Форум
Написать нам
  • Страница 1 из 1
  • 1
Форум MMB » Всё остальное » Свободное общение » Вирус Induc
Вирус Induc
DEMBELДата: Воскресенье, 20 Сентября 2009, 12:34 | Сообщение # 1
Наш дизайнер
Группа: Модераторы
Сообщений: 2266
Репутация: 135
Награды: 32
Статус: Offline
После недавнего распространения этого вируса выяснилось что он не столь безобиден - цепляется не только к делфи и компонентам, но и к некоторым программам на нем написанным. Например, у меня испортил дистрибутивы Neobook, AIMP и сам плеер и еще кое-чего... Так что рекомендую прочистить компы повнимательнее со свежими базами а/в.



Win7x64 SP1 Neobook v5.70 (Trial)
WinXP SP3 Neobook v5.62
 
toizyДата: Воскресенье, 20 Сентября 2009, 12:36 | Сообщение # 2
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
каспер хавает? У мну вроде чисто

Жизнь оказалась не такой уж и забавной, как поначалу...
 
DEMBELДата: Воскресенье, 20 Сентября 2009, 12:39 | Сообщение # 3
Наш дизайнер
Группа: Модераторы
Сообщений: 2266
Репутация: 135
Награды: 32
Статус: Offline
Quote (toizy)
каспер хавает? У мну вроде чисто

каспер все хавает с базами не ранее 27.08




Win7x64 SP1 Neobook v5.70 (Trial)
WinXP SP3 Neobook v5.62
 
toizyДата: Воскресенье, 20 Сентября 2009, 13:05 | Сообщение # 4
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
Ну тогда я спокоен.

не знаю как Индюк, а лично меня достал в последний раз авторан вирус Салити. убил бы... (


Жизнь оказалась не такой уж и забавной, как поначалу...
 
YURIYДата: Воскресенье, 20 Сентября 2009, 14:07 | Сообщение # 5
Злостный админ
Группа: Администраторы
Сообщений: 3018
Репутация: 71
Награды: 28
Статус: Offline
Я с Касперским вообще не знаю, что такое вирусы dont_know Сколько лет сижу за компом - кроме кнопки "удалить" при обнаружении их каспером (раз в году) я больше никаких проблем от вирусов не знаю :)


Вечная память Андрею Сергееву!
 
toizyДата: Воскресенье, 20 Сентября 2009, 14:16 | Сообщение # 6
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
Принеси флешку из универа, сразу поймёшь что все эти антивири - г. полное :D

Ни один, с_цукатами_, не ловит...


Жизнь оказалась не такой уж и забавной, как поначалу...
 
YURIYДата: Воскресенье, 20 Сентября 2009, 14:21 | Сообщение # 7
Злостный админ
Группа: Администраторы
Сообщений: 3018
Репутация: 71
Награды: 28
Статус: Offline
toizy, друг мой :) Я раньше и приносил их оттуда. Потом до нас дошло, что есть файловая система NTFS, и к чёртовой матери поставили права на запрет писать файлы в корень, кроме некоторых папок в нём :D Что тебе и советую сделать!


Вечная память Андрею Сергееву!
 
toizyДата: Воскресенье, 20 Сентября 2009, 14:26 | Сообщение # 8
Студийная субстанция
Группа: Администраторы
Сообщений: 2309
Репутация: 29
Награды: 12
Статус: Offline
блин! гениально! redface

Жизнь оказалась не такой уж и забавной, как поначалу...
 
СергейДата: Воскресенье, 20 Сентября 2009, 14:27 | Сообщение # 9
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
Quote (YURIY)
поставили права на запрет писать файлы в корень
Юра если не трудно объясни как это?! Если в этом способе не важно стоит ли галка на "Использовать простой общий к файлом" в свойствах папки
 
YURIYДата: Воскресенье, 20 Сентября 2009, 14:34 | Сообщение # 10
Злостный админ
Группа: Администраторы
Сообщений: 3018
Репутация: 71
Награды: 28
Статус: Offline
Quote (sp3d)
Юра если не трудно объясни как это?!

ээ, на словах немного тяжело рассказать. Посмотрите лучше статьи в сети. Например, так:

http://yandex.ru/yandsea....83+NTFS

Добавлено (20 Сентябрь 2009, 14:34)
---------------------------------------------

Quote (sp3d)
Если в этом способе не важно стоит ли галка на "Использовать простой общий к файлом" в свойствах папки

Нет. Это не то.

Ключевые моменты, что нужно знать:

1. Как отформатировать флешку в NTFS (просто так этого не сделать)
2. Собственно настроить права на нужные папки в корне (для доступа только в них) и убрать права на запись в корень, куда обычно вирусы и пишутся :)



Вечная память Андрею Сергееву!
 
СергейДата: Воскресенье, 20 Сентября 2009, 14:36 | Сообщение # 11
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
Quote (YURIY)
Посмотрите лучше статьи в сети.
ОК посмотрю СПС!
 
