|
Re: Смотри же и глазам своим не верь.
Хех, недавно тоже давал одногрупнику mp3-шник, принес кучу троев. Тоже autorun.inf и exe-шник+все мои папки на плеере скрыты, а вместо них exe с иконкой и именем настощей папки. NOD тоже молчал зараза, пришлось всё ручками удалять, тут я вообще извратился: открыл этот exe-шник блокнотом (!). И посмотрел куда он какие файлы копирует и прописывает, пришлось читать между строк (а точнее, между букв). Но разобрался. За один дабл-клик он скопировал 4 файла с разными именами в system32 причем запуск при старте системы у всех разный, кто-то через автозапуск, кто еще как, файл удалил и теперь при старте система выдает сообщения "Файл не найден". Реестр надо посканить да че-то времени нет (автозагрузка пуста). А ещё в этом самом трое интерестный фрагмент нашел типа: fileopen explorer.exe <какой-то код> (строки свои какие-то заносит) fileclose Не помню точно как, на VB было написано.
Вообщем жесть. Все удалил, а NOD послал. Поставил каспера. |
Re: Смотри же и глазам своим не верь.
2Nord когда я в юности занимался копанием в бинарниках я написал простой сканер по ASCII-кодам. Чтоб не читать "между строк"
|
Re: Смотри же и глазам своим не верь.
Цитата:
2Tadeus: Этот API больше не поддерживается, насколько я помню. |
Re: Смотри же и глазам своим не верь.
Цитата:
Цитата:
Цитата:
|
Re: Смотри же и глазам своим не верь.
Цитата:
Цитата:
имена процессов: svshost.exe (не путать с svchost.exe) crss.exe (не путать с csrss.exe) а также tskmgr(не путать с taskmagr.exe) тырит пароли Вебмани и всякой прочей инфы. Лечится Касперычем. да забыл сказать - сам файл NTDETECT.EXE копирует сам себя по всем логическим дискам + autorun-ы к ним + записывает вышеперечисленные екзешники в system32. Я вычислил его по постоянным ошибкам: cannot copy clipboard(вроде так) и сообщение о некоректности приложения crss и svshost при выключении компа. Также все диски зараженные этой дрянью открываеються в эксплорере в отдельном окне. |
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Ирония судьбы... http://tech.groups.yahoo.com/group/w.../message/12998
Цитата:
|
Re: Смотри же и глазам своим не верь.
Y=A+B+X
Y -успех в жизни A- работа B - отдых X - умение держать язык за зубами Эйнштейн(c) ;) |
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Цитата:
На VB во всяком случае |
Ответ: Смотри же и глазам своим не верь.
Справедливости ради надо добавить, что описанный червь появился,спустя некторое время, в базе антивирусной системы (хотя, на мой взгляд, достаточно поздно):
 На скриншоте видим, как антивирь отважно удаляет подсунутый ему на растирзание сжатый, но незашифрованный экземпляр вредоносной программы, идентиицировав его как "Win32/AutoRun.DO червь" |
Ответ: Смотри же и глазам своим не верь.
Ы
http://www.hw-by.com/viewtopic.php?f...d48656551738f6 Цитата:
Цитата:
Говорили мне - объясняйся проще :@ |
Ответ: Смотри же и глазам своим не верь.
О-о-о-о на днях зашёл в РИО и подцепил вирусок. Обычно во всякие сомнительные (в плане ит-безопасности) места я хожу с карточкой памяти, т.к. последняя имеет аппаратную блокировку записи.
Но тут мне могли дать отредактированные варианты файлов, поэтому read-only не канал. Разумеется, антивирус уничтожил зловредный модуль. Тем не менее, спешу поделиться наблюдениями. Ну и что же я обнаружил? По классическому сценарию, вирус создал в корне директорию "корзина", учтя все детали оформления кроме одного принципиального: на флешках в Windows не бывает корзины - все файлы удаляются безвозвратно (исключение - внешние HDD). Разумеется, корзина была не корзиной, а нычкой для основного модуля. Далее, как обычно, был создан autorun.ini, запускающий модуль, при открытии карточки двойным кликом (я, как правило, захожу через опцию контекстного меню - вообще, в 98% случаев, авторан только головной боли добавляет). Т.к. запуска авторана пользователь может различными способами избежать (заход через кон. меню; открытие через сторонний настроенный проводник; открытие конкретных директорий напрямую, а не через корень; недостаточно эффективный антивирус [например, удалён только авторан], оставляющий ещё шанс заразить машину; невозможность создать авторан [например, его уже создал другой вирус]), используется ещё и второй механизм заражения. Всем папкам в корне ставятся атрибуты "скрытый" и "системный", с каждой папки делается ярлык. Ярлыкам присваиваются имена оригинальных папок (т.е. не "Ярлык для Важно", а "Важно"). И, самое, интересное: в поле "Объект" ярлыка прописывается следующее: Код:
%windir%\system32\cmd.exe /c "start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно%windir%\system32\cmd.exe /c открывается консоль (ключ, вероятно, для сокрытия окна) и в неё передаётся строка Код:
"start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%ВажноТ.е. невнимательный пользователь (не заметивший, что у папок "появилась стрелочка в уголке") кликает по ярлыку и получает ожидаемую картину: открытие требуемой папки. А в качестве нагрузки - запуск вируса. Во всей этой истории у меня только один вопрос: как штатными средствами (в 7ке!) снять с директории атрибут "системный". В принципе, я просто скопировал нужные мне несколько файлов из "системной" папки, а карточку, до кучи, форматнул. Но, хотелось бы знать "правильный" метод. |
Ответ: Смотри же и глазам своим не верь.
В семерке нет атрибута системный. Вместо него есть права доступа.
|
Ответ: Смотри же и глазам своим не верь.
Картинки не видно
|
| Часовой пояс GMT +4, время: 12:06. |
vBulletin® Version 3.6.5.
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Перевод: zCarot