нечистая сила - как работает этот вирус???
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
нечистая сила - как работает этот вирус??? - 2007-04-23 11:52:48.830000
|
|
|
Antigen
Сообщений: 92
Оценки: 0
Присоединился: 2007-04-02 11:41:48.606666
|
Итак, господа, было бы интересно узнать ваше мнение по следующему вопросу:
На днях встретился с интереснейшим экземпляром заразы:[sm=aq.gif]
1) выгружает Dr. Web, Nod, 6-kaspera…………..
2) не светится в процессах - по крайней мере даже с пом. Startera - всё глухо…
3) записи в реестре отсутствуют - в классических ветках типа Run - ничего подозрительного нет - может с….ка вааще подменила explorer:))??
Три вопроса:
1) Как эта зараза стартует
2) Как маскируется
3) Хотелось бы препарировать в коллекцию[sm=cl.gif] - какие есть способы захватить тело этой дряни?????
буду рад услышать свежие мысли.[sm=az.gif]
С уважением, Antigen
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 12:12:29.596666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
1) Внедряется в Explorer - ничего нового
2) ХЗ
3) Еще более ХЗ
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 12:18:47.616666
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Точнее не скажешь :D
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 14:31:14.093333
|
|
|
S.V.
Сообщений: 295
Оценки: 0
Присоединился: 2006-12-26 18:25:30.413333
|
А возможно ли заразить другой комп с чистой виндой и отфильтровать изменения?
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 15:01:04.476666
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Ну в теории можно
Ставишь программу которая регистрирует изменения в реестре, программу отлавливающую изменения в файлах, файрвол и т.п. и ловишь….
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 15:07:58.530000
|
|
|
]DimON[
Сообщений: 968
Оценки: 0
Присоединился: 2007-03-16 21:04:31.776666
|
1) с каким нибудь системным процессом(explorer.exe, svchost.exe, и т.д.)
2) в каком нибудь системном процессе(explorer.exe, svchost.exe, и т.д.)
3) ХЗ
Выход = format c: /y
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 15:12:42.283333
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
Почитай логи антивирусов, может перед смертью успели заметить что их выгрузило. В часности каспер иногда пишет "сервисная часть программы была выгружена из памяти: ЗлойПроцесс PID 1348"
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 16:41:13.180000
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
А,собственно,какой вред от этой дряни? То, что выгружает антивирусы? Да и бог с ними!! Реальный вред-то какой?
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 18:46:12.540000
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
quote:
ORIGINAL: blonx
А,собственно,какой вред от этой дряни? То, что выгружает антивирусы? Да и бог с ними!! Реальный вред-то какой?
а то что он открыл дорогу другим вирусам – это не вред? ;)
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 18:56:45
|
|
|
blonx
Сообщений: 1150
Оценки: 0
Присоединился: 2006-04-01 03:28:42
|
Чет первый раз про это слышу, где почитать можно?
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-23 21:48:27.596666
|
|
|
cataha01
Сообщений: 121
Оценки: 0
Присоединился: 2006-03-12 02:04:21
|
quote:
1) Как эта зараза стартует
2) Как маскируется
был по земе вирус так он дописывался к .dll чтото вроде такова форамта 'test.dll' virus.dll
я уж не помню. а весит он скорее всего как приложение к svchost.exe
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 10:49:30.103333
|
|
|
blacksun
Сообщений: 2360
Оценки: 0
Присоединился: 2006-09-27 03:05:59.350000
|
quote:
1) выгружает Dr. Web, Nod, 6-kaspera…………..
2) не светится в процессах - по крайней мере даже с пом. Startera - всё глухо…
3) записи в реестре отсутствуют - в классических ветках типа Run - ничего подозрительного нет - может с….ка вааще подменила explorer:))??
1. Ничего удивительного …
2. Скрывается юзая нулевое кольцо .. или перехватом апи
3. Скорее всего установился как сервис …
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 12:14:30.666666
|
|
|
JTG
Сообщений: 1189
Оценки: 0
Присоединился: 2007-03-05 11:56:01.993333
|
cataha01: "dlll"? ;)
Вообще-то 6 касперского не так просто выгрузить (если включена самозащита, конечно)
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 16:55:49.956666
|
|
|
Mark999
Сообщений: 194
Оценки: 0
Присоединился: 2007-04-23 19:23:59.020000
|
Если тебя так пугает этот вирус, и ни чего не можешь с ним поделать, просто переустанови систему, поставь каспера 6.0 (как уже говорили, его практически нельзя выгрузить из системы), и по чаще обновляй базы.
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 16:58:51.896666
|
|
|
blacksun
Сообщений: 2360
Оценки: 0
Присоединился: 2006-09-27 03:05:59.350000
|
quote:
ORIGINAL: Mark999
Если тебя так пугает этот вирус, и ни чего не можешь с ним поделать, просто переустанови систему, поставь каспера 6.0 (как уже говорили, его практически нельзя выгрузить из системы), и по чаще обновляй базы.
Чтобы выгрузить каспера достаточно усовершенствовать метод ms-rem'a … (мона найти на васме)
|
|
|
|
|
RE: нечистая сила - как работает этот вирус??? - 2007-04-24 21:56:46.810000
|
|
|
mimas
Сообщений: 411
Оценки: 0
Присоединился: 2006-12-10 16:45:18.733333
|
quote:
ORIGINAL: Antigen
Итак, господа, было бы интересно узнать ваше мнение по следующему вопросу:
На днях встретился с интереснейшим экземпляром заразы:[sm=aq.gif]
1) выгружает Dr. Web, Nod, 6-kaspera…………..
2) не светится в процессах - по крайней мере даже с пом. Startera - всё глухо…
3) записи в реестре отсутствуют - в классических ветках типа Run - ничего подозрительного нет - может с….ка вааще подменила explorer:))??
Три вопроса:
1) Как эта зараза стартует
2) Как маскируется
3) Хотелось бы препарировать в коллекцию[sm=cl.gif] - какие есть способы захватить тело этой дряни?????
буду рад услышать свежие мысли.[sm=az.gif]
С уважением, Antigen
Может быть тебе поможет менеджер процессов Execute Manager!? Ведёт лог процессов, так что может быть возможность отследить условия и получить ответы на вопросы 1 и 2. Ну а зная что это за зараза можно придать его к списку блокированных процессов, найти и препарировать. Бывало я с его помощью пару выловил.
|
|
|
|
|
|
