Любимый вирус!!! - Студенты Академии

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]

Страница 1 из 1
1

Студенты Академии » От сессии до сессии » Учебный процесс » Любимый вирус!!! (А что у Вас?)

Любимый вирус!!!

Аниша

Дата: Среда, 28.11.2007, 20:44 | Сообщение # 1

Лейтенант

Группа: Студенты Академии

Сообщений: 42

Награды: 0

Репутация: 1

Статус: Offline

В Академии постоянно бродят вирусы, иногда ловлю через Инет, скоро начну собирать коллекцию и рассылать друзьям и недругам!

От знаний ещё никто не умирал, но рисковать не стоит!

•¤D®†win§¤•

Дата: Среда, 28.11.2007, 23:14 | Сообщение # 2

Генералиссимус

Группа: Проверенные

Сообщений: 224

Награды: 0

Репутация: 6

Статус: Offline

анка у вирей не такая классификация, а нюка, трой и адвар эт ваше не вирусы))))
нюка-это хня, с помощью которой к те на комп проникнуть можно, ну и соответственно нагадить там))
адвар- это реклама, муть кароче)
трой- сволочь-прога, пишется кем-то для конкретных целей. трои бывают айсикьюшные, мыльные и т.д.
а вот вирусы... это проги, пишутся для разных целей. некоторые, чтоб показать, что он умеет, другие, чтоб снести базу данных конкурента, третьи под видом виря являются комбо(блекдорами) и тырят вашу инфу)) ну эт если на простом языке, а если подойти на более высоком уровне, то вот:
-------------------------------------------------------------------------------------------------------------------------------------- --------
В настоящее время известно более 70 000 программных вирусов. В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются чаще всего в файлы, имеющие расширения COM и EXE. Загрузочные вирусы внедряются в загрузочный сектор диска или сектор, содержащий программу загрузки системного диска. Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом внедряется в файлы и загрузочные сектора дисков. Резидентные вирусы находятся в памяти и являются активными даже при выключении или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
Вирусы также можно разделить на простейшие(«паразитические»), они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены; вирусы-репликаторы(«черви»), которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по ним свои копии; вирусы-невидимки, которые очень трудно обнаружить и обезвредить; вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют одной повторяющейся цепочки байтов(из-за чего их сложнее всего обнаружить).
Имеются и так называемые квазивирусные(«троянские») программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков. имхо: не путать с трояном, троян в основном просто тырит инфу)))
----------------------------------------------------------------------------------------------------------------------------------- -----------

любимые вири, но я их не ловил))...ммм...джейфо (убивает навечно все архивы), чернобыль (если поймаешь пиши пропало)

я тока 1 раз заразил комп чем-то, хз чем...еще в 2003 году...у меня тогда даж антика не было)) просто система потиху дохла. вот с того времени я и начал изучать все это дело)

а тор Вирусов на сегодняшнее время:

Win32.HLLM.Netsky.35328
Win32.HLLM.Netsky
Win32.HLLM.Limar.2228
Win32.HLLM.Netsky.based
Win32.HLLM.Beagle
Win32.HLLM.Limar.ba sed
Win32.HLLM.MyDoom.based
Win32.HLLP.Sector
Win32.HLLM.Perf
Exploit.MS05-053

имхо: у мя есть все исходники, кроме последних двух)) могу откомпилить и заслать куданить))))

Добавлено (28.11.2007, 23:14)
---------------------------------------------
зы: в общаге в том году ближе к маю и дальше был широко распространен Win32.HLLP.Sector и Win32.HLLM.Limar.2228 )

Как я люблю сочетание приятного с бесполезным:)

karra

Дата: Четверг, 29.11.2007, 21:37 | Сообщение # 3

Рядовой

Группа: УИР TEAM

Сообщений: 8

Награды: 0

Репутация: 2

Статус: Offline

вот, мысли сходяцца, я тока хотела тему завести tongue

511 закрыта "по техническим причинам", бухгалтерия и комп классы уже на подходе ninja

прям страшилка на ночь: ... и появицца красный герб СССР... серп и молот.... и твой компутер будет умирать.....и фиг ты что потом смогёшь поднять ... а если он не умрёт до этого то в новогоднюю ночь точно откапытицца ж))) меня вот интересует как он называецца, его принцип действия и последствия (буду благодарна за инфу) smile

кого исчо как пугали?

Добавлено (29.11.2007, 21:30)
---------------------------------------------
я нашла ж))
ждём 1 января
---------------------------------
Вирусописатели, как обычно, сочиняют "подарки" к рождественским праздникам. Недавний вирус-провокатор Navidad, поздравлявший с Рождеством по-испански, генерировал запускающую кнопку и честно просил не нажимать на нее. По своему немедленному действию он был скорее шуткой, и больше пугал неопытного пользователя, чем причинял реальный ущерб.

W95.Ussrhymn@m куда опаснее по своей разрушительной силе - 1 января он просто уничтожает файлы на жестком диске, а чтобы пользователь не скучал во время этого процесса, вирус развлекает его проигрыванием гимна Советского Союза (намек содержится в названии самого вируса).

