-
Интересный autorun
Флэшку тыкал по компам и в одного КАВ ругнулся на Kido. Пришел домой, хотел посмотреть удалил ли он. Удалил. Авторан остался. Какой то он стремный =)
Последний раз редактировалось AndreyKa; 16.01.2009 в 00:29.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Стремный - необычный. Много мусора, или нет? :/
Последний раз редактировалось IgorKr; 16.01.2009 в 00:30.
-
Сильно что?? Извените, не понял . Как видимо, это вирус. Ссылка сверху
-
-
auturun.inf - вирус? Когда .inf вирусами стали? :-/
Добавлено через 12 минут
кусок:
Код:
shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
Последний раз редактировалось IgorKr; 16.01.2009 в 00:24.
Причина: Добавлено
-
Сообщение от
IgorKr
auturun.inf - вирус? Когда .inf вирусами стали? :-/
тут как посмотреть, в .inf записывается чего запускать, а также указания изменения в реестер.
Вот, там про реестр указано в конце:
http://msdn.microsoft.com/en-us/libr...16(VS.85).aspx
_http://www.lenininc.com/inf.html
Так что, сиё действие вполне может быть вредоносным- почему бы не записать в вирусы, если действительно что-то зловредное ?
Последний раз редактировалось drongo; 16.01.2009 в 01:08.
-
-
Junior Member
- Вес репутации
- 59
Пишут, что некоторые разновидности этого вируса Касперский удалить не может (тупо не может удалить файл)
Странно!!! Как же там устроен анти-руткит, что антивирус не может получить приоритетный доступ к процессам и файлам?
-
Антивирус Касперского теперь его детектирует как Worm.Win32.AutoRun.etg
-
-
я вообще поражаюсь лени вирмейкеров ) никакого креатива
1) парсер файлов inf тупо исчет слова в скобках [ ] на все остальное вообще не смотрит
2) берем ехешник в конец дописываем наш авторун типа
times 10 db 0x20 < тут немнога пробелов нада хз почему я парсер не дизасемблировал )
db 0x0d,0x0a
db '[autorun]',0x0d,0x0a
и так далее
3) после параметра [autorun] пишем OPEN= и тут самое интересное )))
4) как нам запустить autorun.inf как бинарник? ))) точный пример я вам не дам а то меня админ форума поругает
5) наводка как запускать всякую дрянь с любым расщирением - открываем cmd.exe и пишем в консоли к примеру dir|virus.jpg где на самом деле virus.jpg - простой ехешник, проверено , запуститься нех делать
ну вообщем PoC вы поняли надеюсь? ))))
пс
на все про все потратил 10 минут "исследований"
ппс
модеры не баньте это же теория а не код )
-
[500mhz] уверен что не забанят, хоть здесь и не rootkit.com-ru
-
-
http://forum.web-hack.ru/index.php?showtopic=82399
разница в реакции читателей заметна ощутимо )))
ондерграунд не помрет )))
-
интересные извраты
-
-
Сообщение от
[500mhz]
Мдя, последний шаг остался - написать джоинер, и чтобы с GUI.
Причём эта гадость не блокируется стандартным отключением автозапуска..
-
-
да зачем там джоинер, руками за 5 секунд все делаеться
пс
почему сразу гадость?
-
ГУИ - для скрипт-кидсов, а гадость - потому что она расползётся ведь.
-
-
у нас в коде расползания нет )