Wuwejův zápisník

Jak zkontrolovat neznámý soubor devatenácti antiviry najednou

12.07.2010 23:49, Wu | počítače | komentáře -

Takhle večer si brouzdám po nejrůznějších webech, klikám na odkazy, mám otevřeno asi dvacet panelů, tady vyhledávání, tamhle diskuzní fórum ... a najednou mi vyskočí okno od osobního firewallu, že soubor 0.913565671673552.exe byl spuštěn v sandboxu a jestli ho tam chci spouštět i příště. Moji paniku si možná umíte představit:

  1. brouzdám Firefoxem, který nepodporuje nejobvyklejší díru do windows, ActiveX komponenty
  2. přesto se z webu stáhl exe soubor bez mé akce
  3. uložil se přímo do programového adresáře prohlížeče Firefox, tedy mimo běžná místa (temp, cache apod.)
  4. sám se spustil
  5. aktualizovaný antivir (Avast 5) ani nemrkl a akci povolil

To bylo ve 23:39:09. Do jedné ráno jsem prohledával počítač nejrůznějšími antimalware nástroji, zjišťoval co sandbox umí a čemu všemu by zabránil a pořád nic nenacházel. Instalovat různé antiviry je problém, dlouho to trvá a stejně nikdy nemáte jistotu, jestli se už škodlivý kód nezabydlel natolik, že dokáže svoji přítomnost maskovat (viz rootkit). Hledal jsem něco, co by mi online zkontrolovalo daný soubor.

(Po pravdě, pokud by se virus, trojan nebo jiná havěť zamaskovala, nejspíš by se z infikovaného souboru při jeho odesílání rovnou odstranila, což jsem si tehdy neuvědomil. Naštěstí tomu tak nebylo.)

Jako nejkomplexnější vypadá Jottiho malware test. Používá 19 antivirů, mj. AVG, Avast, NOD32, ClamAV, Kaspersky...

Poslal jsem tedy zmíněný soubor - a z 19 antivirů identifikoval jediný NOD32 trojského koně Win32/TrojanDownloader.Unruy.BZ. Výsledek testu zde.

Pak jsem z windows použil online scanner NOD32, ten mi našel soubor ještě v cache java runtime, což trochu osvětluje, kudy mohlo dojít k průniku. Druhý den jsem nastartoval do Linuxu, abych měl jistotu, že žádný windowsovský malware není aktivní, nainstaloval NOD32 v linuxové verzi a projel jím diskový oddíl, určený pro windows. Ten už žádnou infekci nenašel a pokud to tak vydrží i nadále, můžu s potěšením konstatovat, že sandbox Comodo personálního firewallu funguje (aby ne, když Comodo je permanentní vítěz testů) a dokázal mě uchránit i od infekce dosud neznámým škodlivým kódem.

12345
1278971340000

Sledujte také

Kategorie

Informace

STRÁNKY ARCHIVOVÁNY NÁRODNÍ KNIHOVNOU ČR

Prohledat blog

Blogy a weby

Archiv