Alex3AДата: Воскресенье, 20 Сентября 2009, 16:38 | Сообщение # 12
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
Есть куча програмулек для защитыавторанов,Flash_Disinfector к примеру, делает папку авторан.инф, и вирь уже не может сесть, у моих клиентов вся сеть под вирусом, но на мою флешку не сел. А так садится на все флешеобразное, фотык, мп3...
У мну как залазил, я его в защищенном режиме убивал, у меня фат32 и отключено все лишнее, на нтфс, на чужой машине, такого не получилось. Очевидно он садится и проделывает
Quote (sp3d)
и убрать права на запись в корень
. Правда не в корень, а банит конкретную папку,
есть соответствующая ветка в реестре для такого.
В трудных случаях, загрузится с иной чистой винды и убить его папки, потом почистить реестр.
А антивиры его в упор не хотят видеть.
 
ВадимДата: Понедельник, 21 Сентября 2009, 00:41 | Сообщение # 13
Ветеран форума
Группа: Проверенные
Сообщений: 293
Репутация: 48
Награды: 5
Статус: Offline
Quote (YURIY)
Посмотрите лучше статьи в сети.

Quote (Alex3A)
Есть куча програмулек для защитыавторанов,Flash_Disinfector к примеру,

Спасибо за инфу!!!


[spoiler=С уважением, Вадим]WinXP SP3 x32, NB5.7.1, FF7.0.1
Справочные материалы:
База по командам NB
Справка к Report Designer
Удобный и красивый интерфейс
Полезные словари
Статьи:
Как читать и писать код
Создаем файл справки CHM
Проекты:
Корпоративная культура
Эмоциональный интеллект
Фото Экрана - на E-mail
Индекс массы тела
Тренировка интуиции
Копилка буфера обмена
Часто спрашивают:
Реализация триальности программы
[/spoiler]
 
Alex3AДата: Понедельник, 21 Сентября 2009, 00:53 | Сообщение # 14
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
Quote (VadimLevkin)
Спасибо за инфу!!!

Но она эффективна в качестве профилактики, от болезни не поможет :D
 
ВадимДата: Понедельник, 21 Сентября 2009, 02:04 | Сообщение # 15
Ветеран форума
Группа: Проверенные
Сообщений: 293
Репутация: 48
Награды: 5
Статус: Offline
Я воспользовался советами с этой страницы.
Там используется рег-файл (для компа) и бат-файл (для флешки).

Действительно ли на флешках в норме вообще не бывает папки RECYCLED ?
Где-то вычитал это утверждение...
(т.е. если она есть, то вероятно имеется вирус...?)
Я вот сколько раз видел эту скрытую папку. И сейчас на своей флехе наблюдаю... %)
В этой папке RECYCLED лежит два файла:
desktop.ini
содержит:

Code
[.ShellClassInfo]
CLSID={а тут буквенно-цифровой код какой-то}

и файл
info2
если его открыть, то там вообще только три символа через несколько пробелов: "крести", "пики" и "черви" ? Прямо карточные масти... Что это?
Файлы открывал через Volkov Commander.


[spoiler=С уважением, Вадим]WinXP SP3 x32, NB5.7.1, FF7.0.1
Справочные материалы:
База по командам NB
Справка к Report Designer
Удобный и красивый интерфейс
Полезные словари
Статьи:
Как читать и писать код
Создаем файл справки CHM
Проекты:
Корпоративная культура
Эмоциональный интеллект
Фото Экрана - на E-mail
Индекс массы тела
Тренировка интуиции
Копилка буфера обмена
Часто спрашивают:
Реализация триальности программы
[/spoiler]


Сообщение отредактировал VadimLevkin - Понедельник, 21 Сентября 2009, 02:29
 
Alex3AДата: Понедельник, 21 Сентября 2009, 02:39 | Сообщение # 16
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
Quote (VadimLevkin)
Действительно ли на флешках в норме вообще не бывает папки RECYCLED ?

Вообще то корзина называется recycled, папка с вирусом recycler, но флешки
корзины не содержат, при очищенной корзине, в папке recycled пусто.
Если это не так, то что то не в порядке. Кроме того, корзина обозначается
специфической иконкой, а не просто как папка.
 
СергейДата: Понедельник, 21 Сентября 2009, 03:35 | Сообщение # 17
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
Quote (VadimLevkin)
В этой папке RECYCLED лежит два файла:

вот если там будет файлик с иконкой карзины и имя ее будет что то типа этого
"S-1-5-21-854245398-606747145-1801674531-500" обрати внимание на последние цыфры если в них есть 1013, то возможно это вирус. У меня и у тех у кого лечил, всегда был вирус с таким оканчанием(а вот какое было его полное имя в моем случае S-1-5-21-1482476501-1644491937-682003330-1013)подозреваю имя он капирует тоже самое у карзины что находится в тот момент в папке но меняет оконцевку, да кстати если оконцовка будет 1003, то это нормальный. Повторяюсь, это чисто из моих наблюдений, лучше пользоватся спец-софтом навроде анти-авторун

Добавлено (21 Сентябрь 2009, 03:35)
---------------------------------------------
и неплохая предостороженость, создай в корне флехи папку с именем autorun.inf хоть защитит от этого гаденыша :D
если в процесе создания папки винда будет ругатся, что такой файл есть, присмотрись к нему!!!

