Maszyna wirtalna/usb/wirusy


(Rembon) #1

Witam, jestem nowym użytkownikiem na forum, zjawiłem się z powodu mojego pytania…

MUSIAŁEM włączyć plik który na virustotal wskazywał wirusa. Z tego co wyszukałem i dowiedziałem się z internetu jedynym wyjściem było skorzystanie z maszyny wirtualnej. Mam WINDOWSA 7 PROFFESIONAL, od zawsze broniłem się przed wszelkimi śladami wirusów więc było mi ciężko to zrobić no ale MUSIAŁEM (czas mnie gonił więc pytam po fakcie heh).

W 7 jest opcja “tryb xp” więc go pobrałem i zainstalowałem. Generalnie z tego co wyszukałem wychodziło że nic stać się nie może gdy będzie wyłączona fukncja integracji - w maszynie xp nie były widoczne moje dyski. Włączyłem plik i zrobiłem co miałem zrobić.

Pytanie 1

Nie odsyłajcie mnie do google prosze :slight_smile: Czy istnieje możliwość (zakładając że był tam wirus) że przejdzie do komp hosta? integracja była wyłączona - dyski niewidocznełe

Wynik programu musiałem wrzucić do komp hosta. Podłączyłem usb, nie zainstalowało się z braku sterowników. Włączyłem zakładke “USB” i było “dołącz”. Dołączyłem i w moim komputerze w trybie XP pokazał się w/w penrajw. wgrałem odłączyłem i wyjąłem.

Pytanie 2

Gdy brałem “dołącz” pojawiło się instalowanie na komp hoscie i też trybie xp. Czy jest możliwość że przy tym co zrobiłem, wirus (o ile gdzieś tam jest i sie rusza:) ) znalazł droge do komp hosta?

Pytanie 3

Jak robić takie manewry żeby było bezpiecznie i czy zrobiłem to poprawnie?

Nie odsyłajcie mnie do google, w wielu wątkach jest podobnie i o ile spotykałem się z odpowiedziami że nic się nie stanie, to były i takie w których współdzielenie jakiegoś dysku (w tym wypadku usb) może spowodować jakieś przejście itd. Dodatkowo nie wiem jak to jest z tą “integracją” i czy to co poklikałem daje rade zablokować wszystko.

Pozdrawiam wszystkich forumowiczów i proszę o szybką prostą odpowiedź. ewentualnie z krótkim wyjaśnieniem :wink: pzdr.


(ahonen97) #2

Nie na pisałeś ile antywirusów na virustotal wykazało wirusa jak tylko jeden to może być fałszywy alarm.

Wstaw logi OTL zgodnie z informacjami z poniższego tematu:

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3059741

I poczekaj aż ktoś je przeanalizuje.


(Rembon) #3

3/46:

eSafe Suspicious File

Sophos Mal/Behav-248

TrendMicro-HouseCall TROJ_GEN.R47H1J4

chodząc po win7 teraz mając ikone z tego programu używanego na trybie xp normalnie jak wlaczam to sie pojawia czy udostepnic dysk dla trybu xp zeby uruchomic… wiec oznacza to ze win7 wie o tym zainstalowanym programie na maszynie wiec jakas kooperacja miedzy nimi jest…

zrobie tak jak kazales, aczkolwiek jakby ktos mogl wyjasnic cala sytuacje to zapraszam do komentarza. pzdr


(ichito) #4

Po pierwsze…do uruchamiania podejrzanych aplikacji czy nawet zagrożeń niekoniecznie trzeba instalować całą maszynę wirtualną…uważam, że to konieczne tylko wtedy gdy instalacja wymaga restartu systemu do sprawdzenia czy np. coś nie przeniknęło plików rozruchowych. W innych przypadkach wystarczy

  • piaskownica czyli np. Sandboxie, albo taka którą coraz powszechniej zaczynają oferować programy zabezpieczające - Avast, Comodo, Webroot, BufferZone, SysWatch

  • jeśli chcesz coś bardziej rozbudowanego, to z powodzeniem można skorzystać z darmowych programów do wirtualizacji systemu jak Returnil System Safe czy Toolwiz Time Freeze (obydwa w bazie DP). Tu jest jedno ograniczenie techniczne…nie da sie testować aplikacji wymagających restartu do pełnej instalacji…drugie natomiast wynika z tego, że o ile Returnil jeszcze tak, to Toolwiz już nie za bardzo chronią przed bootkitami. Sprawdza się tu, o ile mi wiadomo, tylko jeden program - Shadow Defender. Te programy pozwalają na cofnięcie wszystkich modyfikacji dzięki zwykłemu restartowi systemu.

A propos wskazań VT…to może być klasyczne FP zwłaszcza, że wskazanie potwierdzają te, a nie inne skanery i to tylko trzy. Sprawdź na skanerze Jotti i Metascan jeszcze, to będziesz mieć porównanie


(Rembon) #5

wykonalem skanowanie jotti i oto wyniki:

clamAV - PUA.Win32.Packer.Upx-28

CP - Troj.Spy.W32.Banker.gen

Sophos - Mal/Behav-248 *czyli tak jak w virustotal

Metascan:

Sophos - Mal/Behav-248

* ale juz trendmicro nie pokazalo tego co na virustotal

co do sandboxie to poczytam i ewentualnie zainstaluje. jest slad na komp hoscie bo nawet w win 7 mam ze zainstalowano zuzie a to bylo na trybie xp. nie wiem czy przeszlo jak cos. zrobie robotę tym programem OTL

używa avasta ale nie wiem jak moge tam korzystac w miare “przejrzyscie” na okienkach zebym wszystko widzial np w instalowanym zainfekowanym programie. dlatego przekonuje mnie to sandboxie. czyli cale moje trudy z maszyna poszly na marne? :slight_smile: