele sistem sunt protejate, dezavantajul fiind că există limitări la instalarea programelor sau modificări ale setărilor sistemului, însă acestea se pot face odată la început. Asta în cazul Windows-ului XP. În Windows 7 avem UAC.

Imaginea de aici.

Acest articol a fost scris la data de February 10, 2012 ora 8:34 pm. Răspunsurile la acest articol se pot urmări aici. Puteţi lăsa un răspuns, sau un trackback de pe site-ul dvs.

Scris în Security de Jorj 4 Comentarii