Вирус Winlock
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Вирус Winlock - 2010-02-22 19:53:56.773333
|
|
|
Horonson
Сообщений: 2
Оценки: 0
Присоединился: 2010-02-22 19:46:55.600000
|
Доброго времени суток други! Многие наверно сталкивались с подобным вирусом - на весь экран появляется сообщение типа "Система заблокирована! Вышлите код на такой-то номер". Вот хочу узнать, каким образом данная пакостная программка все блокирует - и диспетчер задач, и выход в интернет, и безопасный режим. Я конечно пока новичок в таких вопросах. Но хочу узнать не из каких-то злых целей -типа написать такую же, а понять принципы. Куда обращается эта программа,через что блокирует (через Win API или еще что-то). Как она блокирует важные процессы системы? Как так получается, что Касперский и НОД ее не видят?
|
|
|
RE: Вирус Winlock - 2010-02-22 20:15:33.243333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Основную часть (клавиши, программы, инет) через реестр. Часть прог по имени через API. Антивирусы её не видят потому что криптована. Все до банальности просто.
|
|
|
RE: Вирус Winlock - 2010-02-22 20:36:21.016666
|
|
|
FriLL
Сообщений: 2539
Оценки: 335
Присоединился: 2007-08-11 17:14:26.703333
|
Антивирусы и диспетчер задач блочаться с помощью политик безопасности которые вирус создает в реестре Лично я не встречал "Достойных представителей" этих вирусов, все стандартно отрубается
|
|
|
RE: Вирус Winlock - 2010-02-22 21:36:53.913333
|
|
|
Horonson
Сообщений: 2
Оценки: 0
Присоединился: 2010-02-22 19:46:55.600000
|
Можно поподробнее) В каие именно ветки реестра он лезет, что там изменяет. И какие API использует) Если можно, то исходный код продемонстрируйте)
|
|
|
RE: Вирус Winlock - 2010-02-23 13:12:33.780000
|
|
|
aialaraniel
Сообщений: 14
Оценки: 0
Присоединился: 2010-01-11 11:32:52.750000
|
Ну, насколько мне известно, он лезет в HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit, меняет userinit на себя, ещё наверняка сидит в автозагрузке (HKLM\SOFTWARE\Microsoft\Windows\CurrentVerson\Run), а вообще про этот вирус оч много написано здесь: http://forum.xakep.ru/m_1497707/mpage_1/tm.htm
|
|
|
|
|