 |
eXeL@B —› Оффтоп —› Новый троянец может самовосстанавливаться после удаления |
| Посл.ответ | Сообщение |
|
|
Создано: 30 октября 2012 01:07 · Личное сообщение · #1 Trojan.GBPBoot.1 можно назвать довольно примитивной вредоносной программой: она способна загружать с удаленных серверов и запускать на инфицированном компьютере различные исполняемые файлы либо запускать программы, не хранящиеся непосредственно на компьютере жертвы. Однако интересен этот троянец прежде всего тем, что имеет возможность серьезно противодействовать попыткам его удаления. Троян состоит из нескольких модулей. Первый из них модифицирует главную загрузочную запись (MBR) на жестком диске компьютера, после чего записывает в конец подходящего раздела (вне файловой системы) модуль вирусного инсталлятора, модуль автоматического восстановления троянца, архив с файлом explorer.exe и сектор с конфигурационными данными. После чего помещает в системную папку вирусный инсталлятор, запускает его, а собственный файл удаляет.  |
|
|
Создано: 30 октября 2012 09:31 · Личное сообщение · #2 Так это не ново вроде. К тому же никаких проблем в лечении не вижу. Находишь подозрительный файл, смотришь куда он дропается и что подгружает - далее все стандартно. Ну а с восстановлением MBR проблем точно не возникнет. | Сообщение посчитали полезным: DimitarSerg |
|
|
Создано: 01 ноября 2012 00:49 · Личное сообщение · #3 а че за лохи вообще цепляют эти троянцы? запускают порнокартинки с расширением exe? ----- Array[Login..Logout] of Life |
|
|
Создано: 01 ноября 2012 00:55 · Личное сообщение · #4 Хм, а я еще пользуюсь HideToolz, хер кто перепишет MBR ----- -=истина где-то рядом=- | Сообщение посчитали полезным: fire4x |
|
|
Создано: 01 ноября 2012 02:02 · Личное сообщение · #5 fire4x пишет: Первый из них модифицирует главную загрузочную запись (MBR) fix mbr и нет проблемы.fire4x пишет: После чего помещает в системную папку вирусный инсталлятор, запускает его У кого помещает, а у кого и права настроены. Рассчитано на буфетчицу люсю, но такой контингент троянить особого смысла нет, нечего взять, разве что профиль с контача или одноклассников, так кому он нужен. |
|
|
Создано: 01 ноября 2012 02:21 · Личное сообщение · #6 F_a_u_s_t пишет: У кого помещает, а у кого и права настроены. А у кого дрова это сделать не дают ;) ----- -=истина где-то рядом=- |
|
|
Создано: 01 ноября 2012 11:43 · Личное сообщение · #7 Господа, коль затронули эту тему - кто какими песочницами пользуется, кроме СандбоксИЕ? |
|
|
Создано: 01 ноября 2012 11:46 · Поправил: Gideon Vi · Личное сообщение · #8 А у кого и компьютер выключен. кто какими песочницами пользуется ну многие используют те, что встроены в антивирусы. |
|
|
Создано: 01 ноября 2012 14:21 · Личное сообщение · #9 Gideon Vi Вот лично Вы какой антивирь посоветуете? Не холивара ради, просто я действительно ими не пользуюсь.. |
|
|
Создано: 02 ноября 2012 01:03 · Поправил: Kindly · Личное сообщение · #10 ressa пишет: кто какими песочницами пользуется У меня авастик IS. Полноценной песочницы во Free версии нету. Можно настроить некоторые права и доступы для запускаемого из песочницы файла. Также в нем есть песочница-браузер. Удобно на самом деле, варь не надо запускать и гарантировано не подхватишь. ----- Array[Login..Logout] of Life |
|
|
Создано: 02 ноября 2012 03:56 · Поправил: fire4x · Личное сообщение · #11 F_a_u_s_t пишет: fix mbr и нет проблемы. Рассчитано на буфетчицу люсю, но такой контингент троянить особого смысла нет, нечего взять, разве что профиль с контача или одноклассников, так кому он нужен. Статья не моя.  KingSise пишет: Хм, а я еще пользуюсь HideToolz, хер кто перепишет MBR Можно по-подробнее... |
|
|
Создано: 02 ноября 2012 04:37 · Личное сообщение · #12 fire4x ----- -=истина где-то рядом=- |
|
|
Создано: 02 ноября 2012 08:02 · Личное сообщение · #13 ressa пишет: Вот лично Вы какой антивирь посоветуете? Microsoft Security Essentials + Outpost firewall. Песочница Sandboxie. KingSise пишет: HideToolz x86 only  А так - да, мега утиль.
|
|
|
Создано: 03 ноября 2012 01:38 · Поправил: fire4x · Личное сообщение · #14 HideToolz v2.2 change log: 06.08.2009: updated for Windows 7 Build: 7100 08.03.2010: updated for Windows 7 Build: 7601+ Кто знает где взять v2010? |
|
|
Создано: 03 ноября 2012 01:41 · Личное сообщение · #15 P.S. KingSise, какую версию пользуете? |
|
|
Создано: 03 ноября 2012 18:13 · Личное сообщение · #16 |
|
|
Создано: 03 ноября 2012 21:23 · Личное сообщение · #17 Gideon Vi, там v2009 На 7-ке (7601) не пойдет 
|
|
|
Создано: 06 ноября 2012 08:08 · Личное сообщение · #18 KingSise пишет: Хм, а я еще пользуюсь HideToolz, хер кто перепишет MBR Ошибаетесь. Любой tdl пробьет его с юзермода простым scsi запросом, потому что hidetoolz защита от записи в mbr это всего лишь пара хуков в сдт - writefile/writefilescatter. Это спасет только от примитивных винлоков, да убогих протекторов. Насколько я помню сорс hidetoolz тут у кого-то был. Взяли бы да выложили на тот же svn - можно было бы допилить хотя бы поддержку последних виндов. Для троянщиков сорсы эти все равно уже бесполезны так как устарело все это. | Сообщение посчитали полезным: ressa, fire4x |
|
|
Создано: 06 ноября 2012 11:27 · Личное сообщение · #19 Alchemistry Ну все-равно в паблик лучше не кидать, а то будет снова тысяча недофорков.. А так - плюсую - очень здравая мысль - допилить поддрежку той же 7ки, а то очередная достойная тулза гибнет. |
|
|
Создано: 06 ноября 2012 14:48 · Личное сообщение · #20 ressa Лучше тысяча недофорков чем одна неработающая тулза без будущего. |
|
|
Создано: 06 ноября 2012 19:33 · Личное сообщение · #21 проект, аналог hide toolz в исходниках, seven поддерживается. | Сообщение посчитали полезным: Gideon Vi |
|
eXeL@B —› Оффтоп —› Новый троянец может самовосстанавливаться после удаления |
Для печати