Сообщение отредактировал sp3d - Понедельник, 21 Сентября 2009, 04:45
 
mishemДата: Понедельник, 21 Сентября 2009, 03:47 | Сообщение # 18
Ветеран форума
Группа: Проверенные
Сообщений: 552
Репутация: 85
Награды: 12
Статус: Offline
Чисто из любопытства. А можно сделать так, что б программа анти-авторун запускалась сразу после того как была вставленна флешка? Ну и соответственно сканировала флешку на вирус. Только не надо говорить"Обратись к разработчикам программы" :D

Не хочешь читать хелп?

Если хелп и форум не помогли, тогда все ответы здесь

 
СергейДата: Понедельник, 21 Сентября 2009, 04:42 | Сообщение # 19
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
Quote (mishem)
А можно сделать так
можно

Добавлено (21 Сентябрь 2009, 04:42)
---------------------------------------------

Quote (mishem)
после того как была вставленна флешка?
флешка ваша?!
 
mishemДата: Понедельник, 21 Сентября 2009, 04:44 | Сообщение # 20
Ветеран форума
Группа: Проверенные
Сообщений: 552
Репутация: 85
Награды: 12
Статус: Offline
:D
Quote (sp3d)
можно

Я это предполагал :D А как?
На армянское радио задают вопрос:
Можно ли голой жопой раздовить ежа?
Quote (sp3d)
можно

Если еж будет без колючек.
или
Если это будет чужая жопа :D


Не хочешь читать хелп?

Если хелп и форум не помогли, тогда все ответы здесь

 
СергейДата: Понедельник, 21 Сентября 2009, 04:53 | Сообщение # 21
Необукер
Группа: Проверенные
Сообщений: 858
Репутация: 64
Награды: 22
Статус: Offline
Обычно "autorun.inf" запускает нужный файл, но тока не в этом случае(ибо вирус пропишет себя)
1-Юра посоветовал хороший способ отвадить зверька и можно не боясь написать автозапуск, если слишком много читать и вникать, то есть способ попроще, который я подсказал
2-создать в корне флехи папку с именем autorun.inf(вирус если и будет в RECYCLED то просто мясом, т.к. он запускается инфом).
3-В сети полно программ для флешек, которые избавляют от этого головняка


Сообщение отредактировал sp3d - Понедельник, 21 Сентября 2009, 05:01
 
ВадимДата: Понедельник, 21 Сентября 2009, 11:31 | Сообщение # 22
Ветеран форума
Группа: Проверенные
Сообщений: 293
Репутация: 48
Награды: 5
Статус: Offline
Quote (Alex3A)
флешки корзины не содержат
Много раз видел на флешках корзины (папки RECYCLED), включая и те, которые имели при этом соответствующую иконку корзины. Надо полагать я видел творения вирусов? :)
В моем случае папка корзины еще и скрытая. Причем я ее через проводник Виндовс не вижу, а только через VC (хотя у меня выставлено "отображать" как скрытые, так и системные файлы).

Quote (sp3d)
создай в корне флехи папку с именем autorun.inf
По ссылке, что я выше упомянул, показан способ сделать бат-файл, который создает такую папку, в скрытом виде (закачивается на флешку и запускается на ней). Быстро и удобно.


[spoiler=С уважением, Вадим]WinXP SP3 x32, NB5.7.1, FF7.0.1
Справочные материалы:
База по командам NB
Справка к Report Designer
Удобный и красивый интерфейс
Полезные словари
Статьи:
Как читать и писать код
Создаем файл справки CHM
Проекты:
Корпоративная культура
Эмоциональный интеллект
Фото Экрана - на E-mail
Индекс массы тела
Тренировка интуиции
Копилка буфера обмена
Часто спрашивают:
Реализация триальности программы
[/spoiler]
 
Alex3AДата: Понедельник, 21 Сентября 2009, 11:47 | Сообщение # 23
Друг клуба ММВ
Группа: Проверенные
Сообщений: 2646
Репутация: 39
Награды: 11
Статус: Offline
Quote (sp3d)
2-создать в корне флехи папку с именем autorun.inf(

В таблице справочника файловой системы, файл и папка оличаются только некоторыми
атрибутами и значениями, поэтому винда не дает возможности создать файл с именем
уже существующей папки, вот это свойство и дает возможность такой защиты, для пущего
эффекта сделать ее скрытой, системной и только для чтения, дизенфекторы еще вводят
запрет на ее изменение в реестре. Но стоит появиться более умному вирусу, который будет учитывать варианты такой защиты, такие способы уже не помогут, после контакта
с вирусом, снимался атрибут только чтение, видно в вирусе не определяется что это
файл или папка.
 
Форум MMB » Всё остальное » Свободное общение » Вирус Induc
  • Страница 1 из 1
  • 1
Поиск: