Често задавани въпроси

Напоследък в разните “fun” пощи хората са почнали да пращат .doc и .xls файлове, като в тях слагат флашчето или дори цяло филмче. От една страна - така се преодоляват доста филтри, сложени от администраторите на фирмите именно с цел да спират такива забавни времегубки. От друга страна хората не осъзнават колко информация носи със себе си един такъв файл. ( и дори няма да зачеквам вероятността заедно с файла да се намъкнат вируси, коне и други буби ).

Говоря за т.нар. мета-информация или информацията, която описва съдържанието на файла. Тя се записва автоматично от MS Office всеки път, когато файла е променен. Освен статистическа информация, тя може да съдържа първо и второ име на създателя на файла, име на фирма, инициали, предишни автори и т.н.

Сама по себе си това изглежда безобидно, но всъщност може да доведе то доста тежки последици - например в Щатите се заформи доста сериозен политически скандал, защото в циркулиращ из Интернет документ с доста неприятни твърдения беше намерена метаинформация, идентифицираща автора му.

И понеже Ники Горчилов казва, че “дълъг е пътят на убеждението, кратък на примера”, ето ви един пример:

Прочетете цялата статия »

AVG маркира системен файл като опасен

Публикувано на 8-ми ноември обновление на безплатният ( за домашни потребители ) антивирусен пакет AVG маркира критичен файл от Windows - user32.dll, като заплаха и предлага да го изтрие. Ако потребителят се съгласи, системата спира да зарежда, или се рестартира непрекъснато. Засегнати са версии 7.5 и 8, като се препоръчва изтритият файл да се възстанови от инсталационния носител или от %WINDIR%\System32\dllcache. Производителят вече е публикувал нови сигнатури, които решават проблема - 270.9.0/1778.

Във FAQ секцията на сайт си AVG също така са публикували статия 1574 ( съжалявам, няма как да предоставя директен линк ), която описва и детайлно начините на възстановяване на системата.

В Secunia вчера се появи информация за уязвимост в популярните торент клиенти uTorrent и Bittorent, и двата - разработка на компанията Bittorent. Уязвимостта дава възможност за стартиране на код чрез препълване на буфер при отваряне на .torrent файл с твърде дълго ‘created by’ поле.

Уязвимостта е потвърдена за версия 1.7.7 на uTorrent и вероятно съществува и в по-старите версии. Препоръчва се ъпгрейд до версия 1.8.

В случай, че не искате/не можете да ъпгрейднете торент клиентите си, не използвайте непроверени тракери и не отваряйте .torrent файловет, за които не сте сигурни откъде идват. Дори и тогава не боли да хвърлите един поглед във файла с помоща на обикновен текстов редактор и да хвърлите едно око на горния таг. Ето как трябва да изглежда в нормален файл:

“d8:announce46:udp://tpb.tracker.thepiratebay.org:80/announce10:created by12:BitComet/ .[13:creation datei1217633866e8:encoding5:UTF-84:infod4:ed2k16:iUXoЗT*H;”

Technorati : torrent, vulnerability, торент, уязвимост

Наложи ми се да прекарам няколко дни в борба с последното ( Август 2008 ) вирусно изчадие наречено Murlo.nn съгласно означенията на Касперски (Trojan.DownLoader.1039 при Doctor Web, Trojan.Downloader.Agent-7 при ClamAV, Suspect File при Panda ). Гадта e последната издънка от около 300 разновидности и представлява троянски кон, който сваля и стартира над 40 допълнителни зловредни програми от Интернет. Точният адрес, откъдето сваля е root.51113.com / 60.191.223.76.

Другата мизерия, която прави е, че наблъсква в %windir%\system32\drivers\etc\host огромно количество хостове и ги пренасочва към 127.0.0.1. По-голямата част от хостовете са използвани за обновяване на антивирусни програми, като по този начин ефективно спира новите версии на дефинициите.

За съжаление основният процес се закача на svchost и засега поне няма начин да се изчисти, освен преинсталация на машината. Временно решение е да се изчистят периферните програми чрез boot-сканиране и се спре достъпа до адреса, от който се свалят, например с командата ( в Windows ):

route add -p 60.191.223.76 mask 255.255.255.255 192.168.1.145

Последният адрес от рутинга всъщност е несъществуваща машина - най-общо казано пращаме пакетите в трета глуха. НЕ разчитайте, че ще заковете името на хоста към 127.0.0.1 в hosts файла, защото вируса си го търси по адрес. Освен това не забравяйте да изчистите и самия hosts файл от цялата гмеж набутана там. Добрата новина е, че всъщност сваляните програми са доста стари и читавита антивируси ги хващат, преди да са се активирали. Надяваме се, че до няколко дни антивирусните програми ще вземат и да се сдобият със сигнатура за изчистването му.

Technorati : murlo, компютърен вирус, троянски кон

Преди си бях направил експеримент с офлайн блог редактори, който завърши повече или по-малко неуспешно. В рамките на експеримента бях хвърлил едно око и на Zoundry, но не ми хареса особено - просто му липсваше нужната функционалност. От известно време реших да дам втори шанс на новият продукт на Zoundry - Raven. Това е първият офлайн редактор, който поддържа редакция на т.нар. slug в Wordpress, безплатен е и като + поддържа голям брой блогове и блог-платформи. Единствените забележки, които имам е, че предварителният преглед не работи съвсем като хората и понякога интерфейса може да е малко неинтуитивен ( например Save и Publish са различни функции ).

Извън забележките съм доволен и силно препоръчвам, ако имате нужда от офлайн блог редактор - независимо дали се шматкате напред-назад с лаптоп на гърба или просто предпочитате да набирате текста в локален редактор, а не онлайн. Разбира се, Raven няма да замени изцяло административния интерфейс на Wordpress, но лично за мен така блогването е доста по-лесно и приятно. Raven е достъпен за сваляне от горния линк.

Technorati : off-line blogging

Ето интересен начин за разрешаването на RemoteDesktop на отдалечен компютър, без да се налага да се разкарвате до самата машина:

Отворете Registry Editor и от меню File-> Connect Network Registry отворете регистъра на отдалечената машина. Естествено, ще ви трябва администраторски достъп. След това намерете следния ключ:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections

и сменете стойноста му от 0 на 1.

Voila, вече можете да се свържете с Remote desktop към машината.

Technorati : remote desktop, хак