Если зараженный компьютер окажется включенным в Новогоднюю ночь, в России по окончании боя курантов вирус напомнит о былой традиции и порадует приверженцев коммунистического опуса.

Некоторым утешением является то, что данный музыкальный подарок распространяется значительно медленнее "испанца". Как уже отмечалось, вирус активизируется 1 января. Он заражает загрузочные и архивные (zip и rar) файлы, замедляет выполнение системных команд и способен даже нейтрализовывать действие некоторых антивирусных программ.

Антивирусный центр Symantec уже успел разобрать на части новоявленного вредителя (сообщения о нем начали поступать неделю назад). Гимн СССР представляет собой одноголосое midi-творение на 40 секунд звучания. В формате mp3 его можно скачать (187 Кб) с сайта Symantec (только музыку, а не сам вирус) по адресу http://www.symantec.com/avcenter/sounds/ussrhymn.mp3.

По оценке AntiVirus Research Center W95.Ussrhymn@m пока распространен слабо, при этом сама скорость распространения ниже средней. Поражающее действие оценивается как высокое. На сайте имеется подробное описание (http://www.symantec.com/avcenter/venc/data/w95.ussrhymn.html), какие именно файлы модифицирует вирус. В качестве средства искоренения предлагается стереть пораженные файлы, заменив их на "чистые".

Добавлено (29.11.2007, 21:37)
---------------------------------------------
http://www.symantec.com/security_response/writeup.jsp?docid=2000-121515-1628-99
кому интересно зайди в removal там рассказывают как его найти и бороцца

•¤D®†win§¤•

Дата: Четверг, 29.11.2007, 21:47 | Сообщение # 4

Генералиссимус

Группа: Проверенные

Сообщений: 224

Награды: 0

Репутация: 6

Статус: Offline

ващето это не вирус...это модифицированный блекдор...
а инфа вотъ:
P2P-Worm.Win32.Tanked.11

Другие названия
P2P-Worm.Win32.Tanked.11 («Лаборатория Касперского») также известен как: Worm.P2P.Tanked.11 («Лаборатория Касперского»), W32/Kwbot.worm.d (McAfee), W32.Kwbot.C.Worm (Symantec), Win32.HLLW.Tanked.11 (Doctor Web), W32/KWBot-C (Sophos), Win32/HLLW.Kwbot.C (RAV), WORM_KWBOT.C (Trend Micro), Worm/Tanked.P2P.11 (H+BEDV), W32/Tanked.A (FRISK), Win32:SdBot-1028 (ALWIL), Worm/Kwbot (Grisoft), Win32.P2P.Tanked.A (SOFTWIN), Worm.P2P.Tanked.11 (ClamAV), W32/Kwbot.A.worm (Panda), Win32/Kwbot.F (Eset)

Поведение

P2P-Worm — черви для файлообменных сетей
Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.

Технические детали

Вирус-червь. Распространяется по "peer-to-peer" сети обмена файлами Kazaa.

Содержит достаточно мощную "Backdoor"-процедуру, которая управляется "хозяином" через подключение к IRC-каналам.

Червь является приложением Windows (PE EXE-файл), имеет размер около 100K, написан на Microsoft Visual C++. Упакован пакером UPX и зашифрован утилитой "Krypton".

Инсталляция

При запуске червь инсталлирует себя в систему: копирует себя в системный каталог Windows и регистрирует этот файл в ключах авто-запуска системного реестра. Имя файла и ключ реестра зависит от версии червя:

Имя файла в системном каталоге:

"Tanked.11": "system32.exe"
"Tanked.13": "winsys.exe"
"Tanked.14": "cmd32.exe"

Ключ реестра:

"Tanked.11":

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemSAS = system32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
SystemSAS = system32.exe

"Tanked.13":

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WinSys = winsys.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
WinSys = winsys.exe

"Tanked.14":

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CMD = cmd32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
CMD = cmd32.exe

Распространение

Червь копирует себя в каталог Kazaa и именами:

