Недавно сидел за компом и случайно наткнулся на интересный вирус Hjec.exe я сам ради прикола вирусы коллекционирую (ну мало-ли когда пригодятся) та вот:
смотрите что я в нем увидел:
[autorun]
;55777777709
open=RECYCLER\S-51-9-25-3434476501-1644491961-601003312-1214\hjec.exe
;557777777909
icon=%windir%\system32\SHELL32.dll,4
;5577777709
action=Open folder to view files
;557777777090
shell\open=Open
;65777777790
shell\open\command=RECYCLER\S-51-9-25-3434476501-1644491961-601003312- 1214\hjec.exe
;57777777090
shell\open\default=1
в общем все как обычно за одним единственным исключением:
я немог глазами увидеть его исполняемый exe(шник) оказалось что у него нет цифровой подписи, пытаюсь удалить RECYCLER и облом: выполняемый процесс недает.
Я конечно минут через 10 его заловил но у меня возникли вопросы не видели ли вы его у себя, как он распространяется и как написать какой нибудь файл и обрубить ему цифровую подпись.

| Сообщение посчитали полезным:

Какая нафиг цифровая подпись?
Убей процесс, и удаляй файл как обычно.

| Сообщение посчитали полезным:

Я так и сделал только вместо того чтобы его удалить я его поймал.
А файлы без цифры ты никак глазами не увидишь, поэтому я и хочу узноть видел ли кто такие-же вирусы

| Сообщение посчитали полезным:

MORFIUS пишет:
А файлы без цифры ты никак глазами не увидишь, поэтому я и хочу узноть видел ли кто такие-же вирусы Ничего не увидишь без головы. Почитай статьи про вирусы и узнаешь, что есть "скрытые" файлы, есть в NTFS права на доступ к файлам и многое другое. Твои странные цифры никакая не подпись и если бы ты поизучал файловую систему и реестр, то узнал бы, что S-51-9-.... - это "идентификатор" юзера. RECYCLER - это "мусорная корзина". Стало быть это файлы удаленные в корзину определенным юзером, точнее имитация такого удаления вирусом.

| Сообщение посчитали полезным:

MORFIUS, просто особенность виндового эксплорера, которую юзает вирь. в тоталкомандере всё видно.

-----
AutoIt

| Сообщение посчитали полезным:

Если флешка в ntfs отформатирована, то для папки, в которую себя вирус записывает, он может задать нужные права доступа (так бывает довольно часто). С этим можно разобраться, просто задав права для себя, либо сначала сделав себя владельцем объекта.

| Сообщение посчитали полезным:

tundra37 пишет:
Ничего не увидишь без головы. Почитай статьи про вирусы и узнаешь, что есть "скрытые" файлы, есть в NTFS права на доступ к файлам и многое другое. Твои странные цифры никакая не подпись и если бы ты поизучал файловую систему и реестр, то узнал бы, что S-51-9-.... - это "идентификатор" юзера. RECYCLER - это "мусорная корзина". Стало быть это файлы удаленные в корзину определенным юзером, точнее имитация такого удаления вирусом.

Это-же не первый вирус которого я поймал в своей жизни весь пикол в том что данный фаил не имеет подписи что для компа значит что его не существует ни в каких системах просмотра. У меня как у админа все права на все файлы и их просмотор всегда включены, я проверил они были включены даже после заражения У ЭТОВА ФЙЛА (hjec.exe) БЫЛ УДАЛЕН (ТОС) по факту у него нет логического расположения и кусок его может быть затерт любой другой инфой как регламентированное пустое место. Тут расчет на то что нужно всего один раз запустить AUTORUN, заразить комп а дальше вирус не нужен...
Кстати в тоталкомандере его тоже не видать!

| Сообщение посчитали полезным:

MORFIUS, перестань пороть чушь.

Почитай для начала про ZwQuerySystemInformation, и как с её помощью можно дофига чего скрывать в системе. Почитай про руткиты. Почитай про анти-руткиты.

MORFIUS пишет:
по факту у него нет логического расположения и кусок его может быть затерт любой другой инфой как регламентированное пустое место. Тут расчет на то что нужно всего один раз запустить AUTORUN, заразить комп а дальше вирус не нужен...
Вообще полная хрень. Получился какой-то офигенный одноразовый вирус перезагрузил комп и вылечился. Демо-вирус?

