Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Лечим и иммунизируем ПК от Autorun червей

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2008
    Сообщений
    7
    Вес репутации
    42

    Лечим и иммунизируем ПК от Autorun червей

    Вот, написал небольшую утилиту, которая помогает лечить ПК от автозапускных червей.
    Имя программки в честь любимой девушки - Юлия.

    Особенности:
    - Мылый размер
    - Не надо обновлять никаких баз
    - Лечит активные заражения 12 версий червя
    - Имеет эвристический сканер, который поможет удалить еще неизветсные виды вируса
    - Иммунизирует ПК от повторного заражения червем
    - Восстанавливает измененные настройки системы
    - Не конфликтует с антивирусным ПО
    - Не требует инсталляции
    - Бесплатный

    Написана она затем, что на сегодняшний день данный вирус встречется у многих пользователей, и антивирус зачастую не может с ним справится. Вобщем, пишите комменты, буду рад узнать Ваше мнение.
    Вложения Вложения
    • Тип файла: rar Julia.rar (49.2 Кб, 169 просмотров)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от The Bulka Посмотреть сообщение
    - Иммунизирует ПК от повторного заражения червем
    Интересно. А как она это делает? Её постоянно надо использовать на компе?

    Paul

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Паул, я сейчас мельком посмотрел программу, в основе лежат ваши рекомендации по противодействию автозапуску

  5. #4
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Гриша Посмотреть сообщение
    Паул, я сейчас мельком посмотрел программу, в основе лежат ваши рекомендации по противодействию автозапуску
    Молодец автор, я не против. Но сказать, что это полностью имунизирует комп от таких червей, я не стал бы.

    Paul
    Последний раз редактировалось XP user; 28.10.2008 в 18:41.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от p2u Посмотреть сообщение
    Интересно. А как она это делает? Её постоянно надо использовать на компе?

    Paul
    Очередная убивалка файлов по именам а-ля антивирус Калинина, мочит всех без разбора и запроса. Алгоритм:
    1. Сканирование процессов. Процессы Flash зловредов не убивает, смысл сканирования неясен
    2. Убивает без запроса и проверки наличия на диске следующие файлы:
    <папка автозапуска в профиле>\msn.exe
    и далее по всем дискам:
    X:\KESHA.EXE
    X:\Recycled\KESHA.EXE
    X:\UFO.exe
    X:\WINDOWS\system32\amvo.exe
    X:\WINDOWS\system32\amvo0.dll
    X:\WINDOWS\system32\amvo1.dll
    X:\WINDOWS\system32\avpo.exe
    X:\WINDOWS\system32\avpo0.dll
    X:\WINDOWS\system32\desktop.dll
    X:\WINDOWS\system32\esp10.dll
    X:\WINDOWS\system32\msn.exe
    X:\WINDOWS\system32\mstmdm.dll
    X:\WINDOWS\system32\oinnls.dll
    X:\WINDOWS\system32\secpol.exe
    X:\WINDOWS\system32\thumb.dd
    X:\WINDOWS\system32\wincab.sys
    X:\WINDOWS\system32\explorer.exe
    X:\autorun.inf
    X:\desktop.dll
    X:\msn.exe
    X:\nideiect.com
    X:\ntde1ect.com
    X:\resycled\autorun.inf
    X:\resycled\boot.com
    X:\thumb.dd
    X:\usdeiect.com
    X:\uxdeiect.com
    При этом функции отложенного удаления нет, активного зловреда как следствие убить не может. И о том, что бывают полезные autorun.inf в корене флешек и съемных дисков автор не слышал видимо ...
    3. Открывает HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удаляет параметры с именами amva, avpa и rundll32 не проверяя их наличия
    4. Прописывает значения:
    Код:
     
    HKLM\SYSTEM\ControlSet001\Services\ShellHWDetection\Start = 4
    REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun=000000FF
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun=000000FF
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue=00000001
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\=@SYS:DoesNotExist
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*.*
    Собственно модифкации известные, автозапуску после этого каюк
    5. Удаляет ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2 и его содержимое
    6. Сообщает, что злобные вирусы вылечены и перезагружает ПК

    Исключительно ради опыта я запустил на полигонную машинку несколько Worm.Win32.AutoRun.*, они понятное дело пережили лечение
    Последний раз редактировалось Зайцев Олег; 28.10.2008 в 18:45.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Паул я имел ввиду только реестр

  8. #7
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Гриша Посмотреть сообщение
    Паул я имел ввиду только реестр
    А я имел в виду заявление автора:
    - Иммунизирует ПК от повторного заражения червем


    P.S.: Автору следовало бы по крайне мере указать против каких именно червей программка должна помочь. Autorun червей куча, и простыми методами удаления они далеко не все 'лечатся'...

    Paul
    Последний раз редактировалось XP user; 28.10.2008 в 18:53.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Кроме внесения этих ключей ни какой "иммунизации" нет...

    Вы делали reg файл, а тут exe+попытка удаления файлов малваре по именам, которые хранятся в теле программы...

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Гриша Посмотреть сообщение
    Кроме внесения этих ключей ни какой "иммунизации" нет...

    Вы делали reg файл, а тут exe+попытка удаления файлов малваре по именам, которые хранятся в теле программы...
    Иммунизации нет, зато эвристика есть - найдя autorun.inf файл, данная тулза ищет, на что он ссылается, и пытается уничтожать это без запроса. Т.е. если подключена флешка скажем с крипто-тулзой или менеджером бекапа на ней, но ему c некоторой вероятностью будет кирдык

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    У меня эвристика не срабатывает удаляется только сам файл autorun.inf, файл на который он ссылается остается на месте, я проверил 10 раз, с успехом можно сказать, что эвристический алгоритм кривоват

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2008
    Сообщений
    7
    Вес репутации
    42
    Так, по порядку.

    2 Зайцев Олег
    Насчет не лечения. У меня и у моих коллег он прекрасно вылечил активное заражение как минимум 10 из 12 видов червя.
    Насчет простого удаления по имени. По-моему файл amvo встречается НУ ПРОСТО ОЧЕНЬ часто среди такого червя и не помешало бы его удалить.
    Насчет отложенного удаления. Зачем? Программа сперва убивает процессы и выгружает библиотеки (что позволяет удалить файлы) и затем удаляет файлы вирусов.

    2 Иммунизации - это всего лишь попытка настроить систему против автозапуска.

    2 All
    Так, эвристику попробую исправить, сделаю запрос на полное удаление всех файлов автозапуска. Утилиту для лечения заразы стоит запускать один раз. Будем пытаться улучшить утилитку. За комменты спасибо.

    Добавлено через 4 минуты

    Да, забыл сказать. Лечит:

    Win32.HLLW.Autoruner.280
    Win32.HLLW.Autoruner.437
    Win32.HLLW.Autoruner.826
    Win32.HLLW.Autoruner.1020
    Win32.HLLW.Autoruner.1021
    Win32.HLLW.Autoruner.1055
    Win32.HLLW.Autoruner.1219
    Win32.HLLW.Autoruner.1282
    Win32.HLLW.Autoruner.1811
    Win32.HLLW.Autoruner.2805
    Win32.HLLW.Autoruner.846

    А Вы не подумали, что когда "подключена флешка скажем с крипто-тулзой или менеджером бекапа на ней, но ему c некоторой вероятностью будет кирдык", то активынй зловред нафиг скосит этот автозапуск и припихънет свой
    Последний раз редактировалось The Bulka; 29.10.2008 в 12:18. Причина: Добавлено

  13. #12
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от The Bulka Посмотреть сообщение
    А Вы не подумали, что когда "подключена флешка скажем с крипто-тулзой или менеджером бекапа на ней, но ему c некоторой вероятностью будет кирдык", то активынй зловред нафиг скосит этот автозапуск и припихънет свой
    Я не знаю, какое активное заражение там ловится - у меня не ловится ничего Причина банальна - червяков этих тысячи, вариантов имен файлов как минимум - сотни, в глобальном масштабе эффект от такого поиска будет нулевой. А если вспомнить, что есть червяки с руткитами, то их поиск из UserMode вообще пустая затея ...
    Если на компьютере будет нормальный антивирус, то собственно и червяка не будет - его или сигнатуры поймают, или эвристика/PDM/HIPS.
    В остальном следует запомнить главный принцип построения любой (подчеркиваю - любой) тулзы в области безопасности - "не навреди". А следовательно, или должен быть запрос о том, что где найдено, в чем подозревается и что предлагается сделать (с возможностью согласиться или не согласиться), а мочить файлы по именам без разбора, особенно если это имя записано в autofun.inf - глупо и очень опасно, вреда будет в разы больше, чем пользы. Аналогично с правкой реестра - а кто сказал, что лобовое отключение автозапуска хорошо ?! А как-же CD/DVD с автозапуском (игрушки например, энциклопедии разные и и т.п.) ?

