Свежие обсуждения
Не про радио

Мой первый собственноручно убитый вирус

1 2 19

То AN1440
Я мельком встречал в сети описания мучений людей очень похожие на мои. Если тут ни у кого таких проблем нет, то мне просто влом ходить по интернету и в каждом форуме поститься. Но повторяюсь - у него защита первоклассная, он себя делает невидимым честным пользователем, с привелегированными полномочиями. Сделайте второго админа в компе и проверте всеми антивирусами и увидите, что они скажут.

 

Ну а если он (в активном состоянии) никак себя не проявляет, т.е. не делает никаких вредностей, то это "неуловимый Джо" и отношение к нему соответствующее...
Хотя... зимой, кто обратил внимание, был шум по поводу странного вируса, который заразил кучу компов, тоже никак не проявлялся, а когда начали его исследовать, то поразились высочайшей квалификации его авторов, а также тому, что судя по коду, он был нацелен на какой-то промышленный контроллер (до которого вирус собирался добраться через общедоступные сети). Решили, что это тонко задуманная диверсия против иранской АЭС.

 

Вирус, который прячет свой процесс и даже свои файлы, бессилен против загрузки с другого носителя.
В частности, LiveCD c WinXP и другой, с Debian, позволяют и в реестр заглянуть, и по файлам пошариться.
Я как-то тоже словил троянчика... снес его из-под Debian'а руками, но скопировал на всяк случай и забросил на virustotal. Там его никто не опознал сразу. Только через неделю антивирусы начали чуять его аццкую сущность

 

Пусть я буду фантазёром, но скажу. Он себе на диске делает целый раздел, меняет как надо все загрузочные сектора и этот диск становится невидимым. Этот диск просто не проверяется в процессе любой проверки. Можно выбросить все антивирусы. Дальше. Он и биос модифицирует должным образом, чтобы его не убили, и выставляет защиту по всем способам затирания-перезаписи.

 

Михалыч А: Нет останков. Зачем мне их было оставлять? Чтобы воскресли?
Ну и зачем тогда об этом говорить?
Рассказывайте как убили.

 

Михалыч А: этот диск становится невидимым.
Для кого невидимым?

Михалыч А: модифицирует должным образом, чтобы его не убили, и выставляет защиту по всем способам затирания-перезаписи.
При этом какой хэш БИОСа? Он его подбирает по радужным таблицам используя вычислительные средства видеокарт?

 

Создатели вируса поленились сделать поддежку мелениума. Если сделают - будет супер.
В установленном, на якобы чистый диск, МЕ команда fdisk /mbr снимает шапку невидимку с вирусного раздела. Этот раздел появляется в "моём компьютере", но с ним ничего невозможно сделать и вирус остаётся живым.
Формат С: как надо не выполняется, полный ерайс только видимость выполнения создаёт - поэтому жесткий диск механически отсоединяется от мамы (разьём), Питание не трогается. Щас пойду книжку по ассемблеру возьму, наизусть не всё помню.

 

Эта вирусы называются руткитами. У меня на ноутбуке живет. Пока никого не трогает. Лень в БИОСе рыться

 


denis_111: Ну и зачем тогда об этом говорить?

Что бы другие не мучились, а при признаках описанных Михалыч А сразу вспомнили о чём речь, и спросили методы борьбы.
И не забывайте что речь идёт о честных пользователях, т.е. людей далёких от архитектуры компа вообще…

Михалыч А: Он себе на диске делает целый раздел, меняет как надо все загрузочные сектора и этот диск становится невидимым.

Подскажите как проверить наличие этого паразита на компе?
Не раз видел винты с неразмеченной областью 8МБ, эта область получается при фарматировании винта при установке WinXp_Sp3. Сама инсталяшка объясняет эти 8метров как служебные, но я ради принципа прибивал эти 8МБ. Нарывался так же на винты со слетевшей ОС без 8Мб неразмеченной области, но при фармотировании диска С партишеком эти восемь метров появлялись из ни откуда, приходилось фарматировать весь винт, и порой вплоть до ДОСовского форматирования в FAT32, а только потом уже в NTFS без 8Мб.

 

Link: Запустил команду netstat –ano но окно автоматом закрывается… что надо набрать чтобы окно не закрывалось?
Сначала запустить досовскую консоль (cmd) а из неё уже команду.