|
Смотри же и глазам своим не верь.
Смотри же и глазам своим не верь. На небе затаился чёрный зверь. В глазах его я чувствую беду... Криво начавшийся день так же криво и продолжался. Я законнектил фотоаппарат с компом, чтобы скинуть фотографии (до этого он был непродолжительное время у одногруппника в связи с возникшей производственной необходимостью). И тут началось! Внешний накопитель определялся достаточно долго, когда же, наконец я зашёл на карточку, увидел там вновь созданные папки (на фотоаппарате одна системная директория, в которую помещаются снимки). Кроме того, в корне валялся скрытый системный файл autorun.inf, следующего содержания: [autorun] UseAutoPlay=1 shellExecute=Recycled\KESHA.EXE Файл автозапуска указывал выполнение какого-то палёного ехе-шника во вновь созданной папке на карточке фотоаппарата. В папке Recycled я нашёл два файла (напоминаю – все эти файлы стоят с набором флагов упрятать_от_пользователя): KESHA.EXE Nosferatu.txt Последний (текстовик) содержал, стихотворение, выбранное в качестве эпиграфа этой статьи. И тут как-то очень не кстати мне вспомнились мои «шалости» и песня «Der Meister» группы Rammstein. «Почуяв беду» я вызвал менеджер процессов. О ужас! На вершине сидел процесс KESHA.EXE. Недолго думая, выгружаю процесс и переключаюсь обратно на фотоаппарат. Блин! Папка исчезла! Пока я пялился в монитор с выражением на лице «шо эт было?», фаерволл (OutPost) сообщил о том, что процесс еxplorer.exe пытается получить доступ к сайту в зоне jino-net.ru . Блокирую. Ситуация стала пугающе проясняться. Под звуки неожиданно проснувшегося флопа, я начал антивирусное сканирование (NOD, свежайшая на тот момент антивирусная база). Как я и ожидал (если есть на что – то сработает сразу) – перетряхивание файлов на винтах и карточке ничего не дало. Тем временем флоп хрюкал с периодичностью в 5 секунд. Всё! Приплыли! Вспоминаю про неподготовленный доклад по схемотехнике и недокачанное видео. Пофилософствовав вслух про хакеров, занимающихся подобным безобразием и тем самам дискредитирующих настоящих приверженцев 31337-культуры, я постарался сосредоточиться на решении проблемы. Открываю менеджер процессов, листаю, комментирую в ICQ, и тут: impersonalis © (18:22:15 23/10/2007) так нах impersonalis © (18:22:19 23/10/2007) 2 эксплорера? impersonalis © (18:22:23 23/10/2007) тыыык Для анализа решаю упорядочить процессы по имени – и сравнить характеристики обоих «эксплореров». И что я вижу?! Сортировка не просто разнесла два одноимённых (как какжется) процесса по разным частям списка, но и запихнула один из них совсем в неожиданное место:  Простейшие умозаключения о расположении кодов символов латиницы и кириллицы в таблице ASCII, позволяют прийти к неожиданному выводу: первая буква имени процесса не латинская, а кириллическая! Ну и какому порядочному человеку это надо? Выгружаю процесс. Опа – флоп затыкается. Блаженные моменты квази-тишины. Вызываю поиск файлов и ищу explorer (первый байт = 197). Нахожу ехе-к. Далее – не знаю, может кто и выпендрился, а у меня IE стоит в дефолтной директории, а именно: Program Files\Internet Explorer\ Поиск же нашёл мне близнеца в директории system32. Памятуя о не всегда понятной простым смертным логике организации системных файлов, сравниваю оба ехе при помощи Depends (утилита из набора Microsoft Visual C++ 6.0 Tools) – результат на скриншоте:  Что называется – почувствуйте разницу! Не совпадают: имена исполняемых файлов, кол-во подключаемых DLL. Удаляю. Спамлю своей радостью контакты в ICQ. Трофеи. Куда без них? Пока я пытался загнать Трояна в резервацию, заразился ещё раз. В ходе устранения последствий выяснил ещё одну интересную фичу данного комплекса. Внимание на скриншот:  Обратите внимание на выделенные рамками параметры – зло-программа самовольно изменяла их так, чтобы скрыть факт своего наличия на носителе. Далее – в ходе работы программа создаёт свои копии не только в system32, но и в других произвольных директориях, предварительно разместив там папку Recycled. Вот так, можно сказать, «голыми руками» я боролся с «чёрным зверем». |
Re: Смотри же и глазам своим не верь.
Сегодня распечатывал фотографии в институте. Знаете, что бросилось мне в глаза?
Световой индикатор на флопике тамошнего компа – он мигал с интервалом секунд в 5. Сопоставил факты – поделился наблюдениями с владельцем аппаратуры – тот только руками развёл – «фиг его знает, что к нему постоянно обращения идут». Чтобы не создавать антирекламу, удобному в общем-то сервису: 1) Товарищи, юзайте cd\dvd 2) МИРЭА-шники могут уточнить «пункт распространения» Трояна у меня в ICQ. |
Re: Смотри же и глазам своим не верь.
Деловое обращение. Для создания вируса-вредителя много ума не надо, а вот чтобы на основе вируса создать нечто полезное для всех пользователей и хорошо на этом заработать – удел немногих догадливых. А представляете, каким бы успехом пользовалась программа, принимающая такие полезные вирусы, там более, что система эта себя уже очень хорошо отрекламировала. Все пользователи программ Microsoft будут Вам благодарны!!! (Владимир Борисов)
http://www.aphorism.ru/803.shtml |
Re: Смотри же и глазам своим не верь.
Так - jimon вынес справедливое замечание, что приложения в system32 и в Program Files - разные: оболочка и браузер.
Замечание справдливое в целом, но на суть моих разибрательств корневым образом не влияет. 1) MS не даст совему пордукту имя, состоящее из смеси двух алфавитов. 2) 1 + тем более, использовать фокусы визуального восприятия алфавитов. 3) оболочка находиться, не в корне system32, а в system32\dllcache 4) ещё одну копию программы я нашёл в корне WINDOWS - обе они совпдают друг с другом и не совпадают с трояном:  В любом случае - спасибо jimon-у за проявленный к статье интерес |
Re: Смотри же и глазам своим не верь.
Хех, а я вот тут пытаюсь написать подобный троян самостоятельно).
|
Re: Смотри же и глазам своим не верь.
|
Re: Смотри же и глазам своим не верь.
Цитата:
мою винду убивали вирусы. И затерев папку с виндой новой виндой, удаля нод, и поставив касперский, каспер мне выдавал вирусы расплодившиеся по папкам. Вывод. Нод гавно! Новейший нод не нашёл вирусы, которые нашёл каспер 6 (и это при том что каспер 6 старый, щас все каспером 7 пользуются). Да каспер грузит комп, да долго проверяет каталоги, да ругается и не на заражённые файлы, но зато он эффективный. |
Re: Смотри же и глазам своим не верь.
|
Re: Смотри же и глазам своим не верь.
|
Re: Смотри же и глазам своим не верь.
Цитата:
Цель не оправдывает средства: продолжая политику сверхпроверок можно просто-напросто поставить DOS. О том как Каспер рубает в капусту всё подряд насмотерлся на многочисленных компах знакомых: это те самые антвирусы, которые рекомендуют отключать инсталляторы перед продолжением установки. |
Re: Смотри же и глазам своим не верь.
Chrono Syndrome
это на каком языке написано то ? :) |
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Даже не зная Forth, я так и понял что эта прога на нем. Достаточно перечитать пп-форум, и споры(дискуссии) Chrono Syndrome и местного одмина))) А по теме. Можно тока радоваться находчивости и зоркому глазу impersonalisа. А так же слава ОутПосту великому, он меня тоже выручал много раз... хотя появляются уже хакерские статейки об обходе этой славной программы.
|
Re: Смотри же и глазам своим не верь.
Мне вот чего не понятно: как этот трояновирус может рапространяться с помощью "AutoRun.INF", если выполнениние оного со сменных носителей (кроме CD\DVD) изначально блокировано системой ?
|
Re: Смотри же и глазам своим не верь.
