нечистая сила - как работает этот вирус???
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
нечистая сила - как работает этот вирус??? - 2007-04-23 11:52:48.830000
|
|
|
Antigen
Сообщений: 92
Оценки: 0
Присоединился: 2007-04-02 11:41:48.606666
|
Итак, господа, было бы интересно узнать ваше мнение по следующему вопросу: На днях встретился с интереснейшим экземпляром заразы:[sm=aq.gif] 1) выгружает Dr. Web, Nod, 6-kaspera………….. 2) не светится в процессах - по крайней мере даже с пом. Startera - всё глухо… 3) записи в реестре отсутствуют - в классических ветках типа Run - ничего подозрительного нет - может с….ка вааще подменила explorer:))?? Три вопроса: 1) Как эта зараза стартует 2) Как маскируется 3) Хотелось бы препарировать в коллекцию[sm=cl.gif] - какие есть способы захватить тело этой дряни????? буду рад услышать свежие мысли.[sm=az.gif] С уважением, Antigen
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 12:12:29.596666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
1) Внедряется в Explorer - ничего нового 2) ХЗ 3) Еще более ХЗ
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 12:18:47.616666
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Точнее не скажешь :D
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 14:31:14.093333
|
|
|
S.V.
Сообщений: 295
Оценки: 0
Присоединился: 2006-12-26 18:25:30.413333
|
А возможно ли заразить другой комп с чистой виндой и отфильтровать изменения?
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 15:01:04.476666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Ну в теории можно Ставишь программу которая регистрирует изменения в реестре, программу отлавливающую изменения в файлах, файрвол и т.п. и ловишь….
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 15:07:58.530000
|
|
|
]DimON[
Сообщений: 968
Оценки: 0
Присоединился: 2007-03-16 21:04:31.776666
|
1) с каким нибудь системным процессом(explorer.exe, svchost.exe, и т.д.) 2) в каком нибудь системном процессе(explorer.exe, svchost.exe, и т.д.) 3) ХЗ Выход = format c: /y
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 15:12:42.283333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Почитай логи антивирусов, может перед смертью успели заметить что их выгрузило. В часности каспер иногда пишет "сервисная часть программы была выгружена из памяти: ЗлойПроцесс PID 1348"
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 16:41:13.180000
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
А,собственно,какой вред от этой дряни? То, что выгружает антивирусы? Да и бог с ними!! Реальный вред-то какой?
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 18:46:12.540000
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
quote:
ORIGINAL: blonx А,собственно,какой вред от этой дряни? То, что выгружает антивирусы? Да и бог с ними!! Реальный вред-то какой? а то что он открыл дорогу другим вирусам – это не вред? ;)
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 18:56:45
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
Чет первый раз про это слышу, где почитать можно?
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 21:48:27.596666
|
|
|
cataha01
Сообщений: 121
Оценки: 0
Присоединился: 2006-03-12 02:04:21
|
quote:
1) Как эта зараза стартует 2) Как маскируется был по земе вирус так он дописывался к .dll чтото вроде такова форамта 'test.dll' virus.dll я уж не помню. а весит он скорее всего как приложение к svchost.exe
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 10:49:30.103333
|
|
|
blacksun
Сообщений: 2360
Оценки: 0
Присоединился: 2006-09-27 03:05:59.350000
|
quote:
1) выгружает Dr. Web, Nod, 6-kaspera………….. 2) не светится в процессах - по крайней мере даже с пом. Startera - всё глухо… 3) записи в реестре отсутствуют - в классических ветках типа Run - ничего подозрительного нет - может с….ка вааще подменила explorer:))?? 1. Ничего удивительного … 2. Скрывается юзая нулевое кольцо .. или перехватом апи 3. Скорее всего установился как сервис …
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 12:14:30.666666
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
cataha01: "dlll"? ;) Вообще-то 6 касперского не так просто выгрузить (если включена самозащита, конечно)
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 16:55:49.956666
|
|
|
Mark999
Сообщений: 194
Оценки: 0
Присоединился: 2007-04-23 19:23:59.020000
|
Если тебя так пугает этот вирус, и ни чего не можешь с ним поделать, просто переустанови систему, поставь каспера 6.0 (как уже говорили, его практически нельзя выгрузить из системы), и по чаще обновляй базы.
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 16:58:51.896666
|
|
|
blacksun
Сообщений: 2360
Оценки: 0
Присоединился: 2006-09-27 03:05:59.350000
|
quote:
ORIGINAL: Mark999 Если тебя так пугает этот вирус, и ни чего не можешь с ним поделать, просто переустанови систему, поставь каспера 6.0 (как уже говорили, его практически нельзя выгрузить из системы), и по чаще обновляй базы. Чтобы выгрузить каспера достаточно усовершенствовать метод ms-rem'a … (мона найти на васме)
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 21:56:46.810000
|
|
|
mimas
Сообщений: 411
Оценки: 0
Присоединился: 2006-12-10 16:45:18.733333
|
quote:
ORIGINAL: Antigen Итак, господа, было бы интересно узнать ваше мнение по следующему вопросу: На днях встретился с интереснейшим экземпляром заразы:[sm=aq.gif] 1) выгружает Dr. Web, Nod, 6-kaspera………….. 2) не светится в процессах - по крайней мере даже с пом. Startera - всё глухо… 3) записи в реестре отсутствуют - в классических ветках типа Run - ничего подозрительного нет - может с….ка вааще подменила explorer:))?? Три вопроса: 1) Как эта зараза стартует 2) Как маскируется 3) Хотелось бы препарировать в коллекцию[sm=cl.gif] - какие есть способы захватить тело этой дряни????? буду рад услышать свежие мысли.[sm=az.gif] С уважением, Antigen Может быть тебе поможет менеджер процессов Execute Manager!? Ведёт лог процессов, так что может быть возможность отследить условия и получить ответы на вопросы 1 и 2. Ну а зная что это за зараза можно придать его к списку блокированных процессов, найти и препарировать. Бывало я с его помощью пару выловил.
|
|
|
|
|