Завязывай уже курить всякую дурь.

| Сообщение посчитали полезным:

MORFIUS
Никак не могу понять, о какой "подписи файла" идет речь? Так как тут у каждого свое разумение этого понятия(и я не исключение)

| Сообщение посчитали полезным:

MORFIUS
Открываешь Explorer, Сервис -> Свойства папки... -> Вид -> Скрывать защищённые системные файлы (Снять галку), показывать скрытые файлы и папки (Ставишь галочку) -> Тушишь косяк, проветриваешь комнату, делаешь с файлом всё что хочешь

-----
Research For Food

| Сообщение посчитали полезным:

Щас все станет проще:

TOC: Это система координат указывающая место положения любого обьекта, файла, папки, чего угодно на вашем жестком диске записанного.

Бессмысленно открывать Explorer, Сервис -> Свойства папки... -> Вид -> Скрывать защищённые системные файлы (Снять галку), показывать скрытые файлы и папки (Ставить галочки...)
ОБЬЕКТЫ НЕ ИМЕЮЩИЕ (ТОС) БЕЗ СПЕЦ ПРОГРАММ (Integrato 2007 (ВОСКРЕШЕНИЕ УДАЛЕННЫХ ФАЙЛОВ)) НЕ ВИДНЫ

Корзина никогда не хранит в себе удаленные файлы целеком: она хранит в себе записи их адресов (ТОС)
так называемую цифровую подпись файла...

Смысл одноразового вируса такой-что после заражения твоего компа вирус сделает свою копию к тебе в систему и будет размножаться оттуда где его никто не тронет (поэтому копия на флешке уже не нужна...)
(Возможно вы и правы это демо вирус...)

| Сообщение посчитали полезным:

Тоесть всё это можно представить так - виркс после запуска своего кода, удаляется с флеш носителя?

-----
Research For Food

| Сообщение посчитали полезным:

MORFIUS пишет:
Корзина никогда не хранит в себе удаленные файлы целеком: она хранит в себе записи их адресов (ТОС)

У меня корзина хранит файлы целиком, только не под оригинальными именами(Windows XP).
Создал текстовый файл text.txt, написал туда "тест". Потом удалил проводником. Потом зашел в RECYCLED папочку из командной строки, в папке лежит Dd4.txt с моим текстом.

| Сообщение посчитали полезным:

MORFIUS
выложи-ка на обменник свой мега-вирус (если ты его ловил-ловил, да и выловил за целых 10 минут), я тебе постараюсь объяснить почему его не видно после запуска.

| Сообщение посчитали полезным:

Это не корзина, а просто папка с именем RECYCLER, которую сам вирус и создает.

| Сообщение посчитали полезным:

Добавлю немного про права и про скрытые файлы. Увидел это впервые на kido, когда руками его удалял. Там у файла были права только для "левого" юзера и хотя файл было видно, но удалить даже админ не мог.
MORFIUS Не знаю про какие ТОС ты говоришь, но реально корзины представлены именно папками RECYCLER на каждом логическом диске и содержат реальные файлы но с именами ddnnn.<реальное расширение>. Реальные имена в файле info2 - никаких ТОС там нет, да они не нужны.
Сама корзина естественно - это псевдо-папка и содержит линки на "реальные корзины".
Кидо кстати тоже "корзину" на флешке использует и тоже без проблем "ловится" оттуда. Но я предпочитаю не только ловить - это просто, а лечить.
Про то, как рубить h__p://www.softboard.ru/lofiversion/index.php/t61857.html
А как распространяется пока неизвестно - свежачок похоже, а может модификация.

| Сообщение посчитали полезным:

Ладно.
Просили.
Берите... link_deleted_by_forum_engine/files/n95u5fwzm]http://link_deleted_by_forum_engine/files/n95u5fw zm

| Сообщение посчитали полезным:

При запуске вирусня создаёт новый процесс, который внедряет hjec.exe в процесс explorer.exe, соответственно его не увидеть как отдельный процесс в диспетчере задач.
Также добавляет в ключ реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
значение "StubPath = c:\RECYCLER\S-51-9-25-3434476501-1644491961-601003312-1214\hjec.exe"
(вот так он потом и будет запускаться после перезагрузки компа).
Что он там потом дальше делает, я не смотрел.

Убрать вирус как нефиг делать - убей процесс explorer.exe и удаляй файл.
Файла ты не видишь, скорее всего, потому что у него помимо атрибута "скрытый" стоит ещё и атрибут "системный". Поэтому, как выше писал DaFix - включи просмотр и скрытых и системных файлов.

И забудь про цифровые подписи

| Сообщение посчитали полезным:

Этот просмотр (скрытых и системных файлов) был включен на 3 разных компах и я ничего не видел ни на одном; однако я смотрел свою флешку не заражая компы (может лиш копия на флэхе боладает свойством невидимости: как обычный переносчик ибо если воткнешь флэху еще раз он снова ее заразит...)

Этот вирь кстати пролез на комп к моему другу и сейчас создает одноименные копии папок в папках, и незнаю совподение ли это но у него навирнулся MP3 плэер после второго подключения к компу

| Сообщение посчитали полезным:

MORFIUS пишет:
Этот просмотр (скрытых и системных файлов) был включен на 3 разных компах и я ничего не видел ни на одном; однако я смотрел свою флешку не заражая компы
Дык может его уже и не было на флехе

| Сообщение посчитали полезным:

MORFIUS пишет:
Этот просмотр (скрытых и системных файлов) был включен на 3 разных компах и я ничего не видел ни на одном; однако я смотрел свою флешку не заражая компы (может лиш копия на флэхе боладает свойством невидимости: как обычный переносчик ибо если воткнешь флэху еще раз он снова ее заразит...)Этот вирь кстати пролез на комп к моему другу и сейчас создает одноименные копии папок в папках, и незнаю совподение ли это но у него навирнулся MP3 плэер после второго подключения к компу
Тут вариантов много : например, ты все-таки заразил комп, а вирус не позволяет себя увидеть на флешке.
Короче не фантазируй Мы тоже умеем.

| Сообщение посчитали полезным:

Хорошо: значит смотри сюда: link_deleted_by_forum_engine/files/qoydgfnyb]http://link_deleted_by_forum_engine/files/qoydgfnyb

Здесь лежит более новый его прототип; сегодня его поймал.

В архиве 2 фотки для особо одаренных сделаных на одном компе с разницей в пару секунд.
На одной показаны скрытые файлы (трояна обезвреженного, и файл NTDETECT.COM с пометкой ситемный)
На другой место согласно авторану место где должен находиться вирус...
Сними черные очки и посмотри есть он там или нет

(ЕСЛИ ТЫ В ПЕРВЫЙ РАЗ УСЛЫШАЛ О (ТОС) ЭТО НЕ ЗНАЧИТ ЧТО ЕГО НЕ СУЩЕСТВУЕТ)

| Сообщение посчитали полезным:

MORFIUS

Уже ведь было все сказано
tihiy_grom пишет:
Почитай для начала про ZwQuerySystemInformation, и как с её помощью можно дофига чего скрывать в системе. Почитай про руткиты. Почитай про анти-руткиты

MORFIUS пишет:
ЕСЛИ ТЫ В ПЕРВЫЙ РАЗ УСЛЫШАЛ О (ТОС) ЭТО НЕ ЗНАЧИТ ЧТО ЕГО НЕ СУЩЕСТВУЕТ
Нет такого понятия ни в FAT, ни в NTFS, в FAT - FAT (File Allocation Table), в NTFS - MFT (Master File Table). TOC было на очень уж древних компах. Кстати, а как расшифровывается TOC?

| Сообщение посчитали полезным:

MORFIUS
честно говоря ты уже слегка задолбал со своими вирусами. Я тебе выше расписал что и как там происходит. Смотри теперь на свой "новейший прототип" - как видишь на картинке, тут ничего не изменилось по сравнению с предыдущим мега-вирусом


| Сообщение посчитали полезным:

Морфиус че ты не можешь понять скрывает он себя от Эксплорера , смотри через тотал командер и галку не забудь поставить показывать скрытые системные файлы

| Сообщение посчитали полезным:

MORFIUS
Ну вы тут и развели. капец.

файл нельзя удалить т.к. explorer.exe держит его handle, файлы нельзя увидеть т.к. тож че-то с эксплорером намучено. что ставь галку видеть скрытые файлы что не ставь, он нифига не показывает. после запуска малвари.

так что:
1) юзай стронний файловый менеджер, как все говорят
2) убей эксплорер - удали и запусти опять эксплорер.

ничего тут особенного нет.

хотя видел руткитов которые действительно писали свои части в NTFS далее удаляли ссылки на эти файлы и сами хранили смещение. но это НЕ тот вариант.

| Сообщение посчитали полезным:

Доброго времени суток!
Сегодня обнаружил на флешке вирус, определяется на сайте www.virustotal.com/ru/analisis/19a75ac6c67b78e024fb3151f1120e689b585d8272a44f27b16e246a55f85d61-1257401077 только Sophos 4.47.0 2009.11.05 Sus/AutoInf-A , Sunbelt 3.2.1858.2 2009.11.05 INF.Autorun (v) и TrendMicro 9.0.0.1003 2009.11.05 Mal_Otorun2. Эксперименты не проводил...если есть желание выложу.

| Сообщение посчитали полезным:

garri6
С этим лучше --> сюда <--

| Сообщение посчитали полезным:

garr6 выложи

| Сообщение посчитали полезным:

ruben
как с глазами?

_ruzmaz_ на пост выше уже показал тему, да и garri6 там давным-давно выложил свой файл.

| Сообщение посчитали полезным: