

ВІРУС
#21
Відправлено 02.10.2008 – 20:06
#24
Відправлено 02.10.2008 – 20:38
А ще можна почитати книжечку про руткіти, якщо цікавить контроль над машиною.
Повідомлення відредагував FT232BM: 02.10.2008 – 20:47
#25
Відправлено 02.10.2008 – 20:44
FT232BM (2.10.2008 20:38) писав:

Я знаю , де є , але не скажу. А то ще вишле адміну цього сайту , і де ми будем про цицьки говорити?

#26
Відправлено 02.10.2008 – 20:48
Спаркс, (соррі, не знаю чому, але далі ПЛ у мене не діють) щось мені здається, що хочеш зробити комусь подарок - краще задумайся, чи варто.
#27
Відправлено 02.10.2008 – 21:01
Цитата
Цитата
Інша справа авторани на флешках, які постійно настрій псують. Я їх відімкнув. А ще створюйте обмежені облікові записи для повсякденного користування. Також уважно ставтесь до браузерів та їх вразливостей. Нівякому разі не використовуйте ІЕ.
#28
Відправлено 03.10.2008 – 06:26
FT232BM (2.10.2008 22:01) писав:
Інша справа авторани на флешках, які постійно настрій псують. Я їх відімкнув. А ще створюйте обмежені облікові записи для повсякденного користування. Також уважно ставтесь до браузерів та їх вразливостей. Нівякому разі не використовуйте ІЕ.

bublik (2.10.2008 21:44) писав:

Я знаю , де є , але не скажу. А то ще вишле адміну цього сайту , і де ми будем про цицьки говорити?

Мож в кого є як написати вірус?
#30
Відправлено 03.10.2008 – 10:16
#31
Відправлено 04.10.2008 – 18:48
генератор чого?
Теми з'єднано.
#32
Відправлено 30.11.2008 – 18:59
коли Авіра вибє що знайдений вірус вибери Перейменувати і перемістити і всьо

#33
Відправлено 30.11.2008 – 19:27

P.S. Ні раз перевстановив


Повідомлення відредагував SancoVirus: 30.11.2008 – 19:28
#35
Відправлено 15.01.2009 – 00:03

Цитата
Троянская программа. Является приложением Windows (PE EXE-файл). Имеет размер 117248 байт. Упакована при помощи UPX. Распакованный размер — около 280 КБ. Написана на Visual Basic.
Инсталляция
После запуска троянец создает в системном каталоге Windows каталог с именем "DETER177" и копирует в него свое тело под именами "lsass.exe", "smss.exe" и "svсhоst.exe":
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
После этого меняет атрибуты каталога и созданных файлов на "скрытые" и "системные".
Кроме того, копирует свое тело в системный каталог Windows под именами "ctfmon" и "АHTОMSYS19.exe":
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
Следует обратить внимание, что некоторые буквы в названиях этих файлов указаны в русской кодировке.
Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"
Для введения пользователя в заблуждение файл троянца имеет иконку обычного каталога Windows. Деструктивная активность
Троянец отключает показ скрытых файлов для приложения Explorer.exe, устанавливая следующие параметры ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
Так же отключает показ расширений файлов для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
Для предотвращения возможности восстановить эти параметры штатными средствами троянец отключает пункт меню "Свойства папки" для приложения Explorer.exe, устанавливая следующий параметр ключа системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"
После чего троянец создает в системном каталоге Windows скрытый файл "рsаdоr18.dll":
%System%\рsаdоr18.dll
В этот файл троянец помещает следующие адреса электронной почты:
ot01_***@mail.ru
ot02_***@mail.ru
Также троянец извлекает из своего тела руткит "рsagоr18.sys". Данный файл помещается в рабочий каталог троянца. В данном рутките содержатся функции для скрытия файлов "рsаdоr18.dll" и "АHTОMSYS19.exe", а так же предоставление троянцу наивысшего приоритета в системе, что делает невозможным удаление троянских файлов и завершение троянских процессов.
При завершении работы системы данный файл удаляется, после чего создается снова при перезагрузке.
Во время работы троянец отслеживает появление в системе окон со следующими заголовками:
NOD32 2.5 Control Center
Сканер NOD32 по требованию - [Профиль центра управления - Локально]
Сканер NOD32 по требованию - [Профиль контекстного меню]
NOD32 - Предупреждение
Пpeдупpeждeниe Редактор конфиг
урации NOD32 - [Untitled]
Антивирус Касперского Personal
0- выполняется проверка...
Карантин
Настройка обновления
Настройка карантина и резервного хранилища
Выберите файл для отправки на исследование
AVP.MessageDialog
AVP.MainWindow
AVP.Product_Notification
AVP.SettingsWindow
AVP.ReportWindow
Agnitum Outpost Firewall - configuration.cfg
Настройка системы
Редактор реестра
RegEdit_RegEdit
В случае обнаружения такие окна будут закрываться автоматически.
Также троянец отслеживает появление в системе флеш-устройств. В случае обнаружения троянец копирует туда свое тело под именем "CDburn.exe" и создает файл "autorun.inf" со ссылкой на свое тело. Таким образом, файл троянца будет автоматически запущен при каждом следующем подключении данного устройства.
Также троянец собирает на зараженном компьютере адреса электронной почты и рассылает на них письмо без темы следующего содержания:
Я незнаю ее там помоему небыло(((... вот, посмотри http://softclub.land...rarРекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файлы, созданные троянцем:
%System%\DETER177\lsass.exe
%System%\DETER177\smss.exe
%System%\DETER177\svсhоst.exe
%System%\ctfmon.exe
%System%\АHTОMSYS19.exe
%System%\рsаdоr18.dll
Удалить ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Run]
"ctfmon" = "%System%\ctfmon.exe"
"lsass" = "%System%\DETER177\lsass.exe"
Перезагрузить компьютер в обычном режиме.
Заменить ключи системного реестра:
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\АHTОMSYS19.exe"
на
[HKLM\Software\Microsoft\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe"
----------------------------------------------------------------------------------------------------------------
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
"ShowSuperHidden" = "0"
"HideFileExt" = "1"
на
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = ""
"ShowSuperHidden" = ""
"HideFileExt" = ""
----------------------------------------------------------------------------------------------------------------
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = "1"
на
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoFolderOptions" = ""
Проверить все флэш-накопители, которые подключались к зараженному компьютеру, на наличие следующих файлов в корневом каталоге:
CDburn.exe
autorun.inf
Если такие файлы существуют, удалить их.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
#36
Відправлено 15.01.2009 – 00:42

Я був в шоці... нашо писати отакево, з такою кількістю всяких функцій...? Не думаю, шо комусь хотілось би сидіти і напрягати мозги раді якогось гівна...Дуже схоже на те що описав топікстартер.
переважно гуляє на флешках.
#38
Відправлено 15.01.2009 – 01:16
А ти той вірус вилікував?
зламав паролю на одміні, намагався залізти в безпечному режимі в реєстр.
думав знесу його з процесів, потраплю в реєстрер. ну я точно не пам ятаю шо я так ковиряв..
я десь читав шо його можна глюканути через ІЕ, а потім інсталити Касперського (останю версію) і той наче його замочить.
я ж просто зняв вінт, підрубив до іншої тачки і покіляв його Авірою. потім реанімував вінду.
доречі рекомендую ЮЗБ Секюріті юзати.. і завалити в реєстрі авторан. тоді ця гадіна не пролізе стопудово.
офіґєть.. скільки софту вже тре на комп пихати для захисту..
антивірус, фаєрволл, захист ЮЗБ...
через років 200, люди будуть в гумових рукавичках за машинами працювати)
Повідомлення відредагував Кава з козявками...: 15.01.2009 – 01:14
Кількість користувачів, що читають цю тему: 1
0 користувачів, 1 гостей, 0 анонімних