На днях пофиксил шпиЁна, пребываю в радостном возбуждении Хочу поделиться радостью
Ситуация такая. Сижу в винде на работе, с лицензионным касперским, под почти совсем бесправным пользователем. Прав хватает, разве что работу работать Аську, и ту, из-под админа запускаю (ну не работает она подо мной). И тут ко мне влез шпион....
Шпион — одно название. Орал о своем присутствии на всю Ивановскую. Запускал интернет-эксплорер со ссылкой xp-shield.com. На этом сайте меня стращали тем, что мой комп вот-вот умрет от вирусонаселености.
Не поддавшись панике, начал расследование. Во-первых, нашел запись в реестре каталога Run примерно такую запись: rundll32.exe "...\svsole.dll". Ну думаю, гадость. Удалил ветку, 0 эмоций. При перезагрузке софтина опять продолжала агитаторскую деятельность, запись в реестре восстанавливалась. Однако уверенности в том, что именно там живет вирус, не было.
Когда появилась очередная мессага о том, что мне срочно нужно заплатить N+1 баксов, вычислил процесс родителя. Родителем оказался exporer.exe. Посмотрев на используемые им dll-модули, обнаружил уже знакомую svsole.dll. Уверенность окрепла.
Перезагрузился с использованием Live CD, переименовал библиотечку. Перезагрузился в домашнюю ось. И! Никакой рекламы!!! Удалил ветку в реестре и все! Это чудо техники меня больше не беспокоит
Поковырявшись в дизасме, убедился, что прога очень интересная. Лезет в комп различными путями, в зависимости от прав пользователя. Пути, которые я выявил:
1) в реестре себя прописывает;
2) регистрируется службой (у меня не получилось — я под ограниченным пользователем ]:->)
3) регистрируется СОМ-сервером;
4) лезет в эксплорер при его запуске (при помощи хуков);
5) регистрируется компонентом iexplore.
Мало того, создает сервис в зависимости от того, NT "под ногами", или нет! В общем, зачетный шпион попался!
Здравствуйте, __kain, Вы писали:
__>На днях пофиксил шпиЁна, пребываю в радостном возбуждении Хочу поделиться радостью
Ну, с полем!
__>1) в реестре себя прописывает; __>2) регистрируется службой (у меня не получилось — я под ограниченным пользователем ]:->) __>3) регистрируется СОМ-сервером; __>4) лезет в эксплорер при его запуске (при помощи хуков); __>5) регистрируется компонентом iexplore.
__>Мало того, создает сервис в зависимости от того, NT "под ногами", или нет! В общем, зачетный шпион попался!
Я конечно все понимаю, радостное возбуждение, первая добыча и все такое. Но шпион заурядненький Самые меганавороченные трояны как раз стелс, причем настолько, что обнаружить их можно только, если очень хорошо знать, куда смотреть. А обезвредить — только если точно знать, как. Например, последний, который в csrss встраивался — обнаруживался только сетевым монитором, АВЗ с Авастом молчали глухо, а удалять его пришлось осторожно за хвост, не делая резких движений... .
Ничего, погуляй по сети на ослике, еще насмотришься на всю эту фауну. Они на осла летят, как москиты на запах крови.)
Здравствуйте, StandAlone, Вы писали:
SA>И тратить время не на борьбу с вирями, а с правильной осью — выбирать дистрибутивы, курить маны и рыться по форумам.
Это работа. За меня ось выбрали. А вообще я и линукс и виндовс ковыряю. Мозгу полезно знать все...
Здравствуйте, Roman Odaisky, Вы писали:
RO>Здравствуйте, __kain, Вы писали:
__>>Но в целом я на правильном пути
RO>С чего ты взял?
RO>На правильном пути — это поставить правильную ОС.
Здравствуйте, MikePetrichenko, Вы писали:
RO>>На правильном пути — это поставить правильную ОС. MP>Symbian?
Сказали же: "правильную ОС", а ты тут Symbian предлагаешь...
Здравствуйте, Cyberax, Вы писали:
RO>>>На правильном пути — это поставить правильную ОС. MP>>Symbian? C>Сказали же: "правильную ОС", а ты тут Symbian предлагаешь...
Здравствуйте, __kain, Вы писали:
__>Здравствуйте, StandAlone, Вы писали:
SA>>И тратить время не на борьбу с вирями, а с правильной осью — выбирать дистрибутивы, курить маны и рыться по форумам.