'Battlefield1942_bloodpatch.exe'
'Unreal2_bloodpatch.exe'
'UT2003_bloodpatch.exe'
'AquaNox2 Crack.exe'
'NBA2003_crack.exe'
'FIFA2003 crack.exe'
'C&C Generals_crack.exe'
'UT2003_keygen.exe'
'UT2003_no cd (crack).exe'
'Age of Empires 2 crack.exe'
'Anno 1503_crack.exe'
'C&C Renegade_crack.exe'
'Diablo 2 Crack.exe'
'Gothic 2 licence.exe'
'GTA 3 Crack.exe'
'GTA 3 patch (no cd).exe'
'Hitman_2_no_cd_crack.exe'
'Mafia_crack.exe'
'Neverwinter_Nights_licence.exe'
'NHL 2003 crack.exe'
'WarCraft_3_crack.exe'
'Splinter_Cell_Crack.exe'
'Battlefield1942_keygen.exe'
'Winamp 3.8.exe'
'MediaPlayer Update.exe'
'UT2003_patch.exe'
'ACDSee 5.5.exe'
'DivX Video Bundle 6.5.exe'
'Global DiVX Player 3.0.exe'
'QuickTime_Pro_Crack.exe'
'KaZaA Lite (New).exe'
'iMesh 3.7b (beta).exe'
'iMesh 3.6.exe'
'KaZaA Hack 2.5.0.exe'
'DirectDVD 5.0.exe'
'Flash MX crack (trial).exe'
'Ad-aware 6.5.exe'
'WinZip 9.0b.exe'
'SmartFTP 2.0.0.exe'
'ICQ Lite (new).exe'
'ICQ Pro 2003b (new beta).exe'
'ICQ Pro 2003a.exe'
'AOL Instant Messenger.exe'
'Download Accelerator Plus 6.1.exe'
'Trillian 0.85 (free).exe'
'MSN Messenger 5.2.exe'
'Network Cable e ADSL Speed 2.0.5.exe'
'mIRC 6.40.exe'
'GetRight 5.0a.exe'
'Pop-Up Stopper 3.5.exe'
'Yahoo Messenger 6.0.exe'
'KaZaA Speedup 3.6.exe'
'Nero Burning ROM crack.exe'
'WindowBlinds 4.0.exe'
'Animated Screen 7.0b.exe'
'Living Waterfalls 1.3.exe'
'Matrix Screensaver 1.5.exe'
'Popup Defender 6.5.exe'
'Space Invaders 1978.exe'
'SmartRipper v2.7.exe'
'TweakAll 3.8.exe'
'DVD Copy Plus v5.0.exe'
'Serials 2003 v.8.0 Full.exe'
'Zelda Classic 2.00.exe'
'Need 4 Speed crack.exe'
'Links 2003 Golf game (crack).exe'
'Netfast 1.8.exe'
'Guitar Chords Library 5.5.exe'
'DVD Region-Free 2.3.exe'
'Cool Edit Pro v2.55.exe'
'Coffee Cup Free HTML 7.0b.exe'
'Clone CD 5.0.0.3.exe'
'Clone CD 5.0.0.3 (crack).exe'
'Nimo CodecPack (new) 8.0.exe'
'Business Card Designer Plus 7.9.exe'
'Steinberg_WaveLab_5_crack.exe'
'Hot Babes XXX Screen Saver.exe'
'FreeRAM XP Pro 1.9.exe'
'IrfanView 4.5.exe'
'Audiograbber 2.05.exe'
'WinOnCD 4 PE_crack.exe'
'Final Fantasy VII XP Patch 1.5.exe'
'BabeFest 2003 ScreenSaver 1.5.exe'
'PalTalk 5.01b.exe'
'DirectX Buster (all versions).exe'
'DirectX InfoTool.exe'
'Unreal2_crack.exe'
'FlashGet 1.5.exe'
'Babylon 3.50b reg_crack.exe'
'mp3Trim PRO 2.5.exe'

Прочее

Червь содержит строки-"копирайты":

"Tanked.11":

T~Drone.11
t69 [sd]v0.5b TankEd.11
[sd]v0.5b TankEd.11 by [sd]

"Tanked.13":

T~Drone.13
t69 [sd]v0.5b TankEd.13
[sd]v0.5b TankEd.13 by [sd]

"Tanked.14":

T~Drone.14
t69 [sd]v0.5b TankEd.14
[sd]v0.5b TankEd.14 by [sd]
------------------------------------------------------------------------------------------------------------------------------------------ ----
с форума:

Одна часть вируса очень похожа по поведению на W32.Wullik (поведение один в один), другая часть Win32.Tank патчит exe-шники, которые при запуске пытаются остановить антивирусные программы и проч. "Tank Made in USSR"

В тесте у меня почти одновременно сработали tamper protection у антивируса Symantec, Outpost на изменение реестра и Norton AntiBot.

Norton AntiBot сказал что
1) "кака" регистрирует исполняемый файл в CurrentVersion\Run;
2) "кака" пытается скопировать себя в системный каталог;
3) "кака" injects code.

В результате AntiBot удалил Mstray.exe и переместил его в карантин (копия отослана Симантеку), остановлены и выгружены процессы, которые вирус успел патчануть или пытался это сделать ("process memory is compromised"; меня об этом уведомил и все процессы перечислил; в основном мелочь всякая).

Антивирус Symantec-а Win32.Tank пропустил.

В процессе дальнейшего изучения выявилась такая особенность: созданы патченные копии regedit.exe.tmp и taskmgr.exe.tmp. Если вирус активен, то он пытается подменить действующие копии этих програм (они в свою очередь пытаются остановить службы антивируса). Windows ругается и просит их восстановить.

В кратце так.
McAfee тоже среагировал только на Mstray.exe. На последующие части "Марлезонского балета" его не хватило.
------------------------------------------------------------------------------------------------------------------------------------------ ---

Как я люблю сочетание приятного с бесполезным:)

Студенты Академии » От сессии до сессии » Учебный процесс » Любимый вирус!!! (А что у Вас?)

Страница 1 из 1
1

Студенты Академии управления