![]() |
|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
![]() |
|
|
Опции темы | Поиск в этой теме |
![]() |
#1 |
Новичок
Джуниор
Регистрация: 23.01.2011
Сообщений: 5
|
![]()
Здравствуйте!! По данным Компании Dr.Web
Один из новых троянцев блокирует Windows и удаляет все антивирусы Trojan.VkBase.1 Вредоносная программа распространяется с вредоносного сайта в домене .ru, под видом архивов с личной информацией, принадлежащей пользователям социальной сети ВКонтакте. Скачиваемый файл является исполняемым exe-файлом, который формируется на вредоносном сайте динамически в зависимости от параметров поиска, которые ввёл пользователь. При запуске троянца (исполняемый файл запускается без параметров) выводится окно, внешне напоминающее интерфейс Проводника Windows с содержащимися необходимыми приватными сведениями. Затем программа устанавливает себя в систему в качестве сервиса с именем zipdrivers. После этого созданный сервис запускается и производит поиск установленных в системе антивирусных продуктов. Если был найден один из антивирусных продуктов Dr.Web для Windows, то с вредоносного интернет-сервера скачивается дополнительный модуль, определяемый Dr.Web как Trojan.AVKill.2942. Далее производится презагрузка компьютера в безопасный режим Windows и удаление из системы антивирусных программ следующих производителей: # AGAVA; # avast!; # Avira; # Agnitum; # Comodo; # Dr.Web; # ESET; # Kaspersky; # McAfee; # Symantec. Для перезагрузки системы в безопасном режиме Trojan.VkBase.1 редактирует системный файл boot.ini, для Windows Vista и более поздних версий Windows используется системная утилита BCDEdit. В результате этих действий к параметрам загрузки системы добавляется параметр /safeboot:network, что соответствует запуску системы в Безопасном режиме с поддержкой сети. Для запуска сервиса троянца в Безопасном режиме Windows, в системном реестре создаётся следующая запись: HKLM\System\CurrentControlSet\Contr ol\SafeBoot\Network\zipdrivers После загрузки системы в Безопасном режиме сервис вредоносной программы автоматически стартует и удаляет установленный в системе антивирус. Для удаления из системы продуктов Dr.Web для Windows используется дополнительно загружаемый модуль, эксплуатирующий уязвимость модуля самозащиты, который определяется Dr.Web как Trojan.AVKill.2942, т.к. самозащита в продуктах Dr.Web для Windows функционирует и в Безопасном режиме Windows. В настоящее время данная уязвимость в продуктах Dr.Web для Windows устранена. Для удаления остальных антивирусных продуктов из системы дополнительные модули троянцу не требуются. Далее троянец отключает сервис контроля учётных записей пользователей (UAC), а также вносит настройки в работу системы, которые позволят впоследствии троянцу запускать исполняемые файлы, загружаемые из Интернета, без уведомления пользователя. Кроме того, программа создаёт свою копию в файле \WINDOWS\TEMP\tray_tmp.exe и дополнительно устанавливает себя на запуск (помимо сервера) в ветке системного реестра: HKLM\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run После этого параметры загрузки системы возвращаются в исходное состояние, и система перезагружается в обычном режиме, и загружает далее с вредоносного сервера два исполняемых файла, которые по классификации Dr.Web именуются как Trojan.Winlock.2477 и Trojan.Fakealert.19448. Последний загружается лишь в том случае, если удаление установленного в системе антивируса завершилось успешно. Trojan.Winlock.2477 записывается в каталог Windows под именем win32boot.exe, после чего запускается. Trojan.Fakealert.19448 записывается в каталог Windows под именем av_soft.exe, после чего также запускается. Файл tray_tmp.exe после всех этих действий остаётся в системной папке и продолжает запускаться. При этом сервис zipdrivers также продолжает запускаться, хотя и остаётся неактивным. При своём запуске tray_tmp.exe проверяет наличие файла, соответствующего Trojan.Winlock.2477 и в случае его отсутствия снова загружает с сервера и запускает. Борьба с этим вирусом(Свой замысел):Я тоже попадал на этот вир и так.... Скачиваем с чистого(Компа друга)компа утилиту "Лечащая утилита Dr.Web CureIt!