You are not logged in.

Dear visitor, welcome to Мегабит Клуб — Рубежное, Северодонецк, Лисичанск. If this is your first visit here, please read the Help. It explains in detail how this page works. To use all features of this page, you should consider registering. Please use the registration form, to register here or read more information about the registration process. If you are already registered, please login here.

1

Thursday, January 15th 2009, 5:08pm

Ловим вирусы.

Предлагаю делится опытом борьбы с вирусами в этой теме. Антивирусы не всегда могут увидеть и удалить вирус.

Я тут недавно подцепил один чудесный вирус, точнее червь - Net-Worm.Win32.Kido.ih. Началось все с ошибки "svhost.exe - ошибка, приложение будет закрыто."
И после закрытия падал звук и сеть. Я спохватился и обновил базы каспера 2009. Стал обнаруживать и удалять файлы в папке windows\system32 и C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5
Но, после перезагрузки все повторялось, и ошибка и удаление невесть откуда взявшегося червя.
Я уже переустановил систему, и через 15 минут снова теже грабли, я в шоке. Я уже заподозрил что может он пробрался в загрузочный сектор винчестера, сделал с консоли заклинания по очистке - fixboot, fixmbr и снова перебил систему, и снова те же грабли. Я в панике.
Полез я за разьяснениями к товарищу Гуглу и выяснил что этот замечательный червячек не обязательно запускать у себя на компьютере, он может чудесным образом по локальной сети, используя уязвимость 445 порта заражать копм через сеть удаленно.
Вот такие дела, какой нибудь прыщавый малолетка геймер которому все пофиг, в том числе и антивирусы, рассылает вирусы по локалке сам того не подозревая.
Пришлось пошаманить целый день чтобы выковырять его. Обобщил опыт свой и интернета и могу дать такие рекомендации:
1. Отключить комп от сети.
2. Мелкомягкие тоже не дремлют и выпустили латку закрывающую дыру в сервисе "Сервер" и в 445 порте. Ставим обязательно. Ссылка.
3. Каспер2009 с новыми базами - полный скан, все настройки глубины сканирования на максимум и когда найдет какой нибудь файл типа "Онаружен вирус Net-Worm.Win32.Kido в файле blabla.dll " - внимательно смотрим в свойства его и запоминаем его размер, это нужно на потом.
4. У касперцев есть утилита специальная для чистки червяков - klwk.zip качаем и используем ее.
5. Самое интересное, все вышеперечисленные шаги могут не принести успеха, вирус постоянно мутирует и криптуется, поэтому придется себе выровнять руки, закатать рукава, надеть перчатки, очки. Будем пытаться выловить остатки вируса голыми руками.
Метод основан на поиске потенциальных вирусов по размеру. Нам понадобится TotalCommander и Unloker.
В Tотале ставим галочку "Показывать скрытые файлы". Запускаем поиск по диску С:\ , поле имя файла оставляем пустым, а включаем поиск по размеру, ставим чекбокс "=" и вводим размер который я говорил вам запомнить ранее. Вирус постоянно при каждом запуске меняет название и расширение но размер его остается примерно одинаков. Будет найдено и много полезных файлов, встает вопрос как отличить их? Как правило полезные файлы имеют в свойствах вкладку "Версия" где что- то написано, типа "Microsoft corporation". Если версии и изготовителя нет то это практически 100% вирус.
Файлы с левыми расширениями удалятся легко, а вот для dll-ки из system32 нужно будет использовать упомянутый unlocker, чтоб снять процесс.
Когда снимешь процесс, то сразу "проснется" Каспер, радостно заверещав, что нашел вирус и во что бы то ни стало хочет его удалить. Удаление лучше доверить Касперу, ибо при удалении через unlocker вирус переместится в System Volume Information и Каспер потом еще раз напугает юзверя.
6. Ставим фаерволл и закрываем наглухо порт 445 по протоколу UDP и TCP.

Вот несколько ссылок тоже по этой теме, мож кому поможет.
http://forum.kasperskyclub.ru
http://support.kaspersky.ru
http://www.microsoft.com
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

jm

ISP "MEGABIT"

(4,928)

Posts: 1,094

Reputation modifier: 24

  • Send private message

2

Thursday, January 15th 2009, 6:01pm

Рекомендую вместо КAS поставить KIS тут встроенн фаревол.
Я доволен.

Newcore

Intermediate

(609)

Posts: 555

Location: Рубежное

Occupation: Работаю

Reputation modifier: 11

  • Send private message

3

Thursday, January 15th 2009, 6:51pm

Опыт борьбы: Ubuntu начал щюпать в 2007, в феврале 2008 поставил 7.10. На этом собсвенно моя борьба с вирусам и прекратилась. Щас держу CureIt, на всяк случай.

ТимУУУр

Unregistered

4

Thursday, January 15th 2009, 7:52pm

Аппнафи финдуууу!!!))))

К каждому эксплойту прилагается заплатка от Мелкомягких!! ну а как обойти запрет на обновления кряктуной винды читайте в выпусках google.com там полно всякого)))

lkr

Unregistered

5

Thursday, January 15th 2009, 9:31pm

RE: Аппнафи финдуууу!!!))))

К каждому эксплойту прилагается заплатка от Мелкомягких!!
Интересно wmf уязвимость всё так же в силе?) Надо ради интереса проверить будет ))

ТимУУУр

Unregistered

6

Thursday, January 15th 2009, 9:50pm

От WMF-дыры корпорация уже через неделю выпустила заплатку, и вообще, это история 3-х летней давности)))
На сколько я знаю, что б воспользоваться процедурой обработки мета-файлов, надо создать сайт с критическими функциями и ловить удачу на глупом юзере! :crazy:
ЗЫ хотя использование WMF-уязвимости много модернизируется, она опасна только для Одного юзера, эксплойт не флудит внутри сети! да и вообще, можно подловить только Эксплорером

This post has been edited 1 times, last edit by "ТимУУУр" (Jan 15th 2009, 9:54pm)


lkr

Unregistered

7

Thursday, January 15th 2009, 10:06pm

От WMF-дыры корпорация уже через неделю выпустила заплатку, и вообще, это история 3-х летней давности)))
На сколько я знаю, что б воспользоваться процедурой обработки мета-файлов, надо создать сайт с критическими функциями и ловить удачу на глупом юзере! :crazy:
ЗЫ хотя использование WMF-уязвимости много модернизируется, она опасна только для Одного юзера, эксплойт не флудит внутри сети! да и вообще, можно подловить только Эксплорером
Да, история действительно трехлетней давности. Но, товарищ дорогой, ты о чем говоришь? :) При чем браузер? Вообще, при чем тут юзер? Кому угодно отправляешь *.wmf-файл, содержащий элементарные метаданные, там вообще в 1 строчку, при чем на любые ОС. Браузер тут вообще никакой роли не играет. Дело лишь в обработке содержимого системой. Просто надо, чтобы человек зашел на ссылку. И квалификация пользователя тут не особо-то и поможет.

8

Friday, January 16th 2009, 12:10am

Брейк товарищи, мы тут обсуждает методы борьбы с вирусами а не способы впарить вирусы. хотя и эти знания тоже нужны для успешной борьбы с ними.
Раз уж заговорили про wmf так давай по порядку и подробнее, не все ж тут такие спецы что бы с полуслова понять ваш разговор.
Вкратце что из себя представляет метод заражения wmf, что такое метаданные и способы избежать этого.
Триггер (триггерная система) — класс электронных устройств, обладающих способностью длительно находиться в одном из двух устойчивых состояний и чередовать их под воздействием внешних сигналов.

lkr

Unregistered

9

Friday, January 16th 2009, 12:15am

Quoted

Внимательное чтение SDK (да только кто ж его читает!) показывает, что некоторые GDI-команды поддерживают функции обратного вызова (они же call-back'и), принимающие в качестве одного из аргументов указатель на пользовательскую процедуру, делающую что-то полезное (например, обрабатывающую ошибки или другие внештатные ситуации). В том же самом SDK говорится, что последовательность GDI-команд может быть сохранена в метафайле (Windows Meta-File или, сокращенно, wmf), а затем «воспроизведена» на любом устройстве, например, мониторе или принтере. По отдельности оба этих факта хорошо известны, но долгое время никому не удавалась объединить их в одну картину. Все привыкли считать wmf графическим форматом, содержащим набор данных, возможность внедрения машинного кода как-то упускалось из виду и никакие защитные меры не предпринимались. Между тем, если записать в метафайл GDI-команду, ожидающую указателя на callback-функцию, размещенную там же, то при «проигрывании» метафайла она получит управление и выполнит все, что задумано!

Метафайлы появились еще в начале 80-х и неизвестно, кому первому пришла в голову мысль использовать их для распространения зловредного кода.
Есть несколько видов эксплойтов, условно классифицированных как W32/PFV-Exploit A, B и C.

This post has been edited 2 times, last edit by "lkr" (Jan 16th 2009, 12:20am)


ТимУУУр

Unregistered

10

Friday, January 16th 2009, 12:21am

Есть Shell-коды, которые ловятся в инете. Ну на нашём примере-это мета-файл, которого исполнил IE за содействием Windows .потом шел-код исполняется, как ему и положено, а на основе WMF-эксплойтов строятся обычно Tojan-Downloader`s, которые в совю очередь скачивают с хоста хакера себе "друзей"- "Управляющий" трояни эксплойтов, которые атакуют всю подсеть пользователя, шел-кодом заносят каждому Tojan-Downloader, ну и дальше всё снова. фух)))
Так вот, WMF дыра позволяет лишь занести вредонос, но сама по себе ничё не стоит!
Почему имено Эксплорер? Мета-файл -это простыми словами - бесформатная картинка, а IE отображает её именно таким способом, как и надо хацкеру.
Мазилла почти не пробиваема, Опера и подавно. Но, ты прав в том, что давно забытое свойство Винды запускать бинарник в ЛЮБОЙ картинке так лекго и без проблем может быть использовано))). но как было замечяно, во всём виновата библа shimgvw.dll, которую можно либо отключить, либо юзать проги-просмотрщики...хотя и это не поможет, потому что вирус исполнится даже при просмотре Экскизов :jokingly: .

А ну и добавлю! В настоящее время наличие любого антивируса спасёт от WMF-угрозы))))
ЗАНАВЕС

This post has been edited 1 times, last edit by "ТимУУУр" (Jan 16th 2009, 12:28am)