По сети блуждает хитрая зараза

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Недавно нашел следующую вещь . Оная свяазана с самораспоковывающимися архивами. Дело в том, что ламеры внедряют в них вирусы, притом очень примитивным способом. Вирус чаще всего не определяется антивиром.

Принцип действия: вы открываете архив, происходит автоматическое извлечение (( папку для извлечения вы не можете выбрать ), после извлечения открывается .bat файл ( признак его открытия - мигнувшее окошко ms-dos ) и запускается инсталяция приложения, которое якобы было в архиве, но вместе с ним к вам прописывается вирус, который внедряется в автозагрузку ))

И вот - ваш компьютер заражен.

Вывод: не открывайте архивы, скачанные с неизвестного сайта.

Как бороться: на самом деле очень просто - нужно скачать программу 2ipStartGuard ( она находится на сайта 2ip.ru в разделе софт ). Это программа будет отслеживать приложения, которые прописываются в автозагрузку. Такой метод помогает для вирусов типа "раконтроль". Другие типы вирусов отслеживаются антивирусами типа Drweb и Каспером.
Также можно скачать Comodо Firewall. Он будет отслеживать приложения и их действия.

P.S. Лучше не скачивайте никаких файлов с подозрительных сайтов.
 

aiss

Опытный пользователь
Регистрация
Апр 4, 2010
Сообщения
348
Баллы
0
и с каких пор ламеры стали писать вири ?
 

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Я посмотрел на них один день и уже склеил такую хрень :)

А вирь берется готовый
 

aiss

Опытный пользователь
Регистрация
Апр 4, 2010
Сообщения
348
Баллы
0
самокритично
гы
 

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Могу выложить эту какулю, но думаю не надо
 

BlaiR

Модератор
Регистрация
Апр 2, 2010
Сообщения
360
Баллы
0
Возраст
36
Адрес
Советский район
выложите на "поиграться" готовый пример. Пожалуйста только напишите название вируса внутри.
 

Merser

Опытный пользователь
Регистрация
Апр 2, 2010
Сообщения
257
Баллы
18
Это после "узнай что пишет в смс твоя девушка", "прошпионь за человеком через мобильник", "узнай как сделать большой грудь", аудионаркотиков и прочей подобной хрени за смс, новая фишка. Открой архив за смс. Не знаю сколько будет популярна, надеюсь народ быстро раскусит и не даст себя обманывать.
 

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Это после "узнай что пишет в смс твоя девушка", "прошпионь за человеком через мобильник", "узнай как сделать большой грудь", аудионаркотиков и прочей подобной хрени за смс, новая фишка. Открой архив за смс. Не знаю сколько будет популярна, надеюсь народ быстро раскусит и не даст себя обманывать.

Немного похоже, но тут автоматом как только нажимаешь все - вирус заселяется
 

Merser

Опытный пользователь
Регистрация
Апр 2, 2010
Сообщения
257
Баллы
18
Trojan-Dropper там внутри.
 

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Чем проверял ?

DrWeb ничего не дал

И еще - ты тупо проверил файл или он автоматом заорал ?
 

Merser

Опытный пользователь
Регистрация
Апр 2, 2010
Сообщения
257
Баллы
18
Avira Antivir Premium тоже не закричала. Отправил им файл на разбор.
Проверил Malwarebytes' Anti-Malware - он и выдал. Если бы сканер был постоянно включен - наверное, заорал бы.
 

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Стоп - ты нажал просканировать файл или при закачке заорал ?

Кстати - функции виря ( от его создателя ):

PHP:
1. Улучшил систему аудита пароля.
2. Возможность бродить по локальным дискам вашей и удаленной машины.
3. Встроенный ProcessExplorer (для вашей и удаленной машины).
4. Возможно создавать файлы\ папки на вашей и удаленной машине.
5. Возможно удалять файлы\ папки на вашей и удаленной машине.
6. Возможно переименовывать файлы\ папки на вашей и удаленной машине.
7. Возможно редактировать файлы на вашей и удаленной машине.
8. Возможно выключать (двумя способами) вашу и удаленную машину.
9. Возможно перезагружать вашу и удаленную машину.
10. Возможно отправлять файлы с вашей машины на уделенную и обратно.
11. При необходимости можно отключить сервер (программу).
12. Сервер сам инсталлируется и прописывается в автозагрузку (реестр - Run).
13. После того, как сервер инсталировался и вы подключились - можно менять порт прослушки и пароль на вход.
    На время тестрования отключил
14. Возможно высылать IP зараженного компьтера на ваш e-mail.


Админов просьба не ругаться - выложил, чтобы ознакомить пользователей с угрозами интернета.
 
Последнее редактирование:

Merser

Опытный пользователь
Регистрация
Апр 2, 2010
Сообщения
257
Баллы
18
Стоп - ты нажал просканировать файл или при закачке заорал ?
Просканировать. Из контекстного меню.
 

BlaiR

Модератор
Регистрация
Апр 2, 2010
Сообщения
360
Баллы
0
Возраст
36
Адрес
Советский район
Eset NOD32 Antivirus 4 на компе родителей промолчал.... Пойду завтра на работе отдам старому доброму касперычу 6 на съедение )
Хотя проверка онлайн тестом когда я отдаю уже распакованый файл server.exe ничего не даёт. файл чист...
 
Последнее редактирование:

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Для вируса есть вторая часть - станция управления. А сам вирус при включении отсылает ip жертвы. Этот ИП вводится в станцию - и все. Вы можете делать с чужим компьютером почти все что угодно.
an31.gif
 
Последнее редактирование:

Merser

Опытный пользователь
Регистрация
Апр 2, 2010
Сообщения
257
Баллы
18
Не прошло и дня, а из Авиры пришел ответ, по поводу отправленного файла.

Welcome back, Mr Сергей!

Список файлов и результатов приведены ниже:

ID файла Имя файла Объем (байты) Результат
25852182 skype.exe 914.18 KB MALWARE

Точные результаты по каждому файлу вы найдете в следующем разделе:

Имя файла Результат
skype.exe MALWARE


Файл 'skype.exe' отмечен как 'MALWARE'. Наши аналитики присвоили этой угрозе название DR/Setty.D. Относительно "DR/" речь идет о программе, которая может самостоятельно создать в системе вирус или вредоносное ПО.Образец распознавания будет добавлен при одном из следующих обновлений файла определения вирусов (VDF).
 

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Не прошло и дня, а из Авиры пришел ответ, по поводу отправленного файла.

Все правильно. Но я не думаю, что если ты скачаешь простой скайп, то будешь отсылать его на проверку и сканировать.

И еще - скорее всего они ничего не смогут сделать, так как вирус является полиформом.
 

Дмитрий

Опытный пользователь
Регистрация
Июн 10, 2010
Сообщения
212
Баллы
0
Его кажется еще и каспер стал находить. Хотя у кого как.
 
Последнее редактирование:
Похожие темы Раздел Дата
D Win-Soft 2 461
Д Win-Soft 4 475
Д Win-Soft 17 728

Похожие темы

Сверху