®" Которой можно найти по ссылке http://www.freedrweb.com/cureit/?lng=ru ====>>Скачиваем на флэшку====>>Включаем ПК,Вставляем влешку в USB====>>Устонавливаем данную утилиту====>>Вас просит войти в "Режим усиленной защиты Dr.Web" Нажимаете да====>>И так наша программка запускается....====>>Нажимаете Запуск,наша утилита ищет этот вирус====>>Ну и конечно нашло(У меня 13 Инфецированных) (3подозрительных,и 1 взлом)====>>Нажимаем "Выделить все"====>>Лечить====>>Если не лечется удаляем====>>ПОтом опять запускаем поиск вирусов...по окончании поиска у вас должно быть "Вирусов не найдено" Это хорошо!! =) дальше перезапускаем ПК и опля!!! Все норм))) Спасибо за внимание с вами был Mr.Tobodoxs P.S По созданию видео версии обращаться на юин 605656669 ![]() |
![]() |
![]() |
![]() |
#2 |
Заблокирован
Регистрация: 21.01.2011
Сообщений: 134
|
![]()
правильно =) соц сети зло, тем более если пытаются перехватить личную информацию
вирус, так себе, какой то слишком уж муторный уже давно читал что есть скрипт который без прав одмина спакойно антивирь сносит причем неперегружая машину |
![]() |
![]() |
![]() |
#3 |
Заблокирован
Регистрация: 21.01.2011
Сообщений: 134
|
![]()
кстати, насчет вашего "Борьба с этим вирусом"
как вы запустите куреАЙТИ если на весь экран банер ? и пачему этот вирус не отключает флеш и привод из реестра ? |
![]() |
![]() |
![]() |
#4 |
Форумчанин
Регистрация: 12.01.2011
Сообщений: 186
|
![]()
Под UAC-то запускается?
Для лечения лучше lievcd с виндой и CureIt! на флеш. С чего грузиться, надеюсь, понятно. Чего-то захотелось Dr. Web поставить ^^ Я им вообще все подозрительные файлы проверяю (через Virus Total), а так стоит Avira.
Lingua c++ non penis caninus est.
|
![]() |
![]() |
![]() |
#5 |
Заблокирован
Регистрация: 21.11.2008
Сообщений: 4,986
|
![]()
Чего- то эта живность не кажется мне такой уж грозной.... У меня на компе, без моего ведома она уж точно не запустится да и вири попадались значительно хуже.
|
![]() |
![]() |
![]() |
#6 |
Форумчанин
Регистрация: 23.04.2009
Сообщений: 346
|
![]()
Писанина в критические ключи реестра, запуск процессов, создание сервиса, лазание в системные директории-программа однозначно гуано. И интересно как же ее код дойдет до отключения UAC, если сам же UAC ее остановит 40 раз за нарушение субординации?
А товарищ убивающий скриптами кернелмодные драйвера антивирусов не перегружая капутэра-прекращайте читать хакер.ру и займитесь чем-нибудь полезным. Вообщемта я все сказал.
Нет, ну правда..
Последний раз редактировалось yuran666666; 24.01.2011 в 14:53. |
![]() |
![]() |
![]() |
#7 | |
я получил эту роль
Старожил
Регистрация: 25.05.2007
Сообщений: 3,694
|
![]() Цитата:
пыщь
|
|
![]() |
![]() |
![]() |
#8 |
Новичок
Джуниор
Регистрация: 23.01.2011
Сообщений: 5
|
![]()
Ес честно я,сам с Curiet удалил без LiveCD =)
|
![]() |
![]() |
![]() |
#9 | |
Форумчанин
Регистрация: 23.04.2009
Сообщений: 346
|
![]() Цитата:
Фиг с ним, юзер запустил некую пепяку, которая поломилась в цикле (авось разрешат) копировать себя в папку system32 и в ключ реестра Run и тому подобное.. хмм, это даже не на уровне школы. UAC однозначно будет детектить процесс выполняющий данное действие и сообщать пользователю и каждый раз морозить процесс на выполнении данной операции. Вы только что запустили какую то фигню, про которую УАК тут же сообщает пренеприятные подробности - что мешает запустить диспетчер задач и завалить ее тут же? Вообщем фиговую вы тактику написали - я в нее не верю.
Нет, ну правда..
|
|
![]() |
![]() |
![]() |
#10 | ||
я получил эту роль
Старожил
Регистрация: 25.05.2007
Сообщений: 3,694
|
![]() Цитата:
![]() Цитата:
пыщь
Последний раз редактировалось JTG; 25.01.2011 в 19:59. |
||
![]() |
![]() |
![]() |
|
![]() |
||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
excel + web online script base | Kreol2012 | Microsoft Office Excel | 1 | 05.03.2010 10:03 |
Триггеры в Inter Base 7.0 | Claster | БД в Delphi | 9 | 13.05.2009 18:10 |
Ошибка(C++): error C2041: illegal digit '9' for base '8' | TheWanderer | Общие вопросы C/C++ | 4 | 02.10.2008 21:11 |