Киляем вирусы собственными руками
Комповые вирусы тема давольно интересная. Когда то в школьные годы, когда я только начинал изучать ассемблеры разных процов, в т.ч. и x86, я заметил сколько интересных действий с компом можно произвести программкой объемом менее килобайта! И да, было дело развлекался написанием троянов ;), но безобидных - типа в какой то час играет мой друган в какую нить игруху, и тут все резко холдится, и в центре экрана возникает надпись - "Леха МУДАК :)" или типа того, потом все исчезает и все... Короче никаких деструктивных действий, так чисто поприкалываться ;) и червей я не делал т.ч. распостранения моего творчества небыло. Но прошло некоторое время, и стало интересно что то действительно полезное делать, и про вири я забыл... Но в мире где проживает более 5 миллиардов человек, ежедневно находятся те, кто этим занимается и цели у них часто совсем не подколоть другана, а как это не прозвучит странно - заколбасить некоторое количество бабла... Об одном таком вире, а точнее о способе избавления от него и пойдет этот спич. Собственно подстегнуло меня к этому две вещи.
1. данный вирус являясь давольно простым в плане идентификации, тем не менее по какой то странной причине, не детектится большинством широкоизвестных антивирусов, а потому я сталкивался и продолжаю сталкиваться с ним давольно часто у своих клиентов.
2. Эта дрянь не так давно посягнула на святое - комп turbomauze защищенный между прочим лицензионным антивирем (каким говорить не буду, дабы не создавать антирекламу или рекламу :)) но сам факт! того что антивири его не видят, просто таки заставляет меня рассказать об этой дряни и раскрыть способ борьбы с ней. Итак поехали! Данный вирус относится к типу trojan Win32 blocker, разновидностей их много, но по сути механизм работы их один. В определенный момент комп блокируется, и на экране появляется надпись что типа "на вашем компе обнаружена детская порнуха, и мы видели как вы дрочите в ванной и бла бла бла, вобщем суть в том что вы нарушили какую то там статью ,и если вы не оплатите штраф отправя смс на номер такой-то то мы передадим данные материалы в суд." - короче хрень полная, и нормальному разумному челу сразу становится ясно что это 100% мошенничество, но как это ни странно, есть лохи, которые ведутся и честно отправляют смс-ки на те номера, теряя по 1000р и более за смс. Только что то мне подсказывает что в ответ так ничего и не приходит, а может и приходит ну не суть. В нашем случае никаких денег и смс-ок мы посылать не будем, а весело послав нахуй разработчиков этого вируса избавимся от него. Для начала немного о механизме его проникновения и работы. Проникает он в момент когда пользователь переходит на зараженный веб-сайт либо получает зараженное письмо. Зараза это код на джава скрипте. Код формирует на вашей машине исполняемые бинарники которые размещаются в системных директориях, после чего производится запуск микроинсталлятора вируса, который подменяет таскменеджер. Затем при запуске таскменеджера происходит подмена ключей реестра, и активация вируса. По этому первое правило что бы избежать этого и кстати многих других вирусов, выключайте в браузере java-script транслятор, когда лазаете по незнакомым сайтам или чего нить ищите в поисковиках. Но к сожалению и знакомые 100% проверенные сайты могут вдруг в один момент времени начать раздачу заразы. Ну что же- случилось так случилось. Ваш комп после перезагрузки залочился и показал экран с вымогательной надписью. Контроль над системой теперь получить затруднительно, по этому начинаем лечение. Основной инструмент - Загрузочный WindowsXP LiveCD. Я использую LiveCD Zver edition, он содержит к тому же наборы полезных тулзов в частности ERD Commander - оно нам тоже понадобиться. Эта тулза позволяет делать много чего с системмой находящейся в оффлайне т.е. той которую мы будем лечить, в частности нас инетресует фича редактирования реестра незагруженной системы. По этому мой совет - если вирус уже у вас на компе - идите к друзьям\знакомым и качайте образ Zver LiveCD. Если же вирусины у вас пока нет, то скачайте на всякий случай - может пригодиться!
Итак бутимся с LiveCD, далее открываем диск с зараженной системой заходим в директорию "С:\Documents and Settings\All Users\Application Data\" (подразумевается что С:\ -системный диск) и убиваем там файл 22СС6С32.exe. После чего идем в директорию "С:\WINDOWS\system32\" находим там файлы 03014D3F.exe, userinit.exe, taskmgr.exe и убиваем их. На самом деле файл 03014D3F.exe является настоящим userinit.exe, но в последних модификациях там тоже стал присутствовать вредоносный код так что его гасим от греха... Далее идем в системную директорию LiveCD находим там файлы userinit.exe, taskmgr.exe и копируем их в "С:\WINDOWS\system32\" . Все с диском закончили, теперь займемся реестром. Запускаем в ERD Commander "выбрать путь к системной директории" и выбираем путь С:\WINDOWS. Далее запускаем редактор реестра из ERD Commander и идем в ветку "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" там естть два интересующих нас параметра Shell он должен иметь значение Explorer.exe и Userinit , он должен иметь значение D:\WINDOWS\system32\userinit.exe, (в конце обязательно запятая!) если это не так , а так скорее всего оно и есть- восстанавливаем данные значения. После этого поиском по всему реестру ищем значение 22СС6С32.exe - если находим, удаляем.
На этом все, перезагружаем систему, чистим кэш браузера, или почту, и радуемся тому какие мы крутые 8)
ЗЫ:Данные рекомендации нацелены на пользователей WinXP, Vista, Seven. Ясен пень, что владельцы юниксов и линуксов от такого вируса пострадать не могут по этому к ним это не относится.
1. данный вирус являясь давольно простым в плане идентификации, тем не менее по какой то странной причине, не детектится большинством широкоизвестных антивирусов, а потому я сталкивался и продолжаю сталкиваться с ним давольно часто у своих клиентов.
2. Эта дрянь не так давно посягнула на святое - комп turbomauze защищенный между прочим лицензионным антивирем (каким говорить не буду, дабы не создавать антирекламу или рекламу :)) но сам факт! того что антивири его не видят, просто таки заставляет меня рассказать об этой дряни и раскрыть способ борьбы с ней. Итак поехали! Данный вирус относится к типу trojan Win32 blocker, разновидностей их много, но по сути механизм работы их один. В определенный момент комп блокируется, и на экране появляется надпись что типа "на вашем компе обнаружена детская порнуха, и мы видели как вы дрочите в ванной и бла бла бла, вобщем суть в том что вы нарушили какую то там статью ,и если вы не оплатите штраф отправя смс на номер такой-то то мы передадим данные материалы в суд." - короче хрень полная, и нормальному разумному челу сразу становится ясно что это 100% мошенничество, но как это ни странно, есть лохи, которые ведутся и честно отправляют смс-ки на те номера, теряя по 1000р и более за смс. Только что то мне подсказывает что в ответ так ничего и не приходит, а может и приходит ну не суть. В нашем случае никаких денег и смс-ок мы посылать не будем, а весело послав нахуй разработчиков этого вируса избавимся от него. Для начала немного о механизме его проникновения и работы. Проникает он в момент когда пользователь переходит на зараженный веб-сайт либо получает зараженное письмо. Зараза это код на джава скрипте. Код формирует на вашей машине исполняемые бинарники которые размещаются в системных директориях, после чего производится запуск микроинсталлятора вируса, который подменяет таскменеджер. Затем при запуске таскменеджера происходит подмена ключей реестра, и активация вируса. По этому первое правило что бы избежать этого и кстати многих других вирусов, выключайте в браузере java-script транслятор, когда лазаете по незнакомым сайтам или чего нить ищите в поисковиках. Но к сожалению и знакомые 100% проверенные сайты могут вдруг в один момент времени начать раздачу заразы. Ну что же- случилось так случилось. Ваш комп после перезагрузки залочился и показал экран с вымогательной надписью. Контроль над системой теперь получить затруднительно, по этому начинаем лечение. Основной инструмент - Загрузочный WindowsXP LiveCD. Я использую LiveCD Zver edition, он содержит к тому же наборы полезных тулзов в частности ERD Commander - оно нам тоже понадобиться. Эта тулза позволяет делать много чего с системмой находящейся в оффлайне т.е. той которую мы будем лечить, в частности нас инетресует фича редактирования реестра незагруженной системы. По этому мой совет - если вирус уже у вас на компе - идите к друзьям\знакомым и качайте образ Zver LiveCD. Если же вирусины у вас пока нет, то скачайте на всякий случай - может пригодиться!
Итак бутимся с LiveCD, далее открываем диск с зараженной системой заходим в директорию "С:\Documents and Settings\All Users\Application Data\" (подразумевается что С:\ -системный диск) и убиваем там файл 22СС6С32.exe. После чего идем в директорию "С:\WINDOWS\system32\" находим там файлы 03014D3F.exe, userinit.exe, taskmgr.exe и убиваем их. На самом деле файл 03014D3F.exe является настоящим userinit.exe, но в последних модификациях там тоже стал присутствовать вредоносный код так что его гасим от греха... Далее идем в системную директорию LiveCD находим там файлы userinit.exe, taskmgr.exe и копируем их в "С:\WINDOWS\system32\" . Все с диском закончили, теперь займемся реестром. Запускаем в ERD Commander "выбрать путь к системной директории" и выбираем путь С:\WINDOWS. Далее запускаем редактор реестра из ERD Commander и идем в ветку "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" там естть два интересующих нас параметра Shell он должен иметь значение Explorer.exe и Userinit , он должен иметь значение D:\WINDOWS\system32\userinit.exe, (в конце обязательно запятая!) если это не так , а так скорее всего оно и есть- восстанавливаем данные значения. После этого поиском по всему реестру ищем значение 22СС6С32.exe - если находим, удаляем.
На этом все, перезагружаем систему, чистим кэш браузера, или почту, и радуемся тому какие мы крутые 8)
ЗЫ:Данные рекомендации нацелены на пользователей WinXP, Vista, Seven. Ясен пень, что владельцы юниксов и линуксов от такого вируса пострадать не могут по этому к ним это не относится.