Смотри же и глазам своим не верь.

[Nord]

Хех, недавно тоже давал одногрупнику mp3-шник, принес кучу троев. Тоже autorun.inf и exe-шник+все мои папки на плеере скрыты, а вместо них exe с иконкой и именем настощей папки. NOD тоже молчал зараза, пришлось всё ручками удалять, тут я вообще извратился: открыл этот exe-шник блокнотом (!). И посмотрел куда он какие файлы копирует и прописывает, пришлось читать между строк (а точнее, между букв). Но разобрался. За один дабл-клик он скопировал 4 файла с разными именами в system32 причем запуск при старте системы у всех разный, кто-то через автозапуск, кто еще как, файл удалил и теперь при старте система выдает сообщения "Файл не найден". Реестр надо посканить да че-то времени нет (автозагрузка пуста). А ещё в этом самом трое интерестный фрагмент нашел типа: fileopen explorer.exe <какой-то код> (строки свои какие-то заносит) fileclose Не помню точно как, на VB было написано.
Вообщем жесть. Все удалил, а NOD послал. Поставил каспера.

[impersonalis]

2Nord когда я в юности занимался копанием в бинарниках я написал простой сканер по ASCII-кодам. Чтоб не читать "между строк"

WinAPI
получи окно
получи лист
найди строку - удали

Хм... Пробовал ?

2Tadeus: Этот API больше не поддерживается, насколько я помню.

[devolonter]

Хм... Пробовал ?

Способ работает... я даже в инете где то пример видел

Этот API больше не поддерживается, насколько я помню.

Угу убрали его еще в 2000 Винде

NOD тоже молчал зараза

Хм... А чего ему говорить... Когда то давно я на VB написал одну очень простую программу... Заносилась она в папку автозагрузка и просто вырубала винду... Ни один антивирус ничего не говорил... почему? Да просто не являются такие программы вирусами... Они просто гадят в систему портят жизнь юзеру.. Но не шпионят и ничего не крадут.. Вот и не попадают в антивирусный базы... Но проблем от них не меньше... Конечно я полный лох в хакерском деле... Но по моему вредоносные программы по мимо троянов червей и т.д. делятся еще на типо шуточные и типа серьезные.... Но в этом я ни фига не разбираюсь....

[ZanoZa]

Мне вот чего не понятно: как этот трояновирус может рапространяться с помощью "AutoRun.INF", если выполнениние оного со сменных носителей (кроме CD\DVD) изначально блокировано системой ?

вотъ:

[AutoRun]
open=NTDETECT.EXE
shell\Открыть\command=NTDETECT.EXE
shell=Открыть

каждый день хожу в универ и каждый день приношу на флешке домой вирус. Задолбался уже.
имена процессов:
svshost.exe (не путать с svchost.exe)
crss.exe (не путать с csrss.exe)
а также tskmgr(не путать с taskmagr.exe)
тырит пароли Вебмани и всякой прочей инфы.
Лечится Касперычем.
да забыл сказать - сам файл NTDETECT.EXE копирует сам себя по всем логическим дискам + autorun-ы к ним + записывает вышеперечисленные екзешники в system32.
Я вычислил его по постоянным ошибкам: cannot copy clipboard(вроде так)
и сообщение о некоректности приложения crss и svshost при выключении компа.
Также все диски зараженные этой дрянью открываеються в эксплорере в отдельном окне.

[Tadeus]

2Tadeus: Этот API больше не поддерживается, насколько я помню.

Щас все куда проще: у формы для этого есть специальное свойство

Ирония судьбы... http://tech.groups.yahoo.com/group/w.../message/12998

Щас все куда проще: у формы для этого есть специальное свойство

Какое ?

[ZanoZa]

Y=A+B+X
Y -успех в жизни
A- работа
B - отдых
X - умение держать язык за зубами
Эйнштейн(c)

X - умение держать язык за зубами

Но, право, не до такой же степени !

