| Главная » Статьи » Интернет » Хакинг и безопасность |
Trojan-PSW.Win32.Ceda | Win32/Perlovga.a и прочие нехорошести
| Почему не отображаются скрытые и системные файлы? Недавно на флэшках начал раздаваться вирус Virus.VBS.Small.a (совсем недавно появилась версия .с но мы не об этом). Этот вирус использует авторан дисков для сопсного запуска. Там же средь файлов авторана (.bat, .vbs, .txt, ...) присутствует файл autorun.reg который записывает в реестр несколько записей. Теперь прикол: схватил вирус (после тесного контакта с чьей-то флешкой ) и мой компьютер. Но я его быстро обнаружил (каспер у меня по умолчанию не запущен, шоб сис-му не грузить) обнаружил и уничтожил его файлы по маске autorun.* убрал из реестра ссылки на авторан дисков и вродь все окейно. Но autorun.reg указанный выше свои бяки в реестре провел, а так как самого файла у меня нет (по неосмотрительности его тож удалил) то не могу узнать какие именно. Последствия которые заметил - невозможность в эксплорере проставить галочЬку на "показывать скрытые файлы и папки", точнее галочЬку поставить можно но после того как нажимаешь ОК все возвращается на исходное состояние Сами понимаете насколько админу необходимо зреть скрытые файлы, а тут... Если кто заметит этот фирус а может ктот их коллекционирует=) предоставьте мне записи файла autorun.reg, нематериальную благодарность обесчаю=) ---- Корочь расклад таковой меняю в ветке реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметр Hidden на 1 и все покайфу все файлы вновь отображаются(вкупе с параметром SuperHidden) Захожу в Сервис-Свойства папки-Вид включаю радиобаттон "Показывать скрытые файлы и папки" нажЫмаю применить. И файлы вновь не отображаюЦЦа. А параметр Hidden в реестре обнуляеЦЦа. Есть подозрения что сам explorer.exe подправлен. ---- Подозрения не оправдались. Настройки тупо сменены в реестре (лень было регмон пользовать) Для потомкоff: ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden HIDDEN SHOWALL параметры: CheckedValue DefaultValue в случае HIDDEN проставить 0, а в SHOWALL проставить 1. пользуйтеконтрацептивы --- Trojan-PSW.Win32.Ceda - иль хистори оф баттл Ну думаю дожил, перезагрузив комп в очередной раз начал проверять запущенные процессы. Каспер преспокойно сообщает что все пучЬком. Фигассе думаю вродь вчера обновил, подрубаю комп к нету (дабы обнову скачать) сеть начинает кряхтеть и морщиЦЦа от боли. Кульки пинга теряюЦЦа в импровизированной проППке, причОм не ток у меня, фся контора начинает выть от неожЫданного оффлайна. ПерегрузанувшЫсь в другую ось обновляю Каспер запустив полную проверку довольный ушол на обед. После обеда иль есь точней как расс перед ужЫном каспер опять выдал потрясающую инфу мол у тя все кристально чисто [1а суг фы ях хац сун]. Думаю можть у меня глюки (можть таблетки перепутал). Злой. Достав с полки ад-aware (запустив заражОнную ось) начинаю мутузить запущенные процессы, досконально проверяя кто с каким файлом работает. Внимание привлек ккойт текстовый файл он пчемут был скрытым. Инфа в файле приколола, грамотный кейлог я такими какчественными даж не пользовался (хотя я давно сим не баловаюсь, прогрессируют гады) какоет нехорошее очучение шо за мной наблюдают, хотяяя уже не наблюдают. Птому как, нет лучшей защиты от какера как вытащить кабель из модема :p. Имел сей текстовик %systemroot%\System32\svchost.exe. Собрав список всех файлов с которыми имелся контакт у svchost.exe ушол в "подполье" на другой комп проверять наличие их в стандартной устаноФФке винды. (Прошу простить список файлов у меня не сохранился, но теперь он по сути и не нужОн). Исключил из проверяемых те файлы которые были в стандартной устаноффке (+ несколько файлов назначение которых было мне ведомо) и предварительно скопировав их удалил с мест обжЫвания. Запустил комп. Прождал минут 20 (троянчик ентот имеет свойство сис-му чрез какоет время перезагружать). ВоодушевившЫсь кажущейся победой подключился к выделенному каналу, и о чудо, сетка дышит ровно. Срубив Каспера сыграв ему похоронный марш поставил в надежде Н1од32 (управа давно требует шоб его всем проставил, но на меня они управу так и не нашли). Обновив антивирусную базу, проверил скопированные файлы. С гордостью лицезрею шо я круче всех антивирусофф, птому как он тож слепо поверил шо енти файлы чисты перед закономЪ. Увы победу праздновал недолго, как гриЦЦа не успел выпить уже опохмеляЦЦа. Опосля серфа по нэту комп проработал нормально мин 20 не больше. Фигассе, мыслю, опять заразился и вродь посещал ток проверенные временем сайты. Удалив заново подозрительные файлы оставив комп врубленным лег спать. Утро вечера ядреннее. Утром (в тот день оно началось как обычно в 11 ) проверил жЫзнеспособность махинЫ, все было тихо мирно. Полез в ИЕшник за очередной порцЫей ненужной информацЫи, прошлялся по анонсам вирусоff и трояноff, глаз ничо похожее на мой случай не привлекло. Зато чрез определенное время паразит снова объявился. Тут на голову упало яблоко вода из ванны вытекла и громким возгласом эврика осознал шо ИЕшник то модифицЫрован. Именно его запуск являецца стартером для трояна. Заменив iexplore.exe на аналогичЬный с девственной операцЫёнки, удостоверился в своих измышлизЬмах. Вкусив аромат долгожданной победы заново обновил антивирь, проверил приготовленные ранее на допрос файлы и узрел модифицЫрованный Win32.PSW.Ceda. Алхьамдулиллахь терь и антивирус его зрит. Проверив всю сис-му обнаружЫл еще несколько заражОнных файлофф (кстать сам svchost тож был модифицЫрован, но без остальных файлов он безопасен). Пересчитал раненных и убитых, немного поскорбив, довольный ушол праздновать свою победу. Почему не открываются файлы с расширением .exe? Недавно было таковое. Притащили ноут для переустановки ОС, грЯт шо лечению не подлежЫт, мол ккойт авторитет им сказал шо кирдык операцЫёнке (странно шо он сам ее не переставил). РешЫл проверить чо за кердык и с чем его жуют. Кирдык оказался в том что никак не хотели запускаЦЦа *.exe -шники, каждый раз выдавало "Невозможно открыть файл" - "Открыть с помощью...". Ясно что изменения коснулись реестра, но запустить регедит не просто он ведь тож ехешник. Помогло в запуске следоваюсчее, создал *.bat -ничек в котором прописал строку start regedit.exe надо отметить что бат-файлы и вбс-файлы запускались без траблов и из cmd консоли все приложения тож запускались, отсюда можно догадаться что изменению подверглась ветка отвечающая за двЫжения экслорЁра. Ветку искал недолго, искал по наличию слова Shell (ужОс как много таковых веток). Уж и не знаю чо за вирь сие сделал но попыхтеть тож пришлось: HKEY_CLASSES_ROOT\exefile\shell\open\command убираем все значения кроме параметра "по умолчанию" кстать он должОн быть равен = "%1" %* Далее по сценарию: проверка антивирем + мониторинг адэвэром + sfc /scannow, и никакой переустановки ОС ненадо. Крочь потихоньку отучиваюсь от г1алг1айской привычЬки чуть что переустанавливать сис-му. ---- продолжуха про интернед экплорер.Если совсем невмоготу сидеть под ограниченной учеткой и юзать это сборище дыр,тогда есть вариант юзания приложений по типу sandbox и jail в юниксах.Создаете ограниченного юзера.пишите батник в который забиваете runas /user:пользователь /savecred "c:\Program Files\Internet Explorer\iexplore.exe".запускаете вводите пароль и радуйтесь жызни нах.Если сисма ниже xp профешыныл savecred не прокатит пароль придеца вводить каждый раз.Ну вы хакеры напишите какую нидь приблуду шоб не заморачиваца.Также можно пускать и другие приложения ,но тады возможно придеца использовать ключ /profile.Итог -иеэксплорер не могет писать в важные ключи реестра и важные директории и значит огромная дыра прикрыта.Кстать должна быть запущена служба runas. ---- Прочтя выше я сначала подумал и решил попатчить байты, а потом не подумал и решил написать на vbs.В итоге я runas вииграль.эта цука не дает перенаправление ввода так шо придеца эмулировать.Допустим юзер у нас zzz и пароль 12345678. лабаешь таеой батник start runas.exe /user:zzz "notepad.exe" 1.vbs и скрипт 1.vbs set WshShell = WScript.CreateObject("WScript.Shell") WScript.Sleep 100 WshShell.SendKeys "12345678~" или set WshShell = WScript.CreateObject("WScript.Shell") WScript.Sleep 100 WshShell.SendKeys "12345678{ENTER}" возможно придеца поиграть со sleep. пару радостных миганий командкомов и ура.правда пароль светицо в открытую ну ент не мои траблы. ЕСЛИ ВАМ ПОМОГЛА ДАННАЯ СТАТЬЯ, НАЖМИТЕ НА КНОПКУ:  | ||
| Просмотров: 1577 | | ||
| Всего комментариев: 0 | |
