|
Болтовня Разговоры на любые темы (думайте, о чем пишите) |
06.11.2007, 20:07
|
#31
|
Знающий
Регистрация: 07.10.2006
Сообщений: 269
Написано 22 полезных сообщений (для 30 пользователей)
|
Re: Смотри же и глазам своим не верь.
Хех, недавно тоже давал одногрупнику mp3-шник, принес кучу троев. Тоже autorun.inf и exe-шник+все мои папки на плеере скрыты, а вместо них exe с иконкой и именем настощей папки. NOD тоже молчал зараза, пришлось всё ручками удалять, тут я вообще извратился: открыл этот exe-шник блокнотом (!). И посмотрел куда он какие файлы копирует и прописывает, пришлось читать между строк (а точнее, между букв). Но разобрался. За один дабл-клик он скопировал 4 файла с разными именами в system32 причем запуск при старте системы у всех разный, кто-то через автозапуск, кто еще как, файл удалил и теперь при старте система выдает сообщения "Файл не найден". Реестр надо посканить да че-то времени нет (автозагрузка пуста). А ещё в этом самом трое интерестный фрагмент нашел типа: fileopen explorer.exe <какой-то код> (строки свои какие-то заносит) fileclose Не помню точно как, на VB было написано.
Вообщем жесть. Все удалил, а NOD послал. Поставил каспера.
|
(Offline)
|
|
06.11.2007, 21:16
|
#32
|
Зануда с интернетом
Регистрация: 04.09.2005
Сообщений: 14,014
Написано 6,798 полезных сообщений (для 20,935 пользователей)
|
Re: Смотри же и глазам своим не верь.
2Nord когда я в юности занимался копанием в бинарниках я написал простой сканер по ASCII-кодам. Чтоб не читать "между строк"
__________________
http://nabatchikov.com
Мир нужно делать лучше и чище. Иначе, зачем мы живем? tormoz
А я растила сына на преданьях
о принцах, троллях, потайных свиданьях,
погонях, похищениях невест.
Да кто же знал, что сказка душу съест?
|
(Offline)
|
|
07.11.2007, 11:15
|
#33
|
|
Re: Смотри же и глазам своим не верь.
WinAPI
получи окно
получи лист
найди строку - удали
|
Хм... Пробовал ?
2Tadeus: Этот API больше не поддерживается, насколько я помню.
|
|
|
07.11.2007, 11:39
|
#34
|
Разработчик
Регистрация: 17.01.2007
Сообщений: 409
Написано 114 полезных сообщений (для 281 пользователей)
|
Re: Смотри же и глазам своим не верь.
Способ работает... я даже в инете где то пример видел
Этот API больше не поддерживается, насколько я помню.
|
Угу убрали его еще в 2000 Винде
Хм... А чего ему говорить... Когда то давно я на VB написал одну очень простую программу... Заносилась она в папку автозагрузка и просто вырубала винду... Ни один антивирус ничего не говорил... почему? Да просто не являются такие программы вирусами... Они просто гадят в систему портят жизнь юзеру.. Но не шпионят и ничего не крадут.. Вот и не попадают в антивирусный базы... Но проблем от них не меньше... Конечно я полный лох в хакерском деле... Но по моему вредоносные программы по мимо троянов червей и т.д. делятся еще на типо шуточные и типа серьезные.... Но в этом я ни фига не разбираюсь....
|
(Offline)
|
|
07.11.2007, 21:03
|
#35
|
Элита
Регистрация: 02.10.2005
Сообщений: 1,789
Написано 132 полезных сообщений (для 252 пользователей)
|
Re: Смотри же и глазам своим не верь.
Мне вот чего не понятно: как этот трояновирус может рапространяться с помощью "AutoRun.INF", если выполнениние оного со сменных носителей (кроме CD\DVD) изначально блокировано системой ?
|
вотъ:
[AutoRun]
open=NTDETECT.EXE
shell\Открыть\command=NTDETECT.EXE
shell=Открыть
|
каждый день хожу в универ и каждый день приношу на флешке домой вирус. Задолбался уже.
имена процессов:
sv shost.exe (не путать с sv chost.exe)
crss.exe (не путать с csrss.exe)
а также tskmgr(не путать с taskmagr.exe)
тырит пароли Вебмани и всякой прочей инфы.
Лечится Касперычем.
да забыл сказать - сам файл NTDETECT.EXE копирует сам себя по всем логическим дискам + autorun-ы к ним + записывает вышеперечисленные екзешники в system32.
Я вычислил его по постоянным ошибкам: cannot copy clipboard(вроде так)
и сообщение о некоректности приложения crss и svshost при выключении компа.
Также все диски зараженные этой дрянью открываеються в эксплорере в отдельном окне.
|
(Offline)
|
|
08.11.2007, 00:20
|
#36
|
Троллота
Регистрация: 09.07.2007
Сообщений: 1,829
Написано 554 полезных сообщений (для 1,772 пользователей)
|
Re: Смотри же и глазам своим не верь.
2Tadeus: Этот API больше не поддерживается, насколько я помню.
|
Щас все куда проще: у формы для этого есть специальное свойство
|
(Offline)
|
|
08.11.2007, 22:10
|
#38
|
Элита
Регистрация: 02.10.2005
Сообщений: 1,789
Написано 132 полезных сообщений (для 252 пользователей)
|
Re: Смотри же и глазам своим не верь.
Y=A+B+X
Y -успех в жизни
A- работа
B - отдых
X - умение держать язык за зубами
Эйнштейн(c)
|
(Offline)
|
|
09.11.2007, 10:31
|
#39
|
|
Re: Смотри же и глазам своим не верь.
X - умение держать язык за зубами
|
Но, право, не до такой же степени !
|
|
|
09.11.2007, 20:29
|
#40
|
Троллота
Регистрация: 09.07.2007
Сообщений: 1,829
Написано 554 полезных сообщений (для 1,772 пользователей)
|
Re: Смотри же и глазам своим не верь.
Сообщение от Chrono Syndrome
Какое ?
|
нужно в Form_Load записать App.taskvisible=false
На VB во всяком случае
|
(Offline)
|
|
06.04.2008, 04:36
|
#41
|
Зануда с интернетом
Регистрация: 04.09.2005
Сообщений: 14,014
Написано 6,798 полезных сообщений (для 20,935 пользователей)
|
Ответ: Смотри же и глазам своим не верь.
Справедливости ради надо добавить, что описанный червь появился,спустя некторое время, в базе антивирусной системы (хотя, на мой взгляд, достаточно поздно):
На скриншоте видим, как антивирь отважно удаляет подсунутый ему на растирзание сжатый, но незашифрованный экземпляр вредоносной программы, идентиицировав его как "Win32/AutoRun.DO червь"
__________________
http://nabatchikov.com
Мир нужно делать лучше и чище. Иначе, зачем мы живем? tormoz
А я растила сына на преданьях
о принцах, троллях, потайных свиданьях,
погонях, похищениях невест.
Да кто же знал, что сказка душу съест?
|
(Offline)
|
|
09.04.2008, 16:00
|
#42
|
Зануда с интернетом
Регистрация: 04.09.2005
Сообщений: 14,014
Написано 6,798 полезных сообщений (для 20,935 пользователей)
|
Ответ: Смотри же и глазам своим не верь.
Ы
http://www.hw-by.com/viewtopic.php?f...d48656551738f6
Сообщение от обсуждение настоящей статьи на булке
|
http://forum.grodno.net/YaBB.pl?num=1201100786
Сообщение от обсуждение настоящей статьи на булке
Я это уже через поисковик находил. Слишком мудрено
Если ты прошаренный в этом вопросе, отпиши пожалуйста попроще
|
Говорили мне - объясняйся проще
__________________
http://nabatchikov.com
Мир нужно делать лучше и чище. Иначе, зачем мы живем? tormoz
А я растила сына на преданьях
о принцах, троллях, потайных свиданьях,
погонях, похищениях невест.
Да кто же знал, что сказка душу съест?
Последний раз редактировалось impersonalis, 09.04.2008 в 22:49.
|
(Offline)
|
|
06.11.2012, 12:53
|
#43
|
Зануда с интернетом
Регистрация: 04.09.2005
Сообщений: 14,014
Написано 6,798 полезных сообщений (для 20,935 пользователей)
|
Ответ: Смотри же и глазам своим не верь.
О-о-о-о на днях зашёл в РИО и подцепил вирусок. Обычно во всякие сомнительные (в плане ит-безопасности) места я хожу с карточкой памяти, т.к. последняя имеет аппаратную блокировку записи.
Но тут мне могли дать отредактированные варианты файлов, поэтому read-only не канал.
Разумеется, антивирус уничтожил зловредный модуль. Тем не менее, спешу поделиться наблюдениями.
Ну и что же я обнаружил?
По классическому сценарию, вирус создал в корне директорию "корзина", учтя все детали оформления кроме одного принципиального: на флешках в Windows не бывает корзины - все файлы удаляются безвозвратно (исключение - внешние HDD). Разумеется, корзина была не корзиной, а нычкой для основного модуля.
Далее, как обычно, был создан autorun.ini, запускающий модуль, при открытии карточки двойным кликом (я, как правило, захожу через опцию контекстного меню - вообще, в 98% случаев, авторан только головной боли добавляет). Т.к. запуска авторана пользователь может различными способами избежать (заход через кон. меню; открытие через сторонний настроенный проводник; открытие конкретных директорий напрямую, а не через корень; недостаточно эффективный антивирус [например, удалён только авторан], оставляющий ещё шанс заразить машину; невозможность создать авторан [например, его уже создал другой вирус]), используется ещё и второй механизм заражения.
Всем папкам в корне ставятся атрибуты "скрытый" и "системный", с каждой папки делается ярлык. Ярлыкам присваиваются имена оригинальных папок (т.е. не "Ярлык для Важно", а "Важно"). И, самое, интересное: в поле "Объект" ярлыка прописывается следующее:
%windir%\system32\cmd.exe /c "start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно
Я практически не работаю в консоли, но, думаю очевидно, что происходит следующее:
%windir%\system32\cmd.exe /c открывается консоль (ключ, вероятно, для сокрытия окна) и в неё передаётся строка
"start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно
которая, судя по всему, выполняет запуск модуля зловреда из псевдокорзины, после чего открывает в проводнике исходную папку (ту, под которую мимикрирует ярлык).
Т.е. невнимательный пользователь (не заметивший, что у папок "появилась стрелочка в уголке") кликает по ярлыку и получает ожидаемую картину: открытие требуемой папки. А в качестве нагрузки - запуск вируса.
Во всей этой истории у меня только один вопрос: как штатными средствами ( в 7ке!) снять с директории атрибут "системный". В принципе, я просто скопировал нужные мне несколько файлов из "системной" папки, а карточку, до кучи, форматнул. Но, хотелось бы знать "правильный" метод.
__________________
http://nabatchikov.com
Мир нужно делать лучше и чище. Иначе, зачем мы живем? tormoz
А я растила сына на преданьях
о принцах, троллях, потайных свиданьях,
погонях, похищениях невест.
Да кто же знал, что сказка душу съест?
|
(Offline)
|
|
Сообщение было полезно следующим пользователям:
|
|
06.11.2012, 13:34
|
#44
|
Злобный Админ
Регистрация: 04.09.2005
Сообщений: 5,926
Написано 3,415 полезных сообщений (для 9,330 пользователей)
|
Ответ: Смотри же и глазам своим не верь.
В семерке нет атрибута системный. Вместо него есть права доступа.
__________________
|
(Offline)
|
|
Эти 3 пользователя(ей) сказали Спасибо SBJoker за это полезное сообщение:
|
|
06.11.2012, 14:20
|
#45
|
Мерцающий
Регистрация: 18.04.2006
Сообщений: 5,838
Написано 1,519 полезных сообщений (для 3,030 пользователей)
|
Ответ: Смотри же и глазам своим не верь.
Картинки не видно
|
(Offline)
|
|
Ваши права в разделе
|
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения
HTML код Выкл.
|
|
|
Часовой пояс GMT +4, время: 05:01.
|