La vita e' un workaround
Archive for the ‘security’ Category.
https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/
In soldoni: una password che sembra complessa come
Tr0ub4dor&3
è meno complessa di una composta da 4 parole di senso compiuto come
armadiocavalloautomobiletrenino
che si ricorda più facilmente, poi, magari, per far contenti i sofware che controllano le password quano le create, mettete le iniziali in maiuscolo.
Mi capita il solito Windows XP con la schermata della guardia di finanza che vuole $oldi.
Fortunatamente la macchina ha due utenti, entrambi amministratori, e il problema si manifesta su un solo utente, l’altro è immune e cosi posso lavorare sul pc senza dovermi barcamenare con live cd e robe del genere, anche perché avviare in modalità provvisoria e loggandosi con l’utente infetto porta al riavvio del computer senza possibilità di scampo e una volta loggato la maschera di richiesta di soldi parte e disabilita ogni tipo di task manager e combinazione di tasti.
Il problema è evidentemente in esecuzione automatica, ma quello che viene avviato SOLO nell’utente marcio non lo vedo dall’utente sano, quindi passo antivirus ed antispyware come se non ci fosse un domani, che in effetti trovano schifezze che vengono rimosse, ma quella che carica la pagina è ancora li.
Il mio amico google mi svela un trucco per caricare l’hive del registro dell’altro utente e poterci lavorare senza problemi (della serie non si finisce mai di imparare).
1) lancio regedt32.exe
2) mi posiziono sulla voce “HKEY_LOCAL_MACHINE”, perché solo in quella posizione si attiva la voce in “File\Carica hive”
3) carico il registro relativo all’utente marcio, che trovo in “c:\documents and settings\UTENTE MARCIO\ntuser.dat”
4) mi viene chiesto un nome, mettiamo “pippo”, e la voce “pippo” mi appare sopra “HKEY_LOCAL_MACHINE”, ci entro e mi trovo tutto il registro relativo al’utente marcio
5) rufolando un poco trovo in “pippo\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon” una voce “shell” che contiene “explorer.exe, c:\documents and settings\UTENTE MARCIO\skype.dat”, ovvio che quello “skype.dat” altri non è che il beffardo eseguibile con l’estensione camuffata che carica la pagina marcia, lo vaporizzo lasciando solo “explorer.exe”
6) scarico l’hive del registro da “File\Scarica hive”, altrimenti se mi loggo con l’utente marcio windows mi dice che il profilo è danneggiato e rientro nell’utente ormai bonificato. A quel punto vaporizzo anche il file “skype.dat” e vivo felice.
Raniero 1 – MalwareDelPiffero 0
Una roba tipo questa
Andate nel rigiregistrodi sistema alla voce:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CVirtA\DisplayName
Alla voce DisplayName troverete una roba del tipo:
per i386: @oem8.inf,%CVirtA_Desc%;Cisco Systems VPN Adapter
per x64: @oem8.inf,%CVirtA_Desc%;Cisco Systems VPN Adapter for 64-bit Windows
Nota che @oemXXX può avere come un XXX un variabile da installazione a installazione.
Per correggere l’errore deve essere semplicemente bonificata la descrizione della scheda di rete togliendo “@oem8.inf,%CVirtA_Desc%;” e lasciando la mera descrizione, cosi:
per i386: Cisco Systems VPN Adapter
per x64: Cisco Systems VPN Adapter for 64-bit Windows
Non serve riavviare nulla, provate a riconettervi, a me funziona 
http://r1soft.idera.com/tools/server-backup-free/
lo devo provare uno di questi giorni…
Se il solito malware che blocca il pc e chiede cento euro si toglie con 4 colpi di mouse stamattina ne ho visto uno che è più modesto, ne chiede solo 50, ma ormai in tempi di crisi anche i virus si adattano ad abbassare i prezzi, ma si toglie molto peggio.
Questo modifica il registro e cambia in:
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
la voce userinit e la voce shell che devono essere rispettivamente:
userinit -> c:\windows\system32\userinit.exe, <- notare la virgola finale (grazie Seba)
shell -> explorer.exe
se si cancella il virus, che si annida nella cartella temporanea dell’utente, senza modificare le rispettive voci di registro al prossimo reboot il pc si logga e poi esce, come avevo già scritto QUI in altre occasioni e se non abbiamo qualche cosa per modificare il registro di windows senza avviarlo (erd commander o chi per lui) l’unica è provare a fare un ripristino di configurazione.
Aggiungo uno screenshot del virus… e del logo del Penny Market ne vogliamo parlare ??? 
…solo ricordarsi l’indirizzo ip o il nome di tutti è un’impresa.
…e magari sono distribuiti in varie sedi.
…e la password ? Chi se la ricorda la password ? C’è il documento aziendale che le tiene tutte, ma che due maroni tutte le volte.
Si risolve brillantemente:
1) su windows esiste TERMINALS (http://terminals.codeplex.com/)
2) su linux REMMINA (http://remmina.sourceforge.net/)
Su entrambi ci si carica indirizzo / porta / protocollo / user / password e si salva il link.
Terminals è superiore come gestione, ma non riesco a fare l’abitudine al brutto client ssh, Remmina è più spartano, ma entrambi fanno il loro sporco lavoro, ovvero mi aiutano nel MIO sporco lavoro