Наш вирус пал смертью храбрых!

[dlinyj]

Хехехехе!!! Сразу хочу высказать отдельную благодарность уважаемой m0na_sax, которая посоветовала мне один антивирь. Но антивирь пустая побрякушка в неумелых руках ламера, как показала практика. Мной лично были испытанны NOD32, AVZ4, AVG75, DR WEB, А касперский вообще наглая гадина отказался ставится и сказал чтобы я снёс антивири. МНе не жалко, но он просил снести драйвеб, который я отродясь не инсталил, или инсталил когда-то но он криво удалился и висит в реестре. Что обыдно.

Мои тщетные попытки выгружания DLLок процес эксплорером ничего не дали. Вирь прочно и капитально сидел в системе. Тогда я пошёл более простым, я бы сказал решил проблему влоб. Через вин командер, который зырит скрытые файлы, я нашёл на диске С:\ файл autorun.inf, и открыл его для просмотра. Это ОБЯЗАТЕЛЬНЫЙ файл авторановых вирей. Моему вниманию предавился такой вид:

[AutoRun]
open=uxdeiect.com
;shell\open=Open(&O)
shell\open\Command=uxdeiect.com
shell\open\Default=1
;shell\explore=Manager(&X)
shell\explore\Command=uxdeiect.com

Хехе, подумал я. Хаха, подумал вирус и творил своё чёрное дело. Оговорюсь сразу, как лакмусовую бумажку поверженности вируса я использовал созданный в папке обычный текстовик, с атрибутами скрытный. Как только через обычный проводник я его стану видеть (разумеется поставив соответствующие галки), то значить вирь повержен. Я пробовал найти онный файл и грохнуть его, но разум подсказывает, что хороший вирь имеет кучу резервок, да и ещё висит в памяти, что сильно осложняет задачу. Тогда я вбил в гугл запрос uxdeiect.com в надежде, что кто-то сталкивался с такой проблемой. Были сайты на всех языках, кроме англицкого и русского. В общем беглый просмотр ВСЕХ сайтов (а там, как ни странно было немного - свежачёк), не дал ощутимых результатов. Тогда я открыл нелюбимый яндух, и вбил запрос туда. И мне выпала, всего одна ссылка, но которая давала ИСЧЕРПЫВАЮЩИЙ ответ на мой вопрос!

Берём бесплатный антивирь AVZ (дёрнуть можно тут: http://www.z-oleg.com/secur/avz/download.php ), качаем. Жмакаем Файл-> Выполнить скрипт, и загоняем туда такой скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\jwbnlb.exe','');
 QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\drivers\jwbnlb.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта, комп ПРИНУДИТЕЛЬНО ребутнётся. И всё, наслаждаемся жизнью! Заинтересованные иследователи могут почитать по теме - http://virusinfo.info/showthread.php?s=d7bb23eb8411f66e2f1ebd4754fe325f&t=15532 там же можно качнуть САМ ВИРУС для исследования!

От себя замечу, напоследок, чтобы предохраниться от подобныых неприятностей, надо сделать как я уже писал ранее! Создать файл траляля.reg, в который внести следующуие строки:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]
"NoDriveTypeAutoRun"=dword:000000FF

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000FF

И запустить его. Этот скрипт пропишет в реестр запрет авторанов со всех сьёмных носителей. А чтобы обезопасится окончательно НИКОГДА не открывать флешки через мой компьютер, ТОЛЬКО командерами!!! ТОЛЬКО! Удачи на антивирусном поприще, и будте здоровы.
UPD Спешу обратить внимание на мой предыдущий пост по этой теме http://community.livejournal.com/x_crew/30570.html , правда там вирус был значительно проще и примитивнее.

Comments

[dnovikoff.livejournal.com]

Эх, забацать чтоль навороченный полиморфник и посмотреть, как народ с ним ебаться будет? Давненько не брал я в руки шашку =))

[dlinyj.livejournal.com]

Да уж, народ расслабился. Пишет вири на визуал бейсике. А то раньше было, внедрялся в тело файла. Сидишь с дебагером, ищешь похожую сигнатуру. Ностальгия...

