PDA

Просмотр полной версии : BOO\NYB-G... кто сможет победить???



DDD
28.03.2005, 11:10
буду очень признателен, кто знает про эту хрень что нить, победить я его не смог ни AVP, Symantek, DRWEB, Panda, AVG, ANTIVIR.....
что нить ещё есть полезное?
сразу скажу что это полиморф, меняется каждую перезагрузку, ПОЛНОСТЬЮ шифрует раздел HDD (любого), запрещает доступы к любому устройству (флоп, сиди, флешка, другой хард), после установки на другую машину, показывает что диск не размечен, можно создавать всё заново, но грузится с заражённого харда замечательно, ничем не обнаруживается...
я нашёл первичное место загрузки харда, 232 сектор, до этого всё вытерто в ноль.
после 232 сектора уходит в неизвестность, каждый раз в новое место, я так и не могу его поймать, он меняет свою структуру прикаждой загрузке, но начальный старт всегда с 232 сектора...я забыл тебе сказать что ни одно устройство, присоединённое к машине, флоп, сиди, флеш карта, другой хард, сеть, модем, не видятся и не определятся... при попытке настроить прямое кабельное соединение через USB (у меня даже такой проводок нашёлся), он его устанавливает, но обратится на другую машину или с другой машины не возможно, в DOSe сеть не могу настроить, т.к.всё на компахе лежит, а её не видно.... виден тока один завирусованный жестяк и всё...
А с других машин он виден как неразмеченный хард и предлагает сразу его разметить (создать новый том)
НО САМ ТО ОН РАБОТАЕТ!!!!!

Geser
28.03.2005, 11:31
Я уже 2 раза написал в личном сообщении что нужны логи. По поводу телепатии и чтению судьбы по подчерку на другой форум.

DDD
28.03.2005, 11:41
я тока один могу прислать, от Адваре, я не могу скачать AVZ, мне его не записать на машину никак, а на другой машине этот раздел не виден, так что, мне присылать один лог?

Geser
28.03.2005, 11:53
я тока один могу прислать, от Адваре, я не могу скачать AVZ, мне его не записать на машину никак, а на другой машине этот раздел не виден, так что, мне присылать один лог?

Не поможет, у Адваре такие логи что чёрт ногу сломает. Если ты не можеш записывать файлы на комп, то я не знаю что можно сделать кроме формата.

baklan
28.03.2005, 12:03
Раздел совершенно ни при чём. NYB - это загрузочный вирус, так что сидит он либо в MBR, либо в загрузочном секторе активного раздела. При наличии вируса в MBR разделу на диске быть совсем не обязательно. Надо загрузиться с дискеты или с компакт-диска с досом, запустить дискэдитор (к примеру нортоновский), переключиться в режим просмотра физического диска и сбросить в файл первые две сотни секторов, начиная с нулевого. Этот файл отправить антивирусникам с подробным описанием ситуации. Если данные на диске не очень нужны, то для уничтожения вируса достаточно тем же дискэдитором забить нулями нулевой сектор, после чего диск с точки зрения системы станет незагрузочным и неразмеченым, а после загрузки и разметки с гарантированно чистого компакта или флопика вирусу взяться будет неоткуда. А простая переразметка и форматирование не помогут, так как активный код, сидящий в MBR, они не трогают. Если это именно NYB, то категорически рекомендуется после восстановления системы убрать из списка загрузочных устройств флоппик и провести полное форматирование всех дискет - этот вирус чисто загрузочный и заразиться им можно только при попытке загрузки с диска, у которого заражён загрузочный сектор. Если есть самописные загрузочные компакт-диски, для которых использовался имидж дискеты, то вирус может быть и там. С компакта выдрать вирус, естественно не получится, поэтому я бы от всех подозрительные дисков просто избавился.

ЗЫ Для ковыряния с дисками и вообще для аварийных ситуаций очень удобно использовать Hiren's Boot CD - на нём есть много полезных программ, включая нортоновский дискэдитор..

DDD
28.03.2005, 12:27
Уважаемый baklan
я могу отослать данные с первых 232 секторов прямо сейчас, они забиты "FF" изначально, а первая информация после них "AR_zdaf%7р" после этого идёт название файла из Виндовоза "iсs.inf" и далее данные этого файла, далее идут данные о перянных секторах.... это всё..... куда после "AR_zdaf" пыгает, я не знаю (ассемблер плохо в школе учил)....
в принципе, это всё что я нарыл, да, я могу ещё отослать образ диска целиком, он сделан в NORTON GHOST, весит 4.7 гига... это легко..... может ктото поковыряется.... =(((

DDD
28.03.2005, 13:10
я так понял, что эту гадость пока ещё никто не ловил, и нормального антивира для неё не написано...... забавно.. =))

DDD
28.03.2005, 13:58
Ответ Geser
я сделал образ диска, записал его на другой хард. отформатировал и попытался восстановить. получилось восстановить тока в виде RAW данных, но это полный писец =)))
скока расширений файлов было на харде, стока и каталогов получилось с названиями DIR0001.INF, DIR0001.doc, а в каждом файлы... 00000001.doc, 00000002.doc и т.д.

