ИМХО ручками можно только заразу типа "авторан" вылечить.
К сожалению, у меня пока что нет вдохновения его доделать хотя бы до стадии альфа-релиза. Так что пока он "лежит на харде и греется в магнтиных лучах"
Печатать вслепую научился, писать работающий код не думая — пока нет.Я его тестировал. отправял на тест - ни каспер, ни НОД, ни аваст с авирой не палят.antoha.by said:2 TwisteR:
Хм... тогда откуда такая увереность в его скрытности.
Как в том анекдоте - "Скачал ради интереса вирус для линукса, так там 10 страниц инструкция по установке..."Maximan said:2 TwisteR:
на Линукс вобше вирусов нет?![]()
На сайте нода не густо:31.10.2008 0:43:08 Фильтр HTTP файл http://cs-mapping.com.ua/forum/attachment.php?attachmentid=35562 вероятно модифицированный Win32/Statik приложение соединение прервано - изолирован -JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Download Master\dmaster.exe.
Win32/Statik This label is used to identify malware detected by our second-generation heuristics generically. It’s a proactive detection that denotes a member of one of a range of malware families. After further analysis, a speciic sample detection label may be updated to something more speciic.
на сайте нода нашел про твою вирусню в январьских отчетах31.10.2008 0:34:05 Фильтр HTTP файл http://cs-mapping.com.ua/forum/attachment.php?attachmentid=35575 Win32/Perlovga.A вирус соединение прервано - изолирован -JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe.
Win32/Perlovga
Perlovga is a very simple program that copies iles to the %windir% folder, where it makes copies of itself as
%windir%\xcopy.exe. It also tries to copy %windir%\autorun.inf to C:\autorun.inf and is sometimes called Trojan.
CopySelf. It may be reported as one component of a larger attack.
других проявлений не нашел...31.10.2008 0:57:47 Фильтр HTTP файл http://massme.net/aHdhgVNahsKGhsd.jnMHdhJFuii вероятно модифицированный Win32/Statik приложение соединение прервано - изолирован -JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
а вот с нодом 2.* версий проще службу остановитьTemporarily disable Antivirus...
а вот с нодом 2.* версий проще службу остановитьTemporarily disable Antivirus...
31.10.2008 1:25:51 Фильтр HTTP файл http://massme.net/disablers.exe
вероятно модифицированный Win32/Spy.Agent троянская программа соединение прервано - изолирован
-JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением:
C:\WINDOWS\explorer.exe.
31.10.2008 1:25:51 Фильтр HTTP файл http://zonetech.info/skp6.exe
модифицированный Win32/Agent.GZG троянская программа соединение прервано - изолирован
-JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением:
C:\WINDOWS\explorer.exe.
31.10.2008 1:25:51 Фильтр HTTP файл http://massme.net/del.pub
Win32/Packed.PEArmor.Gen приложение соединение прервано - изолирован -JUST-IMAGINE-\Admin
Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
31.10.2008 1:25:51 Фильтр HTTP файл http://exchangetransfer.com/infi.a
Win32/VB.NOU троянская программа соединение прервано - изолирован -JUST-IMAGINE-\Admin
Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
а здесь лежит файл конфигурации для него sysfolder.iniHKLM\Software\Microsoft\Windows\Current Version\Run
Немного позднее, после перезагрузки, обнаружил в C:\Documents and Settings\Admin\ файлы planet.exe (ничегоC:\Documents and Settings\Admin\Local Settings\Temp
и похожий infmgr.bat@echo off
:1
del /F "C:\Documents and Settings\Admin\planet.exe"
If exist "C:\Documents and Settings\Admin\planet.exe" Goto 1
Start C:\WINDOWS\system32\sysfolder.exe /B
del "C:\Documents and Settings\Admin\planet.bat"
@echo off
:1
del /F "C:\Documents and Settings\Admin\infmgr.exe"
If exist "C:\Documents and Settings\Admin\infmgr.exe" Goto 1
Start C:\WINDOWS\system32\infmgr.exe /B
del "C:\Documents and Settings\Admin\infmgr.bat"
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\planet
Param: command
Val: C:\WINDOWS\system32\sysfolder.exe
Param: HKEY
Val: HKLM
Param: inimapping
Val: 0
Param: item
Val: sysfolder
Param: key
Val: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
Param: C:\Documents and Settings\Admin\planet.bat
Value: planet
(файл сc:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\
Что самое интересное, ни нод, ни авг на vmmgr.exe не ругаются[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
shell\open\default=1
HKEY_USERS\S-1-5-21-1715567821-113007714-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache
Param: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
Value: vmmgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\
Param: StubPath
Val: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