__>Это работа. За меня ось выбрали. А вообще я и линукс и виндовс ковыряю. Мозгу полезно знать все...
Здравствуйте, Cyberax, Вы писали:
C>Здравствуйте, MikePetrichenko, Вы писали:
RO>>>На правильном пути — это поставить правильную ОС. MP>>Symbian? C>Сказали же: "правильную ОС", а ты тут Symbian предлагаешь...
А как давно Symbian стала End User Application? Не дадите ссылочку на сею новость?
Хотя, автор, видимо, имел ввиду Amiga OS или Mac OS X. А, может быть, Русскую Операционную Систему.. Кто его знает, что для него Правильная ОС. Для меня — та которая работает. У меня все (кроме РОС) работают без проблем — так что, могу сказать, что все они — правильные.
Здравствуйте, MikePetrichenko, Вы писали:
MP>А как давно Symbian стала End User Application? Не дадите ссылочку на сею новость?
MP>Хотя, автор, видимо, имел ввиду Amiga OS или Mac OS X. А, может быть, Русскую Операционную Систему.. Кто его знает, что для него Правильная ОС. Для меня — та которая работает. У меня все (кроме РОС) работают без проблем — так что, могу сказать, что все они — правильные.
Я думаю, речь велась о клоне CP\M от Sinclair Research LTD.
Здравствуйте, StandAlone, Вы писали:
SA>Ничего, погуляй по сети на ослике, еще насмотришься на всю эту фауну. Они на осла летят, как москиты на запах крови.)
Ослик (emule?) взламывается или под его видом проникают?
Здравствуйте, Ватакуси, Вы писали:
В>Здравствуйте, StandAlone, Вы писали:
SA>>Ничего, погуляй по сети на ослике, еще насмотришься на всю эту фауну. Они на осла летят, как москиты на запах крови.)
В>Ослик (emule?) взламывается или под его видом проникают?
Под "осликом" как правило подразумевают IE, при этом почему-то считая, что он менее безопасен нежели (к примеру) firefox.
Мне как-то пришлось запортить один exe-файл, чтобы реестр почистить. Просто вошел в редактирование и стер первые символы. Смешно даже было: процесс запускается и сразу убивается.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Ватакуси, Вы писали:
В>>Здравствуйте, StandAlone, Вы писали:
SA>>>Ничего, погуляй по сети на ослике, еще насмотришься на всю эту фауну. Они на осла летят, как москиты на запах крови.)
В>>Ослик (emule?) взламывается или под его видом проникают?
KV>Под "осликом" как правило подразумевают IE, при этом почему-то считая, что он менее безопасен нежели (к примеру) firefox.
Обычно, количество вирусов на компьютере обратно пропорционально прямизне рук пользователя и прямо пропорционально его тупости и любви к порнухе и халяве.
Здравствуйте, MikePetrichenko, Вы писали:
C>>Сказали же: "правильную ОС", а ты тут Symbian предлагаешь... MP>А как давно Symbian стала End User Application? Не дадите ссылочку на сею новость?
Symbian — не ОС, а уже зомби. Он умер и теперь пытается заховать мозги программистов, которые под него имеют несчастье писать.
MP>Хотя, автор, видимо, имел ввиду Amiga OS или Mac OS X. А, может быть, Русскую Операционную Систему.. Кто его знает, что для него Правильная ОС. Для меня — та которая работает. У меня все (кроме РОС) работают без проблем — так что, могу сказать, что все они — правильные.
Ну тогда попробуй GNU Hurd
Здравствуйте, kochetkov.vladimir, Вы писали:
RO>>На правильном пути — это поставить правильную ОС. KV>Согласен на все 100%. Давно пора на висту переходить...
Кстати, Windows Vista запускает файлы, указанные в autorun.inf на флешках?
Тут у нас очень популярен вирус, который живет на флешках под именем udisk.exe и автозапускается. Если в компьютер без антивируса сунуть такую флешку, то вне зависимости от радиуса кривизны рук он заразится.
Здравствуйте, __kain, Вы писали:
RO>>>>На правильном пути — это поставить правильную ОС. MP>>>Symbian? C>>Сказали же: "правильную ОС", а ты тут Symbian предлагаешь... __>Ой, чую, скоро опять народ начнет осями меряться
Хочу поделиться радостью 
Но в целом я на правильном пути 