Хм.. странно.. я думаю, вообще-то троян не должен отображатся в процессах... или должнен?
|
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Цитата:
ведать отстреливал вирус какойто. :''(( |
Re: Смотри же и глазам своим не верь.
|
Re: Смотри же и глазам своим не верь.
|
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Так - вышел на потенциального автора.
А оказалось - сайт, на который ломилась зло-прога, был определённый период взломан. |
Re: Смотри же и глазам своим не верь.
А если не секрет, что за сайт? :)
|
Re: Смотри же и глазам своим не верь.
Други, вчера поставил прогу ADAware вроде как она удаляет червей, кукис всякие и т.д. а то мой Аваст вопит, что много вирусников и червей. Поставил этот ADAware проверять систему по полной программе. После 2 часов сканирования, было выдано сообщение, что заражено ~300 файлов. Ну и конечно вопрос, игнорировать, переименовать, поместить в хранилище и удалить. Ну я естественно вжал удалить! И чтоб вы думали. У меня удалились iexplorer.exe, bsplayer.exe и другие экзешники, то есть программа есть, а екзешника нет. Не делайте моих ошибок. К программе-то у мня притензий нет. Сам лопух,нах... Я вас предупредил, а предупрежден значит защищен.
|
Re: Смотри же и глазам своим не верь.
БЛИН! Отображаемость трояна в процессах прямозависима от кол-ва мозгов у его создателя. Ибо в Виндовз есть функция, которой можно отключить показ проги в процессах ;)
|
Re: Смотри же и глазам своим не верь.
Гы, я както заразился Win32.Parite.B, он тоже на ехе садиться, чтож, пришлёсь отчиску делать, из найденых 300 ехшников удалил около половины, для меня это был удар, долго востанавливался :)
|
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Цитата:
получи окно получи лист найди строку - удали |
Re: Смотри же и глазам своим не верь.
http://fishki.net/comment.php?id=27797
некоторым образом относится |
Re: Смотри же и глазам своим не верь.
Про скрытие процесса: существует в kernel32.dll функция RegisterServiceProcess. Обьявление функции в VisualBasic:
Код:
Private Declare Function RegisterServiceProcess Lib _Код:
RegisterServiceProcess 0, 1 |
Re: Смотри же и глазам своим не верь.
Хех, недавно тоже давал одногрупнику mp3-шник, принес кучу троев. Тоже autorun.inf и exe-шник+все мои папки на плеере скрыты, а вместо них exe с иконкой и именем настощей папки. NOD тоже молчал зараза, пришлось всё ручками удалять, тут я вообще извратился: открыл этот exe-шник блокнотом (!). И посмотрел куда он какие файлы копирует и прописывает, пришлось читать между строк (а точнее, между букв). Но разобрался. За один дабл-клик он скопировал 4 файла с разными именами в system32 причем запуск при старте системы у всех разный, кто-то через автозапуск, кто еще как, файл удалил и теперь при старте система выдает сообщения "Файл не найден". Реестр надо посканить да че-то времени нет (автозагрузка пуста). А ещё в этом самом трое интерестный фрагмент нашел типа: fileopen explorer.exe <какой-то код> (строки свои какие-то заносит) fileclose Не помню точно как, на VB было написано.
Вообщем жесть. Все удалил, а NOD послал. Поставил каспера. |
Re: Смотри же и глазам своим не верь.
2Nord когда я в юности занимался копанием в бинарниках я написал простой сканер по ASCII-кодам. Чтоб не читать "между строк"
|
Re: Смотри же и глазам своим не верь.
Цитата:
2Tadeus: Этот API больше не поддерживается, насколько я помню. |
Re: Смотри же и глазам своим не верь.
Цитата:
Цитата:
Цитата:
|
Re: Смотри же и глазам своим не верь.
Цитата:
Цитата:
имена процессов: svshost.exe (не путать с svchost.exe) crss.exe (не путать с csrss.exe) а также tskmgr(не путать с taskmagr.exe) тырит пароли Вебмани и всякой прочей инфы. Лечится Касперычем. да забыл сказать - сам файл NTDETECT.EXE копирует сам себя по всем логическим дискам + autorun-ы к ним + записывает вышеперечисленные екзешники в system32. Я вычислил его по постоянным ошибкам: cannot copy clipboard(вроде так) и сообщение о некоректности приложения crss и svshost при выключении компа. Также все диски зараженные этой дрянью открываеються в эксплорере в отдельном окне. |
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Ирония судьбы... http://tech.groups.yahoo.com/group/w.../message/12998
Цитата:
|
Re: Смотри же и глазам своим не верь.
