Смотри же и глазам своим не верь.
 

Криво начавшийся день так же криво и продолжался. Я законнектил фотоаппарат с компом, чтобы скинуть фотографии (до этого он был непродолжительное время у одногруппника в связи с возникшей производственной необходимостью).
И тут началось! Внешний накопитель определялся достаточно долго, когда же, наконец я зашёл на карточку, увидел там вновь созданные папки (на фотоаппарате одна системная директория, в которую помещаются снимки). Кроме того, в корне валялся скрытый системный файл autorun.inf, следующего содержания:

[autorun]
UseAutoPlay=1
shellExecute=Recycled\KESHA.EXE

Файл автозапуска указывал выполнение какого-то палёного ехе-шника во вновь созданной папке на карточке фотоаппарата.
В папке Recycled я нашёл два файла (напоминаю – все эти файлы стоят с набором флагов упрятать_от_пользователя):

KESHA.EXE
Nosferatu.txt

Последний (текстовик) содержал, стихотворение, выбранное в качестве эпиграфа этой статьи. И тут как-то очень не кстати мне вспомнились мои «шалости» и песня «Der Meister» группы Rammstein. «Почуяв беду» я вызвал менеджер процессов. О ужас! На вершине сидел процесс KESHA.EXE. Недолго думая, выгружаю процесс и переключаюсь обратно на фотоаппарат. Блин! Папка исчезла! Пока я пялился в монитор с выражением на лице «шо эт было?», фаерволл (OutPost) сообщил о том, что процесс еxplorer.exe пытается получить доступ к сайту в зоне jino-net.ru . Блокирую.
Ситуация стала пугающе проясняться. Под звуки неожиданно проснувшегося флопа, я начал антивирусное сканирование (NOD, свежайшая на тот момент антивирусная база).
Как я и ожидал (если есть на что – то сработает сразу) – перетряхивание файлов на винтах и карточке ничего не дало. Тем временем флоп хрюкал с периодичностью в 5 секунд.
Всё! Приплыли! Вспоминаю про неподготовленный доклад по схемотехнике и недокачанное видео.
Пофилософствовав вслух про хакеров, занимающихся подобным безобразием и тем самам дискредитирующих настоящих приверженцев 31337-культуры, я постарался сосредоточиться на решении проблемы.
Открываю менеджер процессов, листаю, комментирую в ICQ, и тут:

impersonalis © (18:22:15 23/10/2007)
так нах

impersonalis © (18:22:19 23/10/2007)
2 эксплорера?

impersonalis © (18:22:23 23/10/2007)
тыыык

Для анализа решаю упорядочить процессы по имени – и сравнить характеристики обоих «эксплореров». И что я вижу?! Сортировка не просто разнесла два одноимённых (как какжется) процесса по разным частям списка, но и запихнула один из них совсем в неожиданное место:



Простейшие умозаключения о расположении кодов символов латиницы и кириллицы в таблице ASCII, позволяют прийти к неожиданному выводу: первая буква имени процесса не латинская, а кириллическая! Ну и какому порядочному человеку это надо? Выгружаю процесс. Опа – флоп затыкается. Блаженные моменты квази-тишины.
Вызываю поиск файлов и ищу explorer (первый байт = 197). Нахожу ехе-к. Далее – не знаю, может кто и выпендрился, а у меня IE стоит в дефолтной директории, а именно:
Program Files\Internet Explorer\
Поиск же нашёл мне близнеца в директории system32. Памятуя о не всегда понятной простым смертным логике организации системных файлов, сравниваю оба ехе при помощи Depends (утилита из набора Microsoft Visual C++ 6.0 Tools) – результат на скриншоте:



Что называется – почувствуйте разницу!
Не совпадают: имена исполняемых файлов, кол-во подключаемых DLL.
Удаляю.
Спамлю своей радостью контакты в ICQ.

Трофеи. Куда без них? Пока я пытался загнать Трояна в резервацию, заразился ещё раз. В ходе устранения последствий выяснил ещё одну интересную фичу данного комплекса.
Внимание на скриншот:



Обратите внимание на выделенные рамками параметры – зло-программа самовольно изменяла их так, чтобы скрыть факт своего наличия на носителе.
Далее – в ходе работы программа создаёт свои копии не только в system32, но и в других произвольных директориях, предварительно разместив там папку Recycled.
Вот так, можно сказать, «голыми руками» я боролся с «чёрным зверем».

Re: Смотри же и глазам своим не верь.
 

Сегодня распечатывал фотографии в институте. Знаете, что бросилось мне в глаза?
Световой индикатор на флопике тамошнего компа – он мигал с интервалом секунд в 5. Сопоставил факты – поделился наблюдениями с владельцем аппаратуры – тот только руками развёл – «фиг его знает, что к нему постоянно обращения идут».
Чтобы не создавать антирекламу, удобному в общем-то сервису:
1) Товарищи, юзайте cd\dvd
2) МИРЭА-шники могут уточнить «пункт распространения» Трояна у меня в ICQ.

Re: Смотри же и глазам своим не верь.
 

Деловое обращение. Для создания вируса-вредителя много ума не надо, а вот чтобы на основе вируса создать нечто полезное для всех пользователей и хорошо на этом заработать – удел немногих догадливых. А представляете, каким бы успехом пользовалась программа, принимающая такие полезные вирусы, там более, что система эта себя уже очень хорошо отрекламировала. Все пользователи программ Microsoft будут Вам благодарны!!! (Владимир Борисов)

http://www.aphorism.ru/803.shtml

Re: Смотри же и глазам своим не верь.
 

Так - jimon вынес справедливое замечание, что приложения в system32 и в Program Files - разные: оболочка и браузер.
Замечание справдливое в целом, но на суть моих разибрательств корневым образом не влияет.
1) MS не даст совему пордукту имя, состоящее из смеси двух алфавитов.
2) 1 + тем более, использовать фокусы визуального восприятия алфавитов.
3) оболочка находиться, не в корне system32, а в system32\dllcache
4) ещё одну копию программы я нашёл в корне WINDOWS - обе они совпдают друг с другом и не совпадают с трояном:



В любом случае - спасибо jimon-у за проявленный к статье интерес

Re: Смотри же и глазам своим не верь.
 

Хех, а я вот тут пытаюсь написать подобный троян самостоятельно).

Re: Смотри же и глазам своим не верь.
 

Re: Смотри же и глазам своим не верь.
 

Дважды при новейшей версии нода, с последними антивирусными базами
мою винду убивали вирусы.
И затерев папку с виндой новой виндой, удаля нод, и поставив касперский, каспер мне выдавал вирусы расплодившиеся по папкам.

Вывод. Нод гавно! Новейший нод не нашёл вирусы, которые нашёл каспер 6 (и это при том что каспер 6 старый, щас все каспером 7 пользуются).

Да каспер грузит комп, да долго проверяет каталоги, да ругается и не на заражённые файлы, но зато он эффективный.

Re: Смотри же и глазам своим не верь.
 

Re: Смотри же и глазам своим не верь.
 

Re: Смотри же и глазам своим не верь.
 

Тестили на Касперском - тот же результат.
Цель не оправдывает средства: продолжая политику сверхпроверок можно просто-напросто поставить DOS.

О том как Каспер рубает в капусту всё подряд насмотерлся на многочисленных компах знакомых: это те самые антвирусы, которые рекомендуют отключать инсталляторы перед продолжением установки.

Re: Смотри же и глазам своим не верь.
 

Chrono Syndrome
это на каком языке написано то ? :)

Re: Смотри же и глазам своим не верь.
 

Win32Forth v6.13.00

Re: Смотри же и глазам своим не верь.
 

Даже не зная Forth, я так и понял что эта прога на нем. Достаточно перечитать пп-форум, и споры(дискуссии) Chrono Syndrome и местного одмина))) А по теме. Можно тока радоваться находчивости и зоркому глазу impersonalisа. А так же слава ОутПосту великому, он меня тоже выручал много раз... хотя появляются уже хакерские статейки об обходе этой славной программы.

Re: Смотри же и глазам своим не верь.
 

Мне вот чего не понятно: как этот трояновирус может рапространяться с помощью "AutoRun.INF", если выполнениние оного со сменных носителей (кроме CD\DVD) изначально блокировано системой ?

Re: Смотри же и глазам своим не верь.
 

Хм.. странно.. я думаю, вообще-то троян не должен отображатся в процессах... или должнен?