Автор Тема: Все о вирусах, борьба с ними и обсуждение.  (Прочитано 25100 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн RAØZHM

  • 144.325/435.325 Репа
  • Ветеран
  • *****
  • Пол: Мужской
  • Связь - либо она есть, либо её нет.
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Новый шпионский вирус!!!

Иран и Израиль объяты «Пламенем»

«Лаборатория Касперского» обнаружила вирус, собирающий секретные данные с компьютеров, расположенных на Ближнем Востоке. Судя по сложности вредоносной программы, ее писали не хакеры, а спонсируемая каким-то государством группа профессионалов. Иран и Израиль — под особым прицелом.

«По сложности и функционалу вредоносная программа превосходит все ранее известные виды угроз», — говорится в сообщении «Лаборатории Касперского». Вирус, названный создателями Flame («Пламя»), способен изменять настройки компьютера, похищать хранящиеся в нем файлы, а также информацию, выводимую на монитор, контактные данные пользователей и даже аудиозаписи разговоров.

 К настоящему моменту заражены, по разным данным, от тысячи до пяти тысяч компьютеров по всему миру. Больше всего их в Иране — 189, следом идет Израиль (включая палестинские территории) — 98, за ними — Судан (32), Сирия (30), Ливан (18), Саудовская Аравия (10) и Египет (5).

 Все эксперты сходятся во мнении, что новый вирус не мог быть создан любителями. В нем многократно более сложный код, чем содержался в Stuxnet, который в 2010 году поразил иранские компьютеры, используемые в работе над ядерной программой. По всей видимости, Flame — результат разработок государственных структур какой-то страны. В отличие от Stuxnet, он не мешает работе компьютеров, а только собирает с них информацию.

 За разработкой вируса может стоять «одна из западных стран, которая обладает необходимыми для этого технологиями и при этом рассматривает ядерный Иран как угрозу», сказал сегодня в интервью израильскому радио «Галей ЦАХАЛ» израильский министр по стратегическим вопросам Моше Яалон. Министр отметил, что обнаружение вируса в очередной раз показало развитым странам, насколько серьезными являются киберугрозы, и выразил благодарность премьер-министру Нетаниягу, по инициативе которого в прошлом году в Израиле был создан Национальный коодинационный штаб по работе с киберпространством.

 Исследование, результатом которого стало обнаружение Flame, было начато «Лабораторией Касперского» вместе с Международным союзом электросвязи после серии инцидентов с другой, пока еще неизвестной вредоносной программой, которая уничтожала данные на компьютерах в странах Западной Азии. Ее пока так и не идентифицировали.

 По предварительной информации, Flame активно используется уже более двух лет (с марта 2010 года), но до сих пор не мог быть обнаружен ни одним защитным продуктом.

 «Он фантастически, невероятно сложен», - сказал о новом вирусе главный эксперт по безопасности «Лаборатории Касперского» Александр Гостев. Его расшифровка, по словам специалиста, может занять годы. «У нас заняло полгода проанализировать Stuxnet. Этот вирус приблизительно в 20 раз объемнее. Нам может понадобиться до 10 лет», - цитирует слова эксперта издание Wired.

 Выступая в начале мая на конференции Counter Terror Expo в Лондоне, основатель «Лаборатории Касперского» Евгений Касперский назвал кибервойны главной угрозой виртуального пространства, приведя в пример как раз вирус Stuxnet, а также недавние «вирусные» нападения на объекты нефтяной промышленности Ирана.

«В будущем это может произойти в гораздо большем масштабе, — предупредил Касперский. — Человечество может погрузиться во тьму, если киберпреступники нацелят свои усилия на электростанции. Вполне возможно, что компьютерный червь не сможет найти определенную жертву, а, так как электростанции спроектированы похожим образом и часто используют одинаковые системы, они все могут стать жертвами хакеров».

Эксперт отметил, что международное сотрудничество и договоры об использовании оружия в киберпространстве могут помочь предотвратить такие нападения.
http://www.jewish.ru/theme/world/2012/05/news994307862.php
____________________________________________________________________________________________

Судя по описанию, тут явно поработали спецы..., а не просто дешовые хакеры с переулка.
« Последнее редактирование: 01 Июня 2012, 20:33:29 от RAØZHM »

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Уже обстебали на хабре, что минимум половина функций есть в любом трое, в том же зевсе.

Оффлайн RAØZHM

  • 144.325/435.325 Репа
  • Ветеран
  • *****
  • Пол: Мужской
  • Связь - либо она есть, либо её нет.
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Возможно и обмусолили его , но это уже другой уровень.... Думаю, что ближайшее направление вирусов - это промышленный и военный шпионаж, энергетические и др. предприятия.
Ну сам посуди, эра дешовых вирусов прошла. Что толку, что я 2 дня бился с вирусом WIN32.NESHTA.A. Ну побил он часть экзешников, фигня востановил. Про автораны, которые как блохи прыгают с флешки на флешку, то же поднадоело. С ними справляется обычный дихлофос...

А вообще у меня на работе, можно полигон по проверке на прочность устраивать, для антивирусных программ...
Каждый заезд пакетик с "блошками и клещами" кто-то разбрасывает. И ходят улыбаются, типа, а это не мы...
http://www.kaspersky.ru/news?id=207733770


« Последнее редактирование: 02 Июня 2012, 10:36:48 от RAØZHM »

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
А вообще у меня на работе, можно полигон по проверке на прочность устраивать, для антивирусных программ...
Каждый заезд пакетик с "блошками и клещами" кто-то разбрасывает. И ходят улыбаются, типа, а это не мы...
Вот сколько разя я спрашивал, а что мешает настроить комп, забыть про АВ и жить спокойно?

Оффлайн RAØZHM

  • 144.325/435.325 Репа
  • Ветеран
  • *****
  • Пол: Мужской
  • Связь - либо она есть, либо её нет.
    • Форум Камчатских радиолюбителей
  • QTH: QO92
2 года все было хорошо, а тут на тебе. Хотя это 2 случай за это время и то так сказать, залет по своей не внимательности. Переустановил систему, а каспера поставил в последнюю очередь.

Оффлайн Varkus

  • white
  • Модератор
  • Ветеран
  • *****
  • Пол: Мужской
  • black
Линукс - скачал исходники, подправил код под установленную версию ядра, скомпилировал, запустил... и как давай бороться с этим вирусом  ;D

Оффлайн RAØZHM

  • 144.325/435.325 Репа
  • Ветеран
  • *****
  • Пол: Мужской
  • Связь - либо она есть, либо её нет.
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Иван, это мы знаем, что в таких случаях делать надо и где вилка у компа, а другие узнают когда 99.999999999999999999999% файлов уже заражено.
А написал этот вирус дояр Сидоркин, из Белорусии...

Раз тема пошла о вирусах, рассмотрим вирус: Win32.Neshta.a

Цитировать (выделенное)
Технические детали и как он работает

Вредоносная программа, которая находит и заражает исполняемые файлы. Программа является приложением Windows (PE EXE-файл). Написана на Delphi. Размер оригинального вредоносного файла — 41 472 байта.
Инсталляция

В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.

В системном реестре создается следующая запись:
[HKCR\exefile\shell\open\command]
 @="%WINDIR%\svchost.com \"%1\" %*"

Таким образом, все EXE-файлы в системе при запуске будут вызывать тело вируса, который и будет производить их дальнейший запуск.

Прочее
В теле вируса содержатся следующие строки:

Delphi-the best.
**** off all the rest.
Neshta 1.0
Made in Belarus.

Деструктивная активность
При запуске вирус расшифровывает текстовые строки внутри себя, проверяет, является ли его длина равной 41472 байта и, если она больше (запущен зараженный файл, а не тело вируса), то происходит вызов функции расшифровки и запуска файла.

В функции расшифровки и запуска файла вирус производит расшифровку части тела программы, которая была зашифрована после внедрения тела вируса в программу. Если по каким-то причинам вирусу не получается изменить запускаемый файл, то во временном каталоге Windows (%TEMP%) создается папка 3582_490 куда расшифровывается уже чистый исполняемый файл.

После запуска производится попытка заражения файлов перечисленных в файле %WINDIR%\directx.sys, если таковой присутствует.

После этого производится проверка количества параметров, переданных при вызове файла. Если параметры присутствуют и окончание у исполняемого файла .com, то производится запуск файла, имя которого передается в виде параметра, а его полное имя помещается в файл %WINDIR%\directx.sys для дальнейшего заражения.

Дальше происходит регистрация вируса в системе (создание и регистрация файла svchost.com).

После этого вирус создает в системе уникальный идентификатор «MutexPolesskayaGlush» для определения своего присутствия в системе.

После чего выполняются следующие действия:

* вирус получает список дисков, которые не являются FDD и CD-ROM;
 * производится поиск файлов по найденным дискам, причем файлы должны соответствовать заданным критериям:
 o файлы должны быть не из каталогов %Program Files% и %WINDIR%;
 o не заражаются файлы на логических дисках A: и B:;
 o размер фалов должен быть не меньше 41473 и не больше 10000000 байт.


Вирус правильно обрабатывает файлы с атрибутом «только чтение». После заражения он восстанавливает начальные атрибуты файла.

Рекомендации по удалению!!!

 1. В системном реестре изменить значение следующего ключа:
 [HKCR\exefile\shell\open\command]
 c
 %WINDIR%\svchost.com "%1" %*
 на
 "%1" %*
 2. Удалить файл %WINDIR%\svchost.com
 3. Произвести полную проверку компьютера


Способ лечения вируса win32.neshta.a :

Цитировать (выделенное)
Первый - переустановить начисто систему, предварительно прогнав из-под DOS антивирусом. В этом случае, вы лишитесь всех файлов EXE, зараженных NESHTA.
Второй. Как ни прискорбно, но большинство антивирусов не лечат файлы зараженные NESHTA, а просто удаляют их. Но, у DRWEB есть бесплатная утилита под названием CUREIT. Вы можете бесплатно скачать ее с сайта DRWEB. Так же вам понадобится файл реестра, который вы можете сделать сами следующим образом. Создаем текстовый документ и вносим в него следующие данные:

REGEDIT4


[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"

Примечание: пустая строка после REGEDIT4 - обязательна.

Сохраняемся и закрываем текстовый документ. Затем, меняем расширение документа с TXT на REG. Запускаем полученный файл реестра и соглашаемся с добавление данных. После чего запускаем утилиту CUREIT и проводим полную проверку системы. Что удивительно, теперь утилита видит вирус и лечит его спокойно. Утилита от Касперского все и теперь не видит заражение - прискорбно. Ну продолжим ... На предложения типа «лечить» соглашаемся «да для всех».






« Последнее редактирование: 02 Июня 2012, 23:34:27 от RAØZHM »

Оффлайн Varkus

  • white
  • Модератор
  • Ветеран
  • *****
  • Пол: Мужской
  • black
душевно базарим:
я про ОС ты про студента недоученного-задрота поднявшим себе уважуху корявым вирусом.
Полностью осознавая каждую строку статьи пришел к выводу, что даже она и то местами сама себе противоречит, ну хотя бы
Цитировать (выделенное)
В системном реестре создается следующая запись:
[HKCR\exefile\shell\open\command]
 @="%WINDIR%\svchost.com \"%1\" %*"
Цитировать (выделенное)
REGEDIT4


[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
@="\"%1\" %*"
Касперыч эту фигню просто даже за вирус не считает: вирус на Делфи??? нененене
что то из разряда как сегодня по НТВ показали: разработана новая технология поиска киберпреступников по IP!!!
ссал кипятком, их теперь по айпи ищут, киберпреступность под угрозой епть :-)

Оффлайн RAØZHM

  • 144.325/435.325 Репа
  • Ветеран
  • *****
  • Пол: Мужской
  • Связь - либо она есть, либо её нет.
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Цитировать (выделенное)
я про ОС ты про студента недоученного-задрота поднявшим себе уважуху корявым вирусом.
А когда вредительство было уважухой? Мочить надо зловредов... особенно из-за бугра.

За все мое наблюдение за вирусами, я видел как в течении 1-2 минут у товарища, комп как аппарат переставал сушествовать, программно. (kido, saliti  и т.д.)
Жалко было смотреть, как быстро таял огонек в глазах хозяина компа. В итоге, 2 дня непрерывного чистилища, если не помогает форм. и новая ПО.
И что самое главное, народ знает что в компе есть вирусы и все равно сует туда флешку или переностной диск!!! Я уже таблички вешал и объявы писал, по приколу, что мол у такого чела есть в компе вирусы. И что, да ничего. потом просто бегут комне и просят проверь...
А я говорю молоток видишь висит, вот если я вставлю твою флеху и на ней будет вирус, мы ее разбиваем... 5 секундная пауза и я вижу как мозг этого существа пытается представить картину конечного результата, но мой аргумент делает свое дело и ему приходиться искать другую жертву для переноски блох.

Фактически за вирусами у нас никто не следит. Я одно время вел борьбу, а потом забил. Так, что такая ситуация.


Чисто для информации:
10-ка самых известных вирусов.

Brain
Этот вирус в сравнении с последователями практически безопасен. Передается он по загрузочным секторам дискет, а примечателен тем, что первым вызвал настоящую вирусную эпидемию. Его разработка на совести братьев Амджата и Базита Алви (Amdjat и Basit Faroog Alvi), которые запустили его в 1986 году, а обнаружен он был летом 1987 года. Есть информация, что только в США вирус заразил более 18 тысяч компьютеров. А ведь в основе разработки лежали исключительно благие намерения: программа должна была наказать местных пиратов, ворующих программное обеспечение у фирмы братьев. Вирус Brain ко всему прочему еще и первый стелс-вирус. Так, при попытке чтения заражeнного сектора, он «подставлял» и его незаражeнный оригинал.

Jerusalem
Этот вирус был создан в 1988 году в Израиле - отсюда и основное имя. Второе его название «Пятница 13-е». Это первый вирус для MS-DOS, вызвавший грандиозную панику. Скачанный в любое время с дискеты, он активировался в момент наступления злополучного числа - пятницы 13-е - и удалял абсолютно все данные с жесткого диска. В те времена вообще мало кто верил в существование компьютерных вирусов. Антивирусных программ и вовсе почти не существовало, а потому пользователи были совершенно беззащитны перед ним.

Червь Морриса
Активность этого опасного вредителя пришлась на ноябрь 1988 года. Данный Интернет-вирус тогда был первым в рейтинге самых страшных. Компьютеры ударом ноги подобно своему знаменитому тезке, он, конечно же, не убивал. Что он делал? Парализовывал работу компьютеров своим хаотичным и бесконтрольным размножением. Из-за него-то и вышла из строя вся, тогда еще не слишком глобальная, Сеть. И хоть сбой длился совсем не долго, общие убытки оценили в 96 миллионов долларов.

Michelangelo («March6»)
Этот вирус в свое время сильно переоценили. Правда, он заслуженно считается одним из самых безжалостных. Проникая через дискеты на загрузочный сектор диска, он тихо сидел там, не напоминая о своем существовании до 6 марта. А в этот день «счастливчики», получившие «Микеланджело» на свой компьютер, обнаруживали, что все данные с их жесткого диска стерты. Лютовал этот вирус в 1992 году. Зато он сильно сыграл на руку компаниям, производящим антивирусы. Пользуясь случаем, бизнесмены раздули истерию до невиданных масштабов, в то время как на деле от него пострадали всего около 10000 машин.

Чернобыль (CIH)
Один из самых знаменитых вирусов мира. Создан в 1998 году тайваньским студентом, по инициалам которого и назван. Через Интернет, электронную почту и диски вирус попадал в компьютер, прятался внутри других программ, а в определенный момент (26 апреля) вирус активировался, стирая содержимое жесткого диска и нанося вред аппаратной части компьютера. Эпидемия «Чернобыля» пришлась на апрель 1999 года. Тогда из строя было выведено более 300 тысяч компьютеров, в основном в Восточной Азии. Причем в течение нескольких последующих лет 26 апреля вирус продолжал свое черное дело, что по итогам нанесло урон огромному количеству компьютеров во всем мире.

Melissa
Создан в 1999 году. Первый всемирно известный почтовый червь. Он заражал файлы документов MS Word и рассылал свои копии в сообщениях электронной почты при помощи MS Outlook. Вирус распространялся с бешеной скоростью, а потому сумма нанесенного им ущерба оценивается более чем в $100 млн.

ILOVEYOU («Письмо счастья»)
Создан в 2000 году и примечателен тем, что придуман он довольно хитро. Пользователю на почту приходило сообщение «I LOVE YOU» с вложенным файлом. Доверившись столь милой оболочке, пользователь скачивал его и получал скрипт, который отсылал письма в невероятных количествах, а также удалял важные файлы на ПК. Результаты шокируют до сих пор: 10% всех существовавших на тот момент компьютеров были инфицированы, что нанесло ущерб в размере $5,5 миллиардов.

Nimda. 2001 год
Название представляет собой слово «admin», только наоборот. Вирус, попадая на компьютер, мгновенно «выписывал себе» права администратора. После чего изменял и нарушал конструкцию сайтов, блокировал доступ на хосты, IP-адреса и т.д. А проникал на компьютеры он столь виртуозно и эффективно, что уже через 22 минуты после своего создания он стал самым распространенным в сети Интернет.

My Doom. 2004 год
Самый быстрый вирус электронной почты. Работал он по нарастающей: каждый следующий компьютер отправлял спама еще больше, чем предыдущий. Кроме того, он модифицировал операционную систему, блокируя доступ к сайтам многих антивирусных компаний, новостным лентам и различным разделам сайта компании Microsoft. На его счету даже DDOS-атака на сайт Microsoft.

Conficker. 2008 год
Самый последний из всемирно распространившихся вирусов имеет славу опаснейшего из известных компьютерных червей. Атакует он операционные системы семейства Microsoft Windows. Вирус поразил более 12 миллионов компьютеров во всeм мире. Принцип действия: червь находит уязвимости Windows, связанные с переполнением буфера, и при помощи обманного RPC-запроса выполняет код, отключая сервисные службы и обновление Windows, а также блокируя доступ к сайтам ряда производителей антивирусов.

А так же:

«Win32.Conficker.B» (Он же «Net-Worm.Win32.Kido.dv», он же «W32/Downadup.B», он же «W32/Downadup.AL», он же «W32/Confick-D», он же «WORM_DOWNAD.AD»), Java.Trojan.Downloader.OpenConnection.AI, BackDoor.Webcam.9, Net-Worm.Win32.Kido.ir, Net-Worm.Win32.Kido.ih, not-a-virus:AdWare.Win32.Boran.z, Virus.Win32.Sality.aa, Worm.Win32.FlyStudio.cu, Trojan-Downloader.Win32.VB.eql, Virus.Win32.Induc.a, Packed.Win32.Black.d, Worm.Win32.AutoRun.awkp,  Virus.Win32.Virut.ce, и т.д.

Список распространенных вредоносных программ http://www.microsoft.com/ru-ru/security/pc-security/malware-families.aspx

Как говориться, одни лечат другие калечат.

Рейтинг антивирусов 2011-2012 года.
http://basetop.ru/reyting-antivirusov-2011-2012-goda/
http://www.anti-malware.ru/tests_history
http://atlantis-tv.ru/forum/77-3821-1


« Последнее редактирование: 03 Июня 2012, 03:59:48 от RAØZHM »

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Меня одного удивило вот это:
Цитировать (выделенное)
В корневом каталоге Windows (%WINDIR%) производится поиск и удаление файла svchost.com. После этого создается новый файл svchost.com, содержащий в себе тело вируса.



УДАЛЕНИЕ СИСТЕМНОГО ФАЙЛА?
(еще раз картинку повторю)



Как такое вообще можно допустить на своей системе??????? Мы же говорим не о хитровые***ном трояне или вире, а о какой-то шняге, написанной на дельфи.

Оффлайн RAØZHM

  • 144.325/435.325 Репа
  • Ветеран
  • *****
  • Пол: Мужской
  • Связь - либо она есть, либо её нет.
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Цитировать (выделенное)
УДАЛЕНИЕ СИСТЕМНОГО ФАЙЛА?

Хочешь прикол, у меня его каспер съел в первые секунды заражения и теперь его у меня нет вообще! и система работает отлично!!!
« Последнее редактирование: 03 Июня 2012, 12:16:28 от RAØZHM »

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
Хочешь прикол, у меня его каспер съел в первые секунды заражения и теперь его у меня нет вообще! и система работает отлично!!!
так он съел зараженный файл.

Мой вопрос был к тому, что на защищенной системе его ни удалить ни модифицировать нельзя

Оффлайн RAØZHM

  • 144.325/435.325 Репа
  • Ветеран
  • *****
  • Пол: Мужской
  • Связь - либо она есть, либо её нет.
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Ну, что я могу сказать опять-25, сегодня заходик ко мне сотрудник и я вижу сильное горе на его лице, а за ним мокрый след.

Спрашиваю: Что намотал на USB конец?
Он в ответ: Ага.
Спрашиваю: Куда совал?
Он в ответ: Ходил к электрикам скачивал фильмы.
Я ему: Ну, что давай на операционный стол, будем вырезать опухоль.
Он в ответ: Доктор, а это не больно...

Отсюда выводы, не суй куда попало, без спец. защиты.

Короче, очередная зараза: WIN32.SALITY.BH


И аналогичные...

Virus.Win32.Sality.aa
Virus.Win32.Sality.d
Virus.Win32.Sality.e
Virus.Win32.Sality.t


По защите у товарища стоял "COMODO" который усравси. Минус его в том, что он выдирал рабочие экзешники с вирусом в карантин, соответственно блокировав работу программ.
Пришлось ставить старого доброе приведение, каспера + утилита salitykiller.exe . 1 час зачистки и все ОК.