Y=A+B+X
Y -успех в жизни A- работа B - отдых X - умение держать язык за зубами Эйнштейн(c) ;) |
Re: Смотри же и глазам своим не верь.
Цитата:
|
Re: Смотри же и глазам своим не верь.
Цитата:
На VB во всяком случае |
Ответ: Смотри же и глазам своим не верь.
Справедливости ради надо добавить, что описанный червь появился,спустя некторое время, в базе антивирусной системы (хотя, на мой взгляд, достаточно поздно):
 На скриншоте видим, как антивирь отважно удаляет подсунутый ему на растирзание сжатый, но незашифрованный экземпляр вредоносной программы, идентиицировав его как "Win32/AutoRun.DO червь" |
Ответ: Смотри же и глазам своим не верь.
Ы
http://www.hw-by.com/viewtopic.php?f...d48656551738f6 Цитата:
Цитата:
Говорили мне - объясняйся проще :@ |
Ответ: Смотри же и глазам своим не верь.
О-о-о-о на днях зашёл в РИО и подцепил вирусок. Обычно во всякие сомнительные (в плане ит-безопасности) места я хожу с карточкой памяти, т.к. последняя имеет аппаратную блокировку записи.
Но тут мне могли дать отредактированные варианты файлов, поэтому read-only не канал. Разумеется, антивирус уничтожил зловредный модуль. Тем не менее, спешу поделиться наблюдениями. Ну и что же я обнаружил? По классическому сценарию, вирус создал в корне директорию "корзина", учтя все детали оформления кроме одного принципиального: на флешках в Windows не бывает корзины - все файлы удаляются безвозвратно (исключение - внешние HDD). Разумеется, корзина была не корзиной, а нычкой для основного модуля. Далее, как обычно, был создан autorun.ini, запускающий модуль, при открытии карточки двойным кликом (я, как правило, захожу через опцию контекстного меню - вообще, в 98% случаев, авторан только головной боли добавляет). Т.к. запуска авторана пользователь может различными способами избежать (заход через кон. меню; открытие через сторонний настроенный проводник; открытие конкретных директорий напрямую, а не через корень; недостаточно эффективный антивирус [например, удалён только авторан], оставляющий ещё шанс заразить машину; невозможность создать авторан [например, его уже создал другой вирус]), используется ещё и второй механизм заражения. Всем папкам в корне ставятся атрибуты "скрытый" и "системный", с каждой папки делается ярлык. Ярлыкам присваиваются имена оригинальных папок (т.е. не "Ярлык для Важно", а "Важно"). И, самое, интересное: в поле "Объект" ярлыка прописывается следующее: Код:
%windir%\system32\cmd.exe /c "start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%Важно%windir%\system32\cmd.exe /c открывается консоль (ключ, вероятно, для сокрытия окна) и в неё передаётся строка Код:
"start %cd%RECYCLED\d1ff3a37.exe &&%windir%\explorer.exe %cd%ВажноТ.е. невнимательный пользователь (не заметивший, что у папок "появилась стрелочка в уголке") кликает по ярлыку и получает ожидаемую картину: открытие требуемой папки. А в качестве нагрузки - запуск вируса. Во всей этой истории у меня только один вопрос: как штатными средствами (в 7ке!) снять с директории атрибут "системный". В принципе, я просто скопировал нужные мне несколько файлов из "системной" папки, а карточку, до кучи, форматнул. Но, хотелось бы знать "правильный" метод. |
Ответ: Смотри же и глазам своим не верь.
В семерке нет атрибута системный. Вместо него есть права доступа.
|
Ответ: Смотри же и глазам своим не верь.
Картинки не видно
|
| Часовой пояс GMT +4, время: 19:16. |
vBulletin® Version 3.6.5.
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Перевод: zCarot