Флэшку тыкал по компам и в одного КАВ ругнулся на Kido. Пришел домой, хотел посмотреть удалил ли он. Удалил. Авторан остался. Какой то он стремный =)
Флэшку тыкал по компам и в одного КАВ ругнулся на Kido. Пришел домой, хотел посмотреть удалил ли он. Удалил. Авторан остался. Какой то он стремный =)
Последний раз редактировалось AndreyKa; 16.01.2009 в 00:29.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Стремный - необычный. Много мусора, или нет? :/
Последний раз редактировалось IgorKr; 16.01.2009 в 00:30.
Сильно что?? Извените, не понял. Как видимо, это вирус. Ссылка сверху
auturun.inf - вирус? Когда .inf вирусами стали? :-/
Добавлено через 12 минут
кусок:
Код:shelLExECUte=RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
Последний раз редактировалось IgorKr; 16.01.2009 в 00:24. Причина: Добавлено
тут как посмотреть, в .inf записывается чего запускать, а также указания изменения в реестер.Сообщение от IgorKr
Вот, там про реестр указано в конце:
http://msdn.microsoft.com/en-us/libr...16(VS.85).aspx
_http://www.lenininc.com/inf.html
Так что, сиё действие вполне может быть вредоносным- почему бы не записать в вирусы, если действительно что-то зловредное ?
Последний раз редактировалось drongo; 16.01.2009 в 01:08.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Пишут, что некоторые разновидности этого вируса Касперский удалить не может (тупо не может удалить файл)
Странно!!! Как же там устроен анти-руткит, что антивирус не может получить приоритетный доступ к процессам и файлам?
Антивирус Касперского теперь его детектирует как Worm.Win32.AutoRun.etg
![Аватар для [500mhz]](customavatars/avatar15687_1.gif "Аватар для [500mhz]"){kind=avatar}
я вообще поражаюсь лени вирмейкеров ) никакого креатива
1) парсер файлов inf тупо исчет слова в скобках [ ] на все остальное вообще не смотрит
2) берем ехешник в конец дописываем наш авторун типа
times 10 db 0x20 < тут немнога пробелов нада хз почему я парсер не дизасемблировал )
db 0x0d,0x0a
db '[autorun]',0x0d,0x0a
и так далее
3) после параметра [autorun] пишем OPEN= и тут самое интересное )))
4) как нам запустить autorun.inf как бинарник? ))) точный пример я вам не дам а то меня админ форума поругает
5) наводка как запускать всякую дрянь с любым расщирением - открываем cmd.exe и пишем в консоли к примеру dir|virus.jpg где на самом деле virus.jpg - простой ехешник, проверено , запуститься нех делать
ну вообщем PoC вы поняли надеюсь? ))))
пс
на все про все потратил 10 минут "исследований"
ппс
модеры не баньте это же теория а не код )
[500mhz] уверен что не забанят, хоть здесь и не rootkit.com-ru
Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html
http://forum.web-hack.ru/index.php?showtopic=82399
разница в реакции читателей заметна ощутимо )))
ондерграунд не помрет )))
интересные извраты
// ...
и это только начало )
Мдя, последний шаг остался - написать джоинер, и чтобы с GUI.
Причём эта гадость не блокируется стандартным отключением автозапуска..
да зачем там джоинер, руками за 5 секунд все делаеться
пс
почему сразу гадость?
ГУИ - для скрипт-кидсов, а гадость - потому что она расползётся ведь.
у нас в коде расползания нет )
Ваши права в разделе
Ответить с цитированием