  14. #13
    Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2006
    Сообщений
    2,453
    Вес репутации
    0
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    А как-же CD/DVD с автозапуском (игрушки например, энциклопедии разные и и т.п.) ?
    У меня это всё без проблем открывается, кстати. Для CD/DVD откроем любимый плеер и указываем путь к нужной папке или диск. Для открытия энциклопедии вручную (у меня таких 2) тоже есть специальные ярылики на рабочем столе (программы их сами создают), в которых указан путь к этим дискам. Файлы autorun здесь необязательны.
    Для игр (пасынок [ему 18] играет в The Punisher и в Need for Speed) стоят ярлыки у него на рабочем столе. Он вставляет диск. Если он ничего не делает, то тогда и ничего не проихсодит. Как только нажимает на ярлык - игра начинается без проблем.

    Paul
    Последний раз редактировалось XP user; 29.10.2008 в 15:43.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Цитата Сообщение от Зайцев Олег Посмотреть сообщение
    Аналогично с правкой реестра - а кто сказал, что лобовое отключение автозапуска хорошо ?! А как-же CD/DVD с автозапуском (игрушки например, энциклопедии разные и и т.п.) ?
    Ну это можно пережить.

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,216
    Вес репутации
    3387
    Цитата Сообщение от Maxim Посмотреть сообщение
    Ну это можно пережить.
    Это надо с юзерами N лет поработать, чтобы это прочувствовать Очень распространена разновидность пользователя, именуемая по латыни "юзерус дотошнутус" И если что-то у него не открывается так, как как открывалось вчера, то он доведет до тошноты ИТ-саппортеров конторы, те допекут админов и в общем получится, что проще вернуть все как было, чем объяснять, почему оно работает или выглядит не так, как вчера

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Hanson
    Регистрация
    14.05.2008
    Адрес
    Moscow
    Сообщений
    595
    Вес репутации
    205
    сам нераз попадал на такое,
    отключишь у юзера автозапуск а он потом звонит и говорит что у него флэшка неоткрывается,

  18. #17
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2008
    Сообщений
    7
    Вес репутации
    42
    2 Зайцев Олег
    Ваши комменты понял, именно поэтому уже исправил все ошибки, улучшил эвристику, добавил некоторые изменения, запросы и т.п. Скоро выложу в этой же ветке.
    Насче того, что их тысячи - ну так для этого эвристический анализатор и будет разрабатываться, плюс принцип распространения этого червя один и тот же, так что принцип поиска сводится почти к одному принципу.

    Насчет загрузки с флэх, CD и т.д. согласен, встроил возможность выбрать, что сделать с автозапуском на ПК. И кстати Касперский 7 нормально не лечит данный тип вирусов, Dr Web только позавчера по-меому обновил программу и улучшил лечение червя.

    А про эвристику и HIPS: "юзверус дотошнотус" даже не ставит себе расширеный мониторинг, а уж тем более не хочет читать сообщения типа "Неизвестное приложение пытается запуститься через файл автозапуска. разрешить выполнение действия?" и тупо тыкает "Да". Так что о поведенческом анализе и мониторах можно говорить только опытным пользователям.

    Добавлено через 1 минуту

    И лично я ни разу не встречал версии такового червя с руткит механизмом.
    Последний раз редактировалось The Bulka; 29.10.2008 в 17:34. Причина: Добавлено

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Вот один из них http://virusinfo.info/showthread.php...ght=wincab.sys

    wincab.sys-руткит компонента этого червя...

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    419
    Цитата Сообщение от The Bulka Посмотреть сообщение
    А про эвристику и HIPS: "юзверус дотошнотус" даже не ставит себе расширеный мониторинг, а уж тем более не хочет читать сообщения типа "Неизвестное приложение пытается запуститься через файл автозапуска. разрешить выполнение действия?" и тупо тыкает "Да".
    В песочницах таких сообщений вообще не наблюдается. Не стоит привязываться к продукту только одного вендора, их много разных.
    http://www.softsphere.com - DefenseWall, DefencePlus

  21. #20
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    27.08.2008
    Сообщений
    7
    Вес репутации
    42
    2 Гриша
    У меня был данный вид червя, он абсолютно не маскировал у меня ничего, у других, у кого я лечил ПК от него, тоже. Хотя все же стоить еще разок проверить.

Страница 1 из 2 12 Последняя

Похожие темы

  1. Отхватил червей
    От Brandon в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 01.08.2012, 12:54
  2. Рассылка ЧЕРВЕЙ
    От alexsadko68 в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 20.03.2009, 01:42
  3. NOD обнаруживает червей
    От eug@vectra в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 06.03.2009, 16:54
  4. Ответов: 4
    Последнее сообщение: 19.03.2008, 09:42
  5. Ответов: 1
    Последнее сообщение: 28.08.2005, 11:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01622 seconds with 17 queries