Mitt Aprilskämt var inte helt och hållet lögn och fantasi. Jag ägnade förmiddagen med att städa upp efter att Microsoft Security Essentials gjort sitt jobb med den äran tidigare under veckan. Så här gick det till.
Jag har en mejlbox som jag mer eller mindre avser att avveckla och som jag öppnar på tok för sällan. När jag öppnade den så hade jag som vanligt ett antal olästa mejl. Bland dem ett mysko mejl om en orderbekräftelse på någon mobil pryl där ordern var i form av en pdf-fil. Dumt nog så valde jag i hastigheten att förgranska den i min Outlook-session och vips kom larmet från Microsoft Security Essentials om att det var Exploit samt att jag rekommenderades att omedelbart ta bort skiten, vilket jag omgående gjorde.
Där kunde berättelsen egentligen sluta om det inte vore för att jag samma dag ville föra över bilder från min telefon till min dator. Men jag hittade inte kabeln. Alltså försökte jag att koppla samman min lur med datorn via blåtand. Det som senare hände var att min cursor då och då gjorde konstiga uppehåll. Jag misstänkte alltså då att mejlet lyckats lägga in något mer och som Microsoft Security Essentials missat.
Alltså körde jag en full skanning av hela datorn vilket tog hela förmiddagen. Resultat = ren PC!
Ändå fortsatte min cursor att då och då hänga sig…
Det är då man “lägger pannan i djupa veck”! Skulle jag bli tvungen att blåsa PC:n genom att formatera om hela hårddisken samt installera om allt? Jag letade vidare…
Då kom jag på att kolla alla blåtandkopplingar och såg då mina två prylar som jobbar via blåtand. Min Microsoft Wireless Noteook PresenterMouse 8000 samt!!! Min mobil! Eftersom jag redan hittat min SE-kabel så tog jag bort telefonen som blåtand-pryl och vips började cursorn bete sig normalt igen. Det blev helt enkelt en krock då och då mellan mina två blåtandare. Så det var inget extra virus.
Jag har nu en intressant historik i Microsoft Security Essentials som du kan se nedan…
Dessutom blir det inga fler läsningar av PDF-filer eller andra bilagor från mejl som verkar konstiga. Ibland får man lära sig viktiga saker den hårda vägen.
Kategori: Kryphål
Beskrivning: Det här programmet är farligt och utnyttjar datorn som det körs på.
Rekommenderad åtgärd: Ta bort programvaran omedelbart.
Program som kan äventyra användarens integritet och skada datorn har identifierats av Security Essentials. Du kan komma åt de filer som används av programmen utan att ta bort dem (rekommenderas inte). Om du vill komma åt filerna markerar du åtgärden Tillåt och klickar på Utför åtgärder. Om alternativet inte är tillgängligt loggar du in som administratör eller ber säkerhetsadministratören om hjälp.
Objekt:
file:C:xxxxxxxxxxxxxxxxxxxxxxAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.OutlookRJFYF3TLOrderN25031183.pdf
Få mer information om objektet online.
Verksamhetsfilosofen 
När ska världen överge PDF-formatet och byta det mot något som inte har fler hål en en schweizerost?
GillaGilla
@ Roffe
Virus? kan väl inte vara direkt överraskande att råka ut för som Windowsanvändare?
@ Natanael L
Jag, undrar, när ska världen börja inse det inte helt kloka i att förlita sig på en plattform (Windows) till vilken det vid det här laget väl finns uppemot 1 miljon virus till?
GillaGilla
@Patrik Du får trot om du vill men det var faktiskt första gången som jag drabbades av ett Virus! Dessutom orsakat av min egen klantighet. Dessutom tycker jag att det är ett gott betyg på Microsoft Security Essentials att det inte hände något. Bra information var det dessutom!
För länge sedan larmade mitt dåvarande antivirus NOD32 om att nätblaskan Expressen hade ett och annat som inte var ok. De två gångerna det inträffade blev jag inte drabbad men det blev en hel del hallå på Expressen vilket jag hörde i bakgrunden av telefonsamtalet. Den officiella kommentaren var att det var något fel i NOD32 vilket jag än idag undrar om det var sant. Jag tror mer på att det var någon dåligt gjord reklambanner som spökade.
