Witam,
2 dni temu skanujac system Norton AV 2002 okazalo sie, ze w CACHE'u Opery (7.54 PL) znajduja sie 3 wirusy.
A dokladniej:
lokalizacja:
C:\Program Files\Opera\profile\cache4
i tam 2 pliki:
- opr029V4.htm (Trojan.Phel virus)
- i plik opr029UY.jar (dajacy sie rozpakowac np. RAR'em a zawieracy sposrod kilku plikow 2 zainfekowane, czyli:
- Xeyond.class (Downloader.Trojan virus)
- web.exe (Download.Sumina virus
nie wiem w koncu z jakiej strony to zlapalem, a wiem, ze zdarzylo sie to na pewno doslownie noc wczesiej (zawsze korzystam jakos z przyzwyczajenia z opcji "Usun dane uzytkownika").
Na pewno nie wchodzilem na zadne warezy, cracki, astalavisty czy inne.... W gole nie korzystam z tego. Same, normalne strony.
Na punkcie bezpieczenstwa tez mam lekka paranoje, wiec nic pochodzacego z niewiadomych zrodel nie sciagam itd. Zadnych p2p, XP HE SP2 PL (legal); Firewall, wszystkie laty z WU na bierzaco, + Opera 7.54, Ad-aware, Spy-bot + to, ze jestem za routerem ;) wiec potencjalny script kiddie mialby mysle troche problemow....
Ale wlasnie, wracam do sedna sprawy - jakie bylo zagrozenie? Obsluge JAVY mialem aktywowana w Operze, ale na szczescie chyba to sie nie rozprzestrzenilo na system (skanowalem powtornie NAV'em, MKS On-line).
Czy przegladarka od tak sobie by rozpakowala ten plik JAR i odpalila z niego tego exe'ca (web.exe) badz wykonala kod z pliku class?
Czyalem w SARC'u, ze jeden z tych trojanow dziala tylko na XP SP2, drugi odpala CHM pod IE (dobrze, ze nie zlapalem tego uzywajac IE).
Czy moglo cos gorszego sie stac?
Co powinno sie robic, by uniknac tego w przyszlosci? Zdeaktywowac obsluge JAVY pod Opera?
I jeszcze mam dodatkowe pytanie juz nie zwiazane z tematem posta - jesli bym chcial teraz sie przesiac na najnowsza wersje Opery, to czy musze zdeinstalowac bierzaca wersje 7,54, czy wystarczy to nadinstalowac?
Czy mozecie mi powiedziec jak rozwiazano sprawe z uaktualnieniami Oper nowszych niz ta moje (7,54), czy aby byc na bierzaco trzeba "manualnie" pobierac nowa wersje i nadinstalowywac istniejaca, czy moze jest jakis "web update" wbudowany?
z gory dzieki za odpowiedzi.
Pozdrawiam,
Majkel
Odpowiadając od końca - można nainstalować.
Co do wirusów:
1) Upewnij się, czy to nie fałszywy alarm, np wyślij pliki do sprawdzenia przez Kasperskiego: http://kaspersky.pl/services.html?s=online_vir_chk albo jakiemuś kumplowi, który ma innego AVka.
2) Co do zagrożenia wirusami w Javie - nie mam pojęcia, javascript i inne nie mają raczej szans zainfekować, ale Java nie wiem.
3) Poszukaj programiku Opera Cache Explorer - nim moższ sprawdzić sieciowy adres plików z cache, będziesz wiedział, skąd przyszły.
4) Moja rada: dopisz sobie (pod)domenę, z której przylazły te paskudztwa do pliku filter.ini (jak go skonfigurować i włączyć poszukaj na stronach o Operze). Z tego miejsca więcej ci nie wlezą. Przykładowy taki wpis na złośliwe skrypty, które kiedyś mi się pojawiły:
http://static.windupdates.com/*/*.js
Ja mam Javę wyłączoną, ale głównie ze względu na 'performance'...
Re: Cache Opery i wirusy w pliku .JAR (JAVA) a zagrożenie
Originally posted by Majkel
I jeszcze mam dodatkowe pytanie juz nie zwiazane z tematem posta - jesli bym chcial teraz sie przesiac na najnowsza wersje Opery, to czy musze zdeinstalowac bierzaca wersje 7,54, czy wystarczy to nadinstalowac?
Czy mozecie mi powiedziec jak rozwiazano sprawe z uaktualnieniami Oper nowszych niz ta moje (7,54), czy aby byc na bierzaco trzeba "manualnie" pobierac nowa wersje i nadinstalowywac istniejaca, czy moze jest jakis "web update" wbudowany?
Pobierasz, nadinstalowujesz, uruchamiasz.
(oczywiście backup nie zaszkodzi)
Pamiętaj, że Opera 8.0x nadpisze Ci plik search.ini.
Originally posted by Jurgi
3) Poszukaj programiku Opera Cache Explorer - nim moższ sprawdzić sieciowy adres plików z cache, będziesz wiedział, skąd przyszły.
Otworz nowa stronke w Operze, a w pasek adresu wpisz opera:cache i pokaze Ci zawartosc Twojego cache-u z podzialem na nazwe, wielkosc w B i adres skad przyszedl. AV pokaze Ci w alercie nazwe pliku z cache-u, a Ty go szukaniem na stronie (taka funkcja ) znajdziesz i od razu zobaczysz skad to sie wzielo i bedziesz mogl zbanowac ten adres.
Pozdrawiam,
janbar.
)
dzieki wszystkim za odpowiedzi.
Szkoda, ze po "sesji" usunalem caly cache, historie ale na przyszlosc bede juz znal to polecenie.
"Otworz nowa stronke w Operze, a w pasek adresu wpisz opera:cache"
Można zamiast tego wybrać z menu Narzędzia -> zaawansowane -> pamięć podręczna (nie każdy pamięta polecenia ).