Вы не авторизованы.

Добро пожаловать в Мегабит Клуб — Рубежное, Северодонецк, Лисичанск! Если это твой первый первый визит сюда, то прочитай, пожалуйста, Правила и Справку. Ты можешь зарегистрироваться и получить полный доступ к возможностям Форумов. Используй регистрационную форму чтобы зарегистрироваться или узнай больше о процессе регистрации. Зарегистрированные пользователи могут войти в Форумы тут.

TRIGGER

Вождь

(118,209)

  • "TRIGGER" создал эту тему

Сообщения: 7,100

Модификатор репутации: 23

  • Отправить личное сообщение

1

15.01.2009, 17:08

Ловим вирусы.

Предлагаю делится опытом борьбы с вирусами в этой теме. Антивирусы не всегда могут увидеть и удалить вирус.

Я тут недавно подцепил один чудесный вирус, точнее червь - Net-Worm.Win32.Kido.ih. Началось все с ошибки "svhost.exe - ошибка, приложение будет закрыто."
И после закрытия падал звук и сеть. Я спохватился и обновил базы каспера 2009. Стал обнаруживать и удалять файлы в папке windows\system32 и C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
Но, после перезагрузки все повторялось, и ошибка и удаление невесть откуда взявшегося червя.
Я уже переустановил систему, и через 15 минут снова теже грабли, я в шоке. Я уже заподозрил что может он пробрался в загрузочный сектор винчестера, сделал с консоли заклинания по очистке - fixboot, fixmbr и снова перебил систему, и снова те же грабли. Я в панике.
Полез я за разьяснениями к товарищу Гуглу и выяснил что этот замечательный червячек не обязательно запускать у себя на компьютере, он может чудесным образом по локальной сети, используя уязвимость 445 порта заражать копм через сеть удаленно.
Вот такие дела, какой нибудь прыщавый малолетка геймер которому все пофиг, в том числе и антивирусы, рассылает вирусы по локалке сам того не подозревая.
Пришлось пошаманить целый день чтобы выковырять его. Обобщил опыт свой и интернета и могу дать такие рекомендации:
1. Отключить комп от сети.
2. Мелкомягкие тоже не дремлют и выпустили латку закрывающую дыру в сервисе "Сервер" и в 445 порте. Ставим обязательно. Ссылка.
3. Каспер2009 с новыми базами - полный скан, все настройки глубины сканирования на максимум и когда найдет какой нибудь файл типа "Онаружен вирус Net-Worm.Win32.Kido в файле blabla.dll " - внимательно смотрим в свойства его и запоминаем его размер, это нужно на потом.
4. У касперцев есть утилита специальная для чистки червяков - klwk.zip качаем и используем ее.
5. Самое интересное, все вышеперечисленные шаги могут не принести успеха, вирус постоянно мутирует и криптуется, поэтому придется себе выровнять руки, закатать рукава, надеть перчатки, очки. Будем пытаться выловить остатки вируса голыми руками.
Метод основан на поиске потенциальных вирусов по размеру. Нам понадобится TotalCommander и Unloker.
В Tотале ставим галочку "Показывать скрытые файлы". Запускаем поиск по диску С:\ , поле имя файла оставляем пустым, а включаем поиск по размеру, ставим чекбокс "=" и вводим размер который я говорил вам запомнить ранее. Вирус постоянно при каждом запуске меняет название и расширение но размер его остается примерно одинаков. Будет найдено и много полезных файлов, встает вопрос как отличить их? Как правило полезные файлы имеют в свойствах вкладку "Версия" где что- то написано, типа "Microsoft corporation". Если версии и изготовителя нет то это практически 100% вирус.
Файлы с левыми расширениями удалятся легко, а вот для dll-ки из system32 нужно будет использовать упомянутый unlocker, чтоб снять процесс.
Когда снимешь процесс, то сразу "проснется" Каспер, радостно заверещав, что нашел вирус и во что бы то ни стало хочет его удалить. Удаление лучше доверить Касперу, ибо при удалении через unlocker вирус переместится в System Volume Information и Каспер потом еще раз напугает юзверя.
6. Ставим фаерволл и закрываем наглухо порт 445 по протоколу UDP и TCP.

Вот несколько ссылок тоже по этой теме, мож кому поможет.
http://forum.kasperskyclub.ru
http://support.kaspersky.ru
http://www.microsoft.com
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

jm

ISP "MEGABIT"

(4,928)

Сообщения: 1,092

Модификатор репутации: 24

  • Отправить личное сообщение

2

15.01.2009, 18:01

Рекомендую вместо КAS поставить KIS тут встроенн фаревол.
Я доволен.

Newcore

Бывалый

(609)

Сообщения: 555

Месторасположение: Рубежное

Род занятий: Работаю

Модификатор репутации: 11

  • Отправить личное сообщение

3

15.01.2009, 18:51

Опыт борьбы: Ubuntu начал щюпать в 2007, в феврале 2008 поставил 7.10. На этом собсвенно моя борьба с вирусам и прекратилась. Щас держу CureIt, на всяк случай.

ТимУУУр

Гость

4

15.01.2009, 19:52

Аппнафи финдуууу!!!))))

К каждому эксплойту прилагается заплатка от Мелкомягких!! ну а как обойти запрет на обновления кряктуной винды читайте в выпусках google.com там полно всякого)))

lkr

Гость

5

15.01.2009, 21:31

RE: Аппнафи финдуууу!!!))))