*далее следует гомерический хохот*

=)))

но зато я чтото увидел =)) всегото ничего 114 тысяч файлов =)

borka
28.03.2005, 14:14
Раздел совершенно ни при чём. NYB - это загрузочный вирус, так что сидит он либо в MBR, либо в загрузочном секторе активного раздела.
Скорее, в MBR. Если бы в boot'е, то partition table виделся бы на другой машине.

Если данные на диске не очень нужны,
Если я правильно понял, то нужны.

А простая переразметка и форматирование не помогут, так как активный код, сидящий в MBR, они не трогают.
FDISK /MBR

Если это именно NYB, то категорически рекомендуется после восстановления системы убрать из списка загрузочных устройств флоппик и провести полное форматирование всех дискет - этот вирус чисто загрузочный и заразиться им можно только при попытке загрузки с диска, у которого заражён загрузочный сектор.
Вот это очень вероятно, что флоп тоже заражен.

Если есть самописные загрузочные компакт-диски, для которых использовался имидж дискеты, то вирус может быть и там. С компакта выдрать вирус, естественно не получится, поэтому я бы от всех подозрительные дисков просто избавился.
Согласен.

DDD
28.03.2005, 14:19
Я сам справился с этой проблемой!!
Я скопировал диск как устройство, и потом (GetDataBack рулит!!!) восстановил данные со всеми путями!!!!

Всётаки я гений!!!! =)))
УРАААА!!!!!
ничего не потерялось...

большое спасибо "baklan"у за идею, которая мне помогла, точнее сподвигла на эти действия =)))

Geser
28.03.2005, 15:46
Я сам справился с этой проблемой!!
Я скопировал диск как устройство, и потом (GetDataBack рулит!!!) восстановил данные со всеми путями!!!!

Всётаки я гений!!!! =)))
УРАААА!!!!!
ничего не потерялось...

большое спасибо "baklan"у за идею, которая мне помогла, точнее сподвигла на эти действия =)))

Можно конкретнее, можгет кому пригодится.

Sanja
28.03.2005, 16:05
http://www.viruslist.com/en/viruses/encyclopedia?virusid=16948

вирус извесный.... что то не так делал когда сканировал? :)

Sanja
28.03.2005, 16:06
During the boot process, NYB loads the MBR into memory and checks for infection. After determining that the MBR is not infected, the NYB stores the uninfected MBR at cylinder 0, side 0, sector 17 on the hard disk. Then, NYB places its virus code into the MBR and rewrites the infected MBR to the hard disk at cylinder 0, side 0, sector 1.

Once the boot process is complete and the NYB virus is active in memory, the virus displays its stealthing capabilities by redirecting any disk reads of the infected MBR or DBS to its clean counterpart. (On floppy disks, the original DBS is stored in the last sector of the root directory.) NYB is highly prolific.

можно и мбр вернуть при желании :)

Sanja
28.03.2005, 16:16
так что если не трудно... можеш достать infected MBR to the hard disk at cylinder 0, side 0, sector 1. + 1024 байтов начиная от этого места и послать мне дамп на [email protected] посмотрю...

DDD
28.03.2005, 16:21
для Sanja
могу... адрес пиши куда....
на твой, с который приходят письма отослать не могу, maildaemon ругается.. =(

Sanja
28.03.2005, 17:05
как ругается? пробуй на [email protected], [email protected] лучше в архиве с паролем.. чтоб вирус не поймали почтовые сканнеры

agnec
28.03.2005, 23:02
раньше такая фигня убивалась элементарно с помощью "fdisk /mbr" с загрузочной дискетки

pig
29.03.2005, 01:56
Убить зверя вместе со всеми данными не проблема. Проблема убить одного зверя, сохранив при этом все спрятанные данные.

DDD
29.03.2005, 08:30
для Агнеца
мне инфа позарез нужна была =)

Всё оказалось намного проще, даже первый вариант оказался сложнее второго!!! =)) не вижу смысла первый описывать...
Всё банально, NORTON Ghost 8 делаем образ диска, как устройства, а потом открываем образ, и смотрим, что там есть..... вирус не грузится, а инфа лежит целая и невредимая, проблема тока с обьёмом, а в остальном, всё оказалось "проще паренной репы". ;D

agnec
29.03.2005, 10:54
Всё банально, NORTON Ghost 8 делаем образ диска, как устройства, а потом открываем образ, и смотрим, что там есть..... вирус не грузится, а инфа лежит целая и невредимая
значит винт не шифруется, а только mbr и возможно таблица разделов гадится.

agnec
29.03.2005, 10:55
Всё банально, NORTON Ghost 8 делаем образ диска, как устройства, а потом открываем образ, и смотрим, что там есть..... вирус не грузится, а инфа лежит целая и невредимая
значит винт не шифруется, а только mbr и возможно таблица разделов гадится.