Så från min sida så är det under 26 år med Mirosoft-OS inte speciellt mycket att gorma om. Att sedan just MIcrosoft är populärt bland Virus-konstruktörerna beror enligt mig på att man vill sätta dit Mirosoft. Tidigare analyser har pekat på att andra OS inte varit speciellt bättre på säkerhet men att det inte varit inne att skriva virus för andra OS typ det Apple har eller Open Source/Linux.
Eller vågar du påstå att det inte går att koda Virus mot andra miljöer?
GillaGilla
@Roffe
Det var kanske första gången du fått virus i datorn vad du vet om iallafall. 🙂
Jag råkar själv ut för virus då och då på min egen dator och i mitt arbete och då har de oftast passerat befintligt antivirusskydd. (som dessvärre oftast är uppdaterade och kör realtime scanning)
En gång upptäckte jag att jag hade virus för att det kom ljud från floppydriven, som om något försökte accessa enheten utan att det satt en diskett i. Ljudet kom ungefär varannan minut. Med hjälp av gratisprogrammet, Process Explorer så var det inget problem att hitta en osignerad process som verkade bete sig underligt. Stänga av processen och hindra den från att starta igen. Visade sig att den skadliga koden skapade mappar i roten av varje enhet som dessutom var dolda. Fick bort skräpet permanent med Malware Bytes som jag hårt rekommenderar som kompliment till ett antivirusskydd. Det och Process Explorer dvs.
Med andra ord. Lita inte på ett antivirus skydd och bekanta dig med datorns processer och se upp för osignerade processer. de kan vara dumheter. 😛
GillaGilla
Patrick,
… visst Windows har haft och har sina Windows problem. Men tro inte för en sekund att Linux inte har sina problem. Android (Linux) har ju de största säkerhetsproblemen av iPhone, Android och WP7.
GillaGilla
Är det någon som lyckats installera ett virus på en uppdaterad windowsmaskin med begränsat konto ännu? Det är ju detta alla windowsanvändare gör fel. Tror antivirusprogrammen är någon slags hustomte som ska lösa alla problem.
Eftersom ditt antivirus flaggade den skadliga koden som exploit antar jag att du blev smittad p.g.a. att din PDF-läsare inte var uppdaterad.
Som PDF-läsare rekommenderar jag Foxit. Det läcker inte som ett såll som Adobes, och det är inte speciellt många som vill attackera den heller.
GillaGilla
Nyhetsbilder,
Windows 7 har vad jag vet iaf haft minst en zero day privilege escalation attack.
GillaGilla
”Är det någon som lyckats installera ett virus på en uppdaterad windowsmaskin med begränsat konto ännu?”
Inga problem att få in skadliga program även om man använder ett begränsat konto. Det finns många skadliga program som lägger in sig i användarens Temp-mapp, Roaming-mapp med fler mappar i användarens profil samt en start via en HKCU-nyckel i registret.
GillaGilla
Då kommer nästa fråga till Cecilas svar:
Hur ser det ut med Windows UAC på högsta inställning? Default är näst högsta inställning.
Neptune, Ja 0-dagars är inget man kan göra något åt i praktiken innan den är offentliggjord.
GillaGilla
Så vitt jag har märkt i min Vista-dator reagerar UAC endast på skrivningar i system-mappar och inte i mappar i ens egen profil, samt motsvarande när det gäller registret. Vistas UAC motsvarar högsta läget i Windows 7.
GillaGilla
Tack för det eminenta svaret!
GillaGilla
Cecilia,
Menar du
1. Att UAC non-elevated processer kan utnyttja registret för ge sig UAC elevated rättigheter?
2. Att processer som körs under vanliga användare som inte är administrators kan höja sig till administrators?
3. Båda ovan?
Kan du verkligen skriva till HKLM utan UAC eleviation?
GillaGilla
Hej Neptune!
Samtliga svarar jag nej på, dvs utan att utnyttja säkerhetshål etc. Jag kan inte se att jag har skrivit något högre upp som handlar om att höja sina rättigheter eller skriva till HKLM, vi kanske missförstår varandra.
GillaGilla
[…] Nu bestömde jag mig för att prova Microsofts egna Antivirus prograsm. Det kostar ju inget. Microsoft Essentials heter […]
GillaGilla