Вот, написал небольшую утилиту, которая помогает лечить ПК от автозапускных червей.
Имя программки в честь любимой девушки - Юлия.
Особенности:
- Мылый размер
- Не надо обновлять никаких баз
- Лечит активные заражения 12 версий червя
- Имеет эвристический сканер, который поможет удалить еще неизветсные виды вируса
- Иммунизирует ПК от повторного заражения червем
- Восстанавливает измененные настройки системы
- Не конфликтует с антивирусным ПО
- Не требует инсталляции
- Бесплатный
Написана она затем, что на сегодняшний день данный вирус встречется у многих пользователей, и антивирус зачастую не может с ним справится. Вобщем, пишите комменты, буду рад узнать Ваше мнение.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Интересно. А как она это делает? Её постоянно надо использовать на компе?
Paul
Очередная убивалка файлов по именам а-ля антивирус Калинина, мочит всех без разбора и запроса. Алгоритм:
1. Сканирование процессов. Процессы Flash зловредов не убивает, смысл сканирования неясен
2. Убивает без запроса и проверки наличия на диске следующие файлы:
<папка автозапуска в профиле>\msn.exe
и далее по всем дискам:
X:\KESHA.EXE
X:\Recycled\KESHA.EXE
X:\UFO.exe
X:\WINDOWS\system32\amvo.exe
X:\WINDOWS\system32\amvo0.dll
X:\WINDOWS\system32\amvo1.dll
X:\WINDOWS\system32\avpo.exe
X:\WINDOWS\system32\avpo0.dll
X:\WINDOWS\system32\desktop.dll
X:\WINDOWS\system32\esp10.dll
X:\WINDOWS\system32\msn.exe
X:\WINDOWS\system32\mstmdm.dll
X:\WINDOWS\system32\oinnls.dll
X:\WINDOWS\system32\secpol.exe
X:\WINDOWS\system32\thumb.dd
X:\WINDOWS\system32\wincab.sys
X:\WINDOWS\system32\explorer.exe
X:\autorun.inf
X:\desktop.dll
X:\msn.exe
X:\nideiect.com
X:\ntde1ect.com
X:\resycled\autorun.inf
X:\resycled\boot.com
X:\thumb.dd
X:\usdeiect.com
X:\uxdeiect.com
При этом функции отложенного удаления нет, активного зловреда как следствие убить не может. И о том, что бывают полезные autorun.inf в корене флешек и съемных дисков автор не слышал видимо ...
3. Открывает HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удаляет параметры с именами amva, avpa и rundll32 не проверяя их наличия
4. Прописывает значения:
Собственно модифкации известные, автозапуску после этого каюк
5. Удаляет ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2 и его содержимое
6. Сообщает, что злобные вирусы вылечены и перезагружает ПК
Исключительно ради опыта я запустил на полигонную машинку несколько Worm.Win32.AutoRun.*, они понятное дело пережили лечение
Последний раз редактировалось Зайцев Олег; 28.10.2008 в 18:45.
P.S.: Автору следовало бы по крайне мере указать против каких именно червей программка должна помочь. Autorun червей куча, и простыми методами удаления они далеко не все 'лечатся'...
Paul
Последний раз редактировалось XP user; 28.10.2008 в 18:53.
Кроме внесения этих ключей ни какой "иммунизации" нет...
Вы делали reg файл, а тут exe+попытка удаления файлов малваре по именам, которые хранятся в теле программы...
Иммунизации нет, зато эвристика есть - найдя autorun.inf файл, данная тулза ищет, на что он ссылается, и пытается уничтожать это без запроса. Т.е. если подключена флешка скажем с крипто-тулзой или менеджером бекапа на ней, но ему c некоторой вероятностью будет кирдык
У меня эвристика не срабатывает удаляется только сам файл autorun.inf, файл на который он ссылается остается на месте, я проверил 10 раз, с успехом можно сказать, что эвристический алгоритм кривоват
2 Зайцев Олег
Насчет не лечения. У меня и у моих коллег он прекрасно вылечил активное заражение как минимум 10 из 12 видов червя.
Насчет простого удаления по имени. По-моему файл amvo встречается НУ ПРОСТО ОЧЕНЬ часто среди такого червя и не помешало бы его удалить.
Насчет отложенного удаления. Зачем? Программа сперва убивает процессы и выгружает библиотеки (что позволяет удалить файлы) и затем удаляет файлы вирусов.
2 Иммунизации - это всего лишь попытка настроить систему против автозапуска.
2 All
Так, эвристику попробую исправить, сделаю запрос на полное удаление всех файлов автозапуска. Утилиту для лечения заразы стоит запускать один раз. Будем пытаться улучшить утилитку. За комменты спасибо.
А Вы не подумали, что когда "подключена флешка скажем с крипто-тулзой или менеджером бекапа на ней, но ему c некоторой вероятностью будет кирдык", то активынй зловред нафиг скосит этот автозапуск и припихънет свой
Последний раз редактировалось The Bulka; 29.10.2008 в 12:18.
Причина: Добавлено
А Вы не подумали, что когда "подключена флешка скажем с крипто-тулзой или менеджером бекапа на ней, но ему c некоторой вероятностью будет кирдык", то активынй зловред нафиг скосит этот автозапуск и припихънет свой
Я не знаю, какое активное заражение там ловится - у меня не ловится ничего Причина банальна - червяков этих тысячи, вариантов имен файлов как минимум - сотни, в глобальном масштабе эффект от такого поиска будет нулевой. А если вспомнить, что есть червяки с руткитами, то их поиск из UserMode вообще пустая затея ...
Если на компьютере будет нормальный антивирус, то собственно и червяка не будет - его или сигнатуры поймают, или эвристика/PDM/HIPS.
В остальном следует запомнить главный принцип построения любой (подчеркиваю - любой) тулзы в области безопасности - "не навреди". А следовательно, или должен быть запрос о том, что где найдено, в чем подозревается и что предлагается сделать (с возможностью согласиться или не согласиться), а мочить файлы по именам без разбора, особенно если это имя записано в autofun.inf - глупо и очень опасно, вреда будет в разы больше, чем пользы. Аналогично с правкой реестра - а кто сказал, что лобовое отключение автозапуска хорошо ?! А как-же CD/DVD с автозапуском (игрушки например, энциклопедии разные и и т.п.) ?
А как-же CD/DVD с автозапуском (игрушки например, энциклопедии разные и и т.п.) ?
У меня это всё без проблем открывается, кстати. Для CD/DVD откроем любимый плеер и указываем путь к нужной папке или диск. Для открытия энциклопедии вручную (у меня таких 2) тоже есть специальные ярылики на рабочем столе (программы их сами создают), в которых указан путь к этим дискам. Файлы autorun здесь необязательны.
Для игр (пасынок [ему 18] играет в The Punisher и в Need for Speed) стоят ярлыки у него на рабочем столе. Он вставляет диск. Если он ничего не делает, то тогда и ничего не проихсодит. Как только нажимает на ярлык - игра начинается без проблем.
Paul
Последний раз редактировалось XP user; 29.10.2008 в 15:43.
Аналогично с правкой реестра - а кто сказал, что лобовое отключение автозапуска хорошо ?! А как-же CD/DVD с автозапуском (игрушки например, энциклопедии разные и и т.п.) ?
Это надо с юзерами N лет поработать, чтобы это прочувствовать Очень распространена разновидность пользователя, именуемая по латыни "юзерус дотошнутус" И если что-то у него не открывается так, как как открывалось вчера, то он доведет до тошноты ИТ-саппортеров конторы, те допекут админов и в общем получится, что проще вернуть все как было, чем объяснять, почему оно работает или выглядит не так, как вчера
2 Зайцев Олег
Ваши комменты понял, именно поэтому уже исправил все ошибки, улучшил эвристику, добавил некоторые изменения, запросы и т.п. Скоро выложу в этой же ветке.
Насче того, что их тысячи - ну так для этого эвристический анализатор и будет разрабатываться, плюс принцип распространения этого червя один и тот же, так что принцип поиска сводится почти к одному принципу.
Насчет загрузки с флэх, CD и т.д. согласен, встроил возможность выбрать, что сделать с автозапуском на ПК. И кстати Касперский 7 нормально не лечит данный тип вирусов, Dr Web только позавчера по-меому обновил программу и улучшил лечение червя.
А про эвристику и HIPS: "юзверус дотошнотус" даже не ставит себе расширеный мониторинг, а уж тем более не хочет читать сообщения типа "Неизвестное приложение пытается запуститься через файл автозапуска. разрешить выполнение действия?" и тупо тыкает "Да". Так что о поведенческом анализе и мониторах можно говорить только опытным пользователям.
Добавлено через 1 минуту
И лично я ни разу не встречал версии такового червя с руткит механизмом.
Последний раз редактировалось The Bulka; 29.10.2008 в 17:34.
Причина: Добавлено
А про эвристику и HIPS: "юзверус дотошнотус" даже не ставит себе расширеный мониторинг, а уж тем более не хочет читать сообщения типа "Неизвестное приложение пытается запуститься через файл автозапуска. разрешить выполнение действия?" и тупо тыкает "Да".
В песочницах таких сообщений вообще не наблюдается. Не стоит привязываться к продукту только одного вендора, их много разных.
2 Гриша
У меня был данный вид червя, он абсолютно не маскировал у меня ничего, у других, у кого я лечил ПК от него, тоже. Хотя все же стоить еще разок проверить.