Exotov bóÓlog

Vírus, resp. trojan (vystupujúci pravdepodobne pod označením trojan HTML:IFrame-EJ – podľa Avastu), ktorý kradne heslá na FTP z Total Commandera je opäť na scéne. Už v minulosti boli časté prípady, keď trojan rezidentne bežiaci na OS Windows odosielal nezakryptované heslá populárneho file managera a FTP clienta – Total Commanderu. Samozrejme nejadná sa len o Total Commander, ale v jeho prípade bola (a je) situácia najkritickejšia. Ak máte uložené svoje FTP heslá práve v jeho repozitári, odporúčam prečítať tento článok.

Šírenie vírusu/trojana

Jedna z možností šírenia trojanu je zneužitie chýb v neaktualizovanej verzii Adobe Acrobat Readeru. Neštastník príde na stránku s nežiadúcim kódom, vtedy mu browser (Firefox, Internet Explorer,…) ponúkne zdanlivú aktualizáciu Acrobat Readeru. Touto cestou sa dostane do neštastníkova PC.

Aktivita vírusu/trojana

Po aktivácii hľadá trojan prístupové údaje nielen v spomínanom Total Commanderi, ale heslá všeobecne (a teda aj k emailom a pod.). Nie je vylúčená ani keylogger aktivita. Vírus vyhľadá zdroje, pripája sa na FTP účty a rozosiela škodlivý kód index.php, main.php, login.php až do druhej úrovne adresárovej štruktúry. Potom sa proces šírenia opakuje.

Riešenie problému

Riešení je samozrejme viac. Nikomu nebudem stanovovať priority. Ak má niekto potrebu surfovať na pracovnej mašine po adult/warez weboch, škodí sám sebe. Ak k tomu prirátame fakt, že sa nestará o pravidelné aktualizácie a security svojho OS, nech sa potom nečuduje dôsledkom.

• V prípade používania Total Commanderu, updatujte na (v čase písania clánku zatial beta) verziu 7.5 – ghisler.com. Počnúc 7.5 je v TC podporované zložité 256 bitové kryptovanie hesiel.
• Odporúčam manuálne a pravidelné aktualizácie Adobe Acrobat Readeru
  
• Obyčajný Windows Firewall (na Windows XP dostupný od SP2) je nedostačujúci, odporúčam napr. free firewall COMODO
• O antivíre sa rozpisovať nebudem, iba najnovšia a aktualizovanej verzia je schopná vopred upozorniť a nepustiť neštastníka na web napadnutý škodlivým kódom

Total Commander si ukladá heslá do súboru wcx_ftp.ini v nezakryptovanej forme. V najnovšej verzii tento “problém” vymizne a teda Total Commander nijak odsudzovať nebudem. Ako som spomenul, heslo je možné odchytiť aj keyloggeom a teda aj keby si heslá v počítači neukladáte a píšete ich dakde na papier (nedajbože pamätáte v hlave) – poteciálne napadnutie je vždy! Riešenia problému, ktoré som načrtol by mali pomôcť každému. Ak je už PC vírusom napadnuté, odporúčam čistú inštaláciu Windows a po nej nasadiť všetky potrebné opatrenia. Na mimopracovné činnosti odporúčam využiť iné PC, prípadne aspoň iný pracovný účet. Zamyslite sa nad bezpečnosťou svojich, či zákaznických webstránok…

Na túto tému vyhľadávané

• bezpečnosť total comander ftp heslá x
• ulozenie ftp klientov v total commandery x
• wcx_ftp ini total commander 7 5 x
• total commander ftp security problem x
• total commander ftp password virus x
• ukladanie hesiel vo windows xp na pc x
• Dažďová víla warez x
• trojan vírus x
• unreal commander problem ftp x
• total commander ftp helso  x

• Total Commander

   x
• total commander virus  x
• total commander ftp password x
• hesla v total comandri x
• vyhladavane hesla v pc x
• total commander virus ftp x
• index php virus x
• totalcommander 7 ukladanie hesiel x
• totalcmd trojan x
• total commander ftp virus x