К каждому эксплойту прилагается заплатка от Мелкомягких!!
Интересно wmf уязвимость всё так же в силе?) Надо ради интереса проверить будет ))

ТимУУУр

Гость

6

15.01.2009, 21:50

От WMF-дыры корпорация уже через неделю выпустила заплатку, и вообще, это история 3-х летней давности)))
На сколько я знаю, что б воспользоваться процедурой обработки мета-файлов, надо создать сайт с критическими функциями и ловить удачу на глупом юзере! :crazy:
ЗЫ хотя использование WMF-уязвимости много модернизируется, она опасна только для Одного юзера, эксплойт не флудит внутри сети! да и вообще, можно подловить только Эксплорером

Сообщение редактировалось 1 раз(а), последний раз пользователем "ТимУУУр" (15.01.2009, 21:54)


lkr

Гость

7

15.01.2009, 22:06

От WMF-дыры корпорация уже через неделю выпустила заплатку, и вообще, это история 3-х летней давности)))
На сколько я знаю, что б воспользоваться процедурой обработки мета-файлов, надо создать сайт с критическими функциями и ловить удачу на глупом юзере! :crazy:
ЗЫ хотя использование WMF-уязвимости много модернизируется, она опасна только для Одного юзера, эксплойт не флудит внутри сети! да и вообще, можно подловить только Эксплорером
Да, история действительно трехлетней давности. Но, товарищ дорогой, ты о чем говоришь? :) При чем браузер? Вообще, при чем тут юзер? Кому угодно отправляешь *.wmf-файл, содержащий элементарные метаданные, там вообще в 1 строчку, при чем на любые ОС. Браузер тут вообще никакой роли не играет. Дело лишь в обработке содержимого системой. Просто надо, чтобы человек зашел на ссылку. И квалификация пользователя тут не особо-то и поможет.

TRIGGER

Вождь

(118,209)

  • "TRIGGER" создал эту тему

Сообщения: 7,100

Модификатор репутации: 23

  • Отправить личное сообщение

8

16.01.2009, 00:10

Брейк товарищи, мы тут обсуждает методы борьбы с вирусами а не способы впарить вирусы. хотя и эти знания тоже нужны для успешной борьбы с ними.
Раз уж заговорили про wmf так давай по порядку и подробнее, не все ж тут такие спецы что бы с полуслова понять ваш разговор.
Вкратце что из себя представляет метод заражения wmf, что такое метаданные и способы избежать этого.
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

lkr

Гость

9

16.01.2009, 00:15

Quoted

Внимательное чтение SDK (да только кто ж его читает!) показывает, что некоторые GDI-команды поддерживают функции обратного вызова (они же call-back'и), принимающие в качестве одного из аргументов указатель на пользовательскую процедуру, делающую что-то полезное (например, обрабатывающую ошибки или другие внештатные ситуации). В том же самом SDK говорится, что последовательность GDI-команд может быть сохранена в метафайле (Windows Meta-File или, сокращенно, wmf), а затем «воспроизведена» на любом устройстве, например, мониторе или принтере. По отдельности оба этих факта хорошо известны, но долгое время никому не удавалась объединить их в одну картину. Все привыкли считать wmf графическим форматом, содержащим набор данных, возможность внедрения машинного кода как-то упускалось из виду и никакие защитные меры не предпринимались. Между тем, если записать в метафайл GDI-команду, ожидающую указателя на callback-функцию, размещенную там же, то при «проигрывании» метафайла она получит управление и выполнит все, что задумано!

Метафайлы появились еще в начале 80-х и неизвестно, кому первому пришла в голову мысль использовать их для распространения зловредного кода.
Есть несколько видов эксплойтов, условно классифицированных как W32/PFV-Exploit A, B и C.

Сообщение редактировалось 2 раз(а), последний раз пользователем "lkr" (16.01.2009, 00:20)


ТимУУУр

Гость

10

16.01.2009, 00:21

Есть Shell-коды, которые ловятся в инете. Ну на нашём примере-это мета-файл, которого исполнил IE за содействием Windows .потом шел-код исполняется, как ему и положено, а на основе WMF-эксплойтов строятся обычно Tojan-Downloader`s, которые в совю очередь скачивают с хоста хакера себе "друзей"- "Управляющий" трояни эксплойтов, которые атакуют всю подсеть пользователя, шел-кодом заносят каждому Tojan-Downloader, ну и дальше всё снова. фух)))
Так вот, WMF дыра позволяет лишь занести вредонос, но сама по себе ничё не стоит!
Почему имено Эксплорер? Мета-файл -это простыми словами - бесформатная картинка, а IE отображает её именно таким способом, как и надо хацкеру.
Мазилла почти не пробиваема, Опера и подавно. Но, ты прав в том, что давно забытое свойство Винды запускать бинарник в ЛЮБОЙ картинке так лекго и без проблем может быть использовано))). но как было замечяно, во всём виновата библа shimgvw.dll, которую можно либо отключить, либо юзать проги-просмотрщики...хотя и это не поможет, потому что вирус исполнится даже при просмотре Экскизов :jokingly: .

А ну и добавлю! В настоящее время наличие любого антивируса спасёт от WMF-угрозы))))
ЗАНАВЕС

Сообщение редактировалось 1 раз(а), последний раз пользователем "ТимУУУр" (16.01.2009, 00:28)