[Tadeus]

Сообщение от Chrono Syndrome

Какое ?

нужно в Form_Load записать App.taskvisible=false

На VB во всяком случае

[impersonalis]

Справедливости ради надо добавить, что описанный червь появился,спустя некторое время, в базе антивирусной системы (хотя, на мой взгляд, достаточно поздно):

На скриншоте видим, как антивирь отважно удаляет подсунутый ему на растирзание сжатый, но незашифрованный экземпляр вредоносной программы, идентиицировав его как "Win32/AutoRun.DO червь"

[impersonalis]

Ы
http://www.hw-by.com/viewtopic.php?f...d48656551738f6

Сообщение от обсуждение настоящей статьи на булке

http://www.boolean.name/showthread.php?t=5013
читаю и непонимаю что нужно искать, фраза "первый байт = 197" меня ставит в тупик

http://forum.grodno.net/YaBB.pl?num=1201100786

Сообщение от обсуждение настоящей статьи на булке

Я это уже через поисковик находил. Слишком мудрено
Если ты прошаренный в этом вопросе, отпиши пожалуйста попроще

Говорили мне - объясняйся проще

[impersonalis]

О-о-о-о на днях зашёл в РИО и подцепил вирусок. Обычно во всякие сомнительные (в плане ит-безопасности) места я хожу с карточкой памяти, т.к. последняя имеет аппаратную блокировку записи.
Но тут мне могли дать отредактированные варианты файлов, поэтому read-only не канал.
Разумеется, антивирус уничтожил зловредный модуль. Тем не менее, спешу поделиться наблюдениями.
Ну и что же я обнаружил?
По классическому сценарию, вирус создал в корне директорию "корзина", учтя все детали оформления кроме одного принципиального: на флешках в Windows не бывает корзины - все файлы удаляются безвозвратно (исключение - внешние HDD). Разумеется, корзина была не корзиной, а нычкой для основного модуля.
Далее, как обычно, был создан autorun.ini, запускающий модуль, при открытии карточки двойным кликом (я, как правило, захожу через опцию контекстного меню - вообще, в 98% случаев, авторан только головной боли добавляет). Т.к. запуска авторана пользователь может различными способами избежать (заход через кон. меню; открытие через сторонний настроенный проводник; открытие конкретных директорий напрямую, а не через корень; недостаточно эффективный антивирус [например, удалён только авторан], оставляющий ещё шанс заразить машину; невозможность создать авторан [например, его уже создал другой вирус]), используется ещё и второй механизм заражения.
Всем папкам в корне ставятся атрибуты "скрытый" и "системный", с каждой папки делается ярлык. Ярлыкам присваиваются имена оригинальных папок (т.е. не "Ярлык для Важно", а "Важно"). И, самое, интересное: в поле "Объект" ярлыка прописывается следующее:

%windir%\system32\cmd.exe /c "start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно

Я практически не работаю в консоли, но, думаю очевидно, что происходит следующее:
%windir%\system32\cmd.exe /c открывается консоль (ключ, вероятно, для сокрытия окна) и в неё передаётся строка

"start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно

которая, судя по всему, выполняет запуск модуля зловреда из псевдокорзины, после чего открывает в проводнике исходную папку (ту, под которую мимикрирует ярлык).
Т.е. невнимательный пользователь (не заметивший, что у папок "появилась стрелочка в уголке") кликает по ярлыку и получает ожидаемую картину: открытие требуемой папки. А в качестве нагрузки - запуск вируса.

Во всей этой истории у меня только один вопрос: как штатными средствами (в 7ке!) снять с директории атрибут "системный". В принципе, я просто скопировал нужные мне несколько файлов из "системной" папки, а карточку, до кучи, форматнул. Но, хотелось бы знать "правильный" метод.

[SBJoker]

В семерке нет атрибута системный. Вместо него есть права доступа.

[ingko]

Картинки не видно