Описание этого вируса:
http://www.securelist.com/ru/search?VN=Virus.Win32.Sality.bh&referer=fs
Как его лечить:
http://support.kaspersky.ru/faq?qid=208636131
Лекарство:
http://support.kaspersky.ru/downloads/utils/salitykiller.exe


Технические детали

Вредоносная программа, заражающая файлы на компьютере пользователя. Предназначена для несанкционированной пользователем загрузки и запуска на компьютере других вредоносных программ. Является приложением Windows (PE-EXE файл). Написана на С++. Имеет размер 70656 байт. Упакована неизвестным упаковщиком. Распакованный размер — около 574 КБ.

Распространение

Копирует свое тело со случайным именем на все доступные на запись сетевые, логические и съемные диски, при этом расширение файла может быть ".exe", ".pif" или ".cmd", выбираемое случайным образом:
<X>:\<rnd>.<случайно выбираемое расширение файла>
 Где <X> - буква зараженного раздела, <rnd> - случайный набор латинских букв.


Также помещает в корень диска сопровождающий файл:
<X>:\autorun.inf
 который запускает исполняемый файл вредоноса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".

Копии тела вредоноса и файлу его автозапуска устанавливает атрибуты "скрытый" и "системный".

Заражает исполняемые файлы Windows(PE-EXE) со следующими расширениями: .EXE, .SCR

Вирус не заражает файлы размером больше 20 971 520 байт и меньше 4 096 байт. Заражаются только файлы, которые содержат в PE-заголовке секции:

TEXT
UPX
CODE

При заражении вирус расширяет последнюю секцию в PE файле и записывает в ее конец свое тело.
Поиск файлов для заражения производится на всех разделах жесткого диска и доступных для записи сетевых ресурсах.



« Последнее редактирование: 04 Июня 2012, 00:43:57 от RAØZHM »

Оффлайн RAØZHX

  • Модераторы
  • Ветеран
  • *****
  • Пол: Мужской
  • War... War never change...
  • QTH: QO93
а можешь мне передать зараженный файл? попробую у себя запустить :)

Оффлайн RAØZHM

  • 144.325/435.325 Репа
  • Ветеран
  • *****
  • Пол: Мужской
  • Связь - либо она есть, либо её нет.
    • Форум Камчатских радиолюбителей
  • QTH: QO92
Не советую, вирус звиздец. С 12 дня до 8 вечера, 12 зачисток!!! Результат 2%. Поставлю на все ночь...

Особенности данного вируса.

1. Вирус, убил почему-то инсталяционные экзешники, но не все. Файлы программ он заразил, но Каспер сделал резервные копии, соответственно рабочии программы не повреждены.
2. Практически моментальное заражение!!! В течении 1-2 минут. Банер о заражении вылетает со скоростью звука.
3. Вирус сам себя генерирует, а это не есть хорошо, т.к. эффект от зачиток начился ощущаться, после 7 попытки.
Т.е. я делаю чистку всех дисков, после этого еще повторняю отдельно, но когда возвращаюсь на повтор проверки, вирус тут, как тут и все заново. Согласно описанию в сети, прошерстил весь реестр, соответственно кое, что пришлось править.
4. Этот вирус Каспер не лечит!!!, он его находит, определяет и предлагает только "удалить". С ним танцует только утилита salitykiller.exe и пакет от Веба.
5. Только комплексная защита спасла положение + "Зоркий глаз" (У него есть все разблокировки) + AVZ.
6. Вирус блокирует все!!!

Отключает диспетчер задач.
Запрещает редактирование реестра.
Отключает брандмауэр Windows.
Запрещает Internet Explorer работать в автономном режиме.
Запрещает отображение скрытых папок и файлов.
Отключает возможность запуска Windows в безопасном режиме.
Регистрирует и запускает свою службу, для блокировки доступа к сайтам антивирусных компаний.
Останавливает службы и выгружает из памяти процессы, относящиеся к антивирусным программам и Firewall.

7. Так же помещает в корень диска сопровождающий файл: <X>:\autorun.inf.
8. Практически, сразу у компьютера включается аварийный ручной тормоз!!!

Вывод: Для простого пользователя, это просто жуткий нервный оргазм!!! С переустановкой ПО.

Короче вирус гоблинский, думаю, что через пару дней у нас будет зараженно большая часть всех личных компов.
Я уже боюсь что либо вставлять в рабочие компы... иначе все сгорит.

Не знаю, попробую скачать эту зверюгу лично для тебя.



« Последнее редактирование: 04 Июня 2012, 00:41:03 от RAØZHM »