[brakhma.livejournal.com]

Зайцев, однозначно, рулит.

[e-pipe.livejournal.com]

"1701" в далеком прошлом...

[mona-sax.livejournal.com]

а теперь открой АВЗ и посмотри информацию о программе :)

[maddev.livejournal.com]

Самые мощные вещи были под ДОС. Один вирус мог сразу заражать и MBR, и файлы, был резидентным, контролировал вызовы BIOS чтения/записи диска, шифруя записываемые данные и сам же из при чтении расшифровывая. Плюс полиморфизм и заражение несколькими "пятнами" по всему телу файла-жертвы. И все в 3,5 кб. Просто сказка! (страшная)

[mona-sax.livejournal.com]

кстати, чтоб долго в реестре не копаться - CCleaner тебе в помощь ;)

[weaselchuck.livejournal.com]

длиный, ну ты геморойщик

у меня эта красава вчера почтой пришла, так симантек ее сразу закарантинил и прибил

имхо, проблемы решаются в основном в зависимости от желания их решИть или решАть -)

[technobastard.livejournal.com]

> "благодарность уважаемой m0na_sax, которая посоветовала мне один антивирь"

Дай ка я угадаю, это был Касперский? :D

[dlinyj.livejournal.com]

Килобайты слишком жирно - БАЙТЫ!!!

[(Anonymous)]

Нет, это был AVZ. Но бесплатный касперский :)

[(Anonymous)]

Интересно как вирус авторан мог придти по почте, не стоит глаголить бреда.

[(Anonymous)]

Да, я смотрел, что ты думаешь. Вижу что каспер...

[dnovikoff.livejournal.com]

Ну на самом деле ничто не мешает нечто подобное сделать и под Windows. Главное - знание мат. части и наличие мозгов. Вот с последним у народа как-то плохо стало, если уже на VB пишут =))

[dnovikoff.livejournal.com]

А некоторые ещё шифровали тело =))
Кста, была помню вообще сказочная шняга - бутовый вирь, который вешался экстендером в защищённом режиме и пускал DOS в VM86 =))

[chekanoff.livejournal.com]

На прошлой работе бесплатный AVAST этот авторан захавал без следов.

[mona-sax.livejournal.com]

комментарии к прошлой записи посмотри ;)

[dlinyj.livejournal.com]

Помню, помню. Интересно было таких зверьков изучать!

[dlinyj.livejournal.com]

Не этот авторан.

[golodnyj.livejournal.com]

+1

Shift

[ex-guessss-w811.livejournal.com]

Держишь Shift при вставлянии флешки в комп или при открытии её в "Мой компьютер" - и всё гуд, автозапуск не срабатывает. Тот же фокус помогает при открытии зараженного макровирусом документа MS Office.

на самом деле - мешает

[ex-guessss-w811.livejournal.com]

резидентная часть антивируса, которая всё мониторит и пресекает любые действия типа "я тут чуть-чуть поменяю вот этот exe-шник", свела практически к нулю шансы паразитирующих вирусов на выживание и распространение.

кстати, прежде чем упрекать в отсутствии мозгов вирмейкеров, пишущих на VB, я бы советовал посмотреть код этих вирусов. ну и учесть некоторые аспекты Visual Basic (к чему его можно прикрутить, каковы его возможности и т.п.). и еще со статистикой ознакомься. :)

[boglen.livejournal.com]

Собственно резюмируя

>>Но антивирь пустая побрякушка в неумелых руках ламера, как показала практика.
:)

Случайно вернувшись к посту...

[dlinyj.livejournal.com]

Мне товарищ один - добрая душа, переписал под 98й виндоу вместе с другими файлами один экзешник на дискетку, для эксперимента, который затёр мне всю фат. После чего я переставлял винду.