войти зарегистрироваться

Вирусы (и антивирусы) whois

индекс
150,09

Не забывайте про ReadyBoost-флешки

История произошла не со мной, но при мне — в буквальном смысле, в соседней комнате. Публикуется с позволения виновника/главного участника/а также главного пострадавшего.

Ситуация проста до не хочу. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven. AVG Internet Security смог только лишь промямлить: «Сударь, в системном процессе троян!» Точнее, два трояна: Win32/Virut и Win32/Heur. Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe. При следующем запуске, система отказывается стартовать explorer, как результат — отсутствующий рабочий стол.

Дальше интереснее. Рассматриваем, что пишут интернеты про данные троянцы. Первый (Virut) удаляется с помощью замысловатых remover'ов от различных контор: той же AVG (rmvirut), Symantec, Dr.Web (с их CureIt!). Со вторым сложнее, точнее — никак. Обещают конец света и полный апокалипсис сегодня. Под защищённым режимом была сделана попытка излечиться от Virut'а, cureit нашёл порядка 600+ (sic!) объектов (в основном в системных директориях), которые попытался (и вроде даже) вылечить.

Повторная перезагрузка в обычный режим показала, что действия почти бесполезны. Сайты всех антивирусных программ заблокированными так и остались. SpywareDoctor, который, было, хотел взяться за Heur, просто не смог скачать базы. Как итог, самые важные данные были сохранены на флешке. В тот момент заражёнными были файлы только на системном диске.

Далее идёт загрузка с установочного диска Vista'ы, удаление системного раздела, его ресоздание и форматирование. Ну и установка родной для ноутбука VHP. Далее вроде бы всё успокоилось: шёл обычный процесс переустановки системы — скачивание update'ов, установка драйверов, был поставлен Norton 360, который не хотел работать под Seven (слетала онлайн-защита Sonar из-за отсутствия поддержки новой системы — этот косяк поправили в вышедшей на днях 3.5 версии Norton'а). Вроде бы ничего не предвещало беды…

Но в один момент обновления системы с Microsoft'а скачиваться просто отказались — Центр обновления сетовал на невозможность подключиться к хранилищу заплаток. Последовала попытка открыть сайт какого-нибудь из антивирусов — ноль ответа. В тоже время Norton молчит и «тупит глазки».

Как оказалось, это была не его вина. Он пытался сделать всё что мог… при отсутствии всех своих баз, которые чуть раньше просто не смог слить с официального сайта Symantec'а. В то же время ни в автозагрузке, ни в реестре, ни в процессах ничего вроде бы лишнего не наблюдалось. Троянец сидел, вернее восседал, глубоко и с кривой ухмылкой.

Причиной всех проблем свежевосставшей из пепла системы оказалась SD-шка ReadyBoost, которая торчала в card-reader'е под Windows Seven, а потом продолжила работать и творить зло уже под новой системой. Про неё просто забыли. Как следствие, в подобных ситуациях не забывайте вытаскивать все носители и передатчики информации из заражённой системы.


Update: благодаря активности Хабрапользователей, у меня появилась возможность пригласить на ресурс виновника суматохи и пострадавшего Yurgeno. Я думаю, он с радостью ответит на ваши вопросы и прояснит некоторые неточности, которые я мог допустить во время пересказа событий.
+41
12 сентября 2009, 01:30
DonRamon

комментарии (143)

  • Ну и ужасы вы тут рассказываете) Нельзя же такое на ночь!
    • Самое обидное, что и у меня и у товарища — достаточный опыт. Всё равное, не сразу же сообразили. Можно было спасти больше информации и избежать второй переустановки системы.
      • Ошибки совершают все, независимо от опыта :)
        • Отрицательный результат — тоже результат, да.
    • И меня дернуло топик прочитать ;) Теперь на пару, Tails, будем до рассвета куковать без сна :)
  • ну конечно, на флешке в режиме Ready Boost ведь зранится кеш последних запущеных exe