Пользователь |
Сообщение: борьба с вирусом (Тема#32762) |
Ganzilla
мясник-звероящер
: Киев, 36 лет
С нами с 24.02.06
Посты: 6371
|
Эта штука внедряется как надстройки БЕЗОПАСНОСТИ winlogon и userinit.
И искать надо таки длл-ки. Не знаю, что такое PE, но ERD дает работать с драйверами устройств (некоторые вредные проги могут так инфильтрироваться с типом загрузки BOOT, т.е. в момент загрузки еще до винлогона и юзеринита) и реестром, чтобы найти и поотключать надстройки winlogon и userinit.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Ну если еще раз кто принесет бум копать в винлогоне
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
нечего там копать, это отдельные библиотеки, которые грузит winlogon или userinit
Способы борьбы - LiveCD со свежим антивирусом
Превентивные меры - 1)повесить пароль на учетку админа по-умолчанию, 2)создать отдельного админа с паролем, 3)работа из-под "ограниченого пользователя".
Из ограниченого повесить надстройку или отладчик можно только через "run as.." - итого зараза крепко обломается, потому что на админах стоят неизвестные ей пароли.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Провели эксперимент, Windows 7 успешно заражаеться данным типом блокировки компьютера. Подловили умышленно версию которая разблокируеться кодом от др.вебера и не блокирует приложения на запуск. Пытаемся найти тело проги.
|
|
|
Battle
генерал
С нами с 21.03.07
Посты: 8227
|
Хочу поучаствовать в процессе
Поделитесь инфой как заразиться?
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Заражал не я, и ссылки уже вычистили Но процесс в следующем заходишь на порносайт где требуют установить якобы Flash Pleer 10 для просмотра , вот установка оного и ставит бациллу.
|
|
|
Battle
генерал
С нами с 21.03.07
Посты: 8227
|
Ну что за время Придется с благими намерениями лазить по порно-сайтам
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Прикинь я принципиально там не лажу ,а друг решил повыделываться, вот теперсь сидит чистит , а я его подкалываю. Винде 4 дня как поставил и взял спецом заразился
|
|
|
t0rik
майор
Возраст: 45
: /etc/passwd
С нами с 07.03.03
Посты: 1291
|
|
|
Battle
генерал
С нами с 21.03.07
Посты: 8227
|
Если я правильно понял, то надо искать Trojan.Winlock, модифицированый, доселе неизвесный тут?
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Хрен его знает, знаем только что именно установка типа flash pleera заражает. Найдешь ссылочку дай. Невынес друг 3 й час проверки переставляет винду , так ничего и не нашли. 1 файл отправил др вебу на сайт на проверку. имя bootstat (хоть ето и системный файл но чем черт не шутит) и по дате совпадал с датой заражения больше пока ничего не нашли. Cureit webera тоже ничего не нашел. Похоже бацилла маскирует дату создания .
|
|
|
Battle
генерал
С нами с 21.03.07
Посты: 8227
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
поиск по дате, антивирусники, проверка веток автозагрузок реестра и мсконфига, подмена shell итд. Товарищ утверждает , что он вначале скачал типа флаш плеер себе на комп файл 300 кб и проверил его нодом, нод не ругнулся поэтому он его и установил файл исчез а окно блокировки появилось чуть позже. Жаль он мне перед этим этот файл не дал блин.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
ггг Друг говорит - "не ссцы счас систему переставлю я тебе за 10 минут его снова найду"
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
Мониторьте реестр - чистый слепок - слепок после заражения.
Есть проги, которые показывают разницу.
В автозагрузках - не найдете, оно вешает dll'ку, которую грузит легальный процесс (explorer, svchost, userinit, winlogon - кто во что горазд)
Некоторых можно вычислить по наличию в \windows или \windows\system скрытого файла sdra64.exe, но 1)не у всех, 2)это контролька, а не тело вируса
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Так я ему так и сказал перед тем как ставить бациллу запустилбы мониторинг
P.S. sdra64.exe да да знакомая зараза.
|
|
|
Battle
генерал
С нами с 21.03.07
Посты: 8227
|
юзаю Active Registry Monitor и DiskChange
может в логах и найду что...
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
Неполная инфа очень вредна в неумелых руках.
Зачем менять расположение папки автозагрузки, если текущую папку вируса читают из системной инфы?
В статье не описан ДАЖЕ самые простые способы скрытой загруки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe C:\MyFolder\MyHiddenProgram.exe"
или например, модификация ключа
HKEY_CLASSES_ROOT\exefile\shell\open\command
|
|
|
Tester_1
генералиссимус
Возраст: 47
: Kovel,Ukraine
С нами с 10.11.03
Посты: 13415
|
юзаю Active Registry Monitor и DiskChange
может в логах и найду что...
http://www.fcenter.ru/online.shtml?articles/software/utilities/4882 в качестве примера как надо искать.
Найти одну запись в логах монитора - нереально.
|
|
|
Shu®Mu®
КонтрАдмирал
Возраст: 55
: Kiev,Ukraine
С нами с 06.04.04
Посты: 18000
|
Нашел внимание ссылка на страничку с вирусом 193.104.153.47\freeporn\?uid=21 при нажатии на видео предлагает установить якобы флаш плеер install_flash_player.exe ( DrWebery отправил чтоб в базу добавили) Файл могу прикрепить если надо. Или можете скачать по той ссылке но не устанавливайте!
Но это "легкий" вариант он не блокирует запуск приложений и разблокируется генератором вебера.( как кто-то и писал выше для разблокировки надо ввести код и на компьютере дата должна совпадать с датой "установки" вируса.)
После установки его на экран сначала выводиться
а потом
Файл после установки исчезает.
|
|
|