Как группа ТWK дает знания.
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как группа ТWK дает знания. - 2006-06-08 01:20:47
|
|
|
SOLON7
Сообщений: 11
Оценки: 0
Присоединился: 2006-06-08 01:13:49
|
SOLON7
Как группа ТWK дает знания.
Группа TWK известна тем что делает кряки для разных программ.
И не обошли программу The Bat 3.6 proffesional.
Началось все с того что мне нужен был кряк от свежей версии THE BATA.
Кряк Я нашел, после крякания программа работала нормально.
Но была проблема в том что когда создаеш новое письмо, сразу же к письму приклепляся файл
message.zip. Ни Касперски ни Аваст ничего не говорили, и это после того как я натравил антивируса на
сам файл. Червь ничего вредного не делал, кроме того как приклеплял этот самый message.zip к
новому письму. Меня это взбударажало. Думал я что где-то подцепил заразу. Да и еще службы глючили.
После переустановки винды, к новому письму уже не приклепляся файл. Я успокоился.
Через месяц решил другу поставить The Bat 3.6 proffesional и кряк в придачу. The Bat 3.6 поставил, и
поставил кряк. Такая же фигня началась и у него. Я опять был взбудоражен. Думал ну свинство.
Главное в процессах было svchost,csrss,lsass и ничего лишнего не было замечено. И в автозагрузке
тоже не было ничего лишнего.
По умолчанию в стандартном диспетчере процессов список процессов отображается по времени,
тоесть внизу тот процесс который быз запущен самым первым, а вверху тот который самый последний.
Посмотрев в стандартном диспетчере процессов не заметил процессов которые были бы запущены
после explorera. Да и вообще кто сказал что стандартный диспетчер процессов Винды XP годиться
начто-либо. Только на повышение приоритета процесса и его убиения.
Поставил прогу Process Explorer 9.12 Марка Русиновича. Сразу увидил что родители каких то там csrss
и svchost является система, тоесть ни к сервисам ни к файлу explorer.exe данные процессы не
принадлежат. После убиения этих процессов файл message.zip уже не приклеплялся к новому письму. И
еще я заметил что в строках процесса фигурировала строчка twk. Я так и понял что этот кряк и был
заразой. Эх группа TWK.
Ладно с источником заразы мы разобрались, Кряк я запаковал и больше не запускал. Это был первый
случай когда за всю мою жизнь кряк нанес вред(Честно). Теперь оставалось выяснить откуда же
запускаются эти черти.
Я узнал что путь запуска одного из файлов c:\windоws\csrss.exe.
Но после удаления файла c:\windоws\csrss.exe и перезагрузки винды оболчка explorer.exe не
запускалась. Причем решил запустить ее вручную, но диалоговое окно сказало мне. Цитирую ->
windоws не удалось найти ''explorer.exe''. Проверьте, что имя было введено правильно, и
повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду
"Найти".
Причем указав полный путь "c:\windоws\explorer.exe" программа все равно не запускалась. Видно Xp
определял эту вещь по имени процесса, а именно explorer.exe.
В чем дело сказал Я. Что за ху… После долгого поиска csrss в реестре натолкнулся на такой ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windоws NT\CurrentVersion\imаgе File Execution
Options\explorer.exe
Там был строковой параметр Debugger значение которого было "c:\windоws\csrss.exe". Да, то что
искали то и нашли.
Debugger - переводится как отладчик.
Это была фишка Микрософт, в этом ключе можно было определить опции и дебаггер для
определенного процесса. Тоесть я нашел уязвимое место для автозапуска процессов. А фича работала
так. Запускался файл c:\windоws\csrss.exe и ему передавался параметр explorer.exe, а уже csrss.exe
запускал explorer.exe.
Я удалил ключ "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windоws NT\CurrentVersion\imаgе File
Execution Options\explorer.exe" и explorer.exe стал нормально запускаться.
ВЫВОДЫ.
1. Запомните csrss,svchost,lsass лежат в windоws\system32 и ни в каком либо другом месте.
2. Вот компания микрософт говорит что обезопасит винду, но как они сами же оставляют в ней
уязвимые места, для того чтобы было что-то удобно. Для того чтобы защитися нужно отказаться от
всего удобного.
3. Используйте процесс менеджеры с древовидным просмотром процессов, хотя иногда это не удобно,
но критично оправдано.
Рекомендую Process Explorer и AnVir Task Manager. Их можно сделать менеджерами по умолчанию.
Причем используют тот же принцип внедрения как и наш червь.
4. Спасибо группе TWK за пищу для ума.
|
|
|
|
|
Как группа ТWK дает знания. - 2006-06-08 01:30:05
|
|
|
Python
Сообщений: 4964
Оценки: 0
Присоединился: 2005-12-14 08:32:13
|
SOLON7, ваще тЫ зря старался. Тут народ ленивЫй, больше двух строчек, читать не любит.
|
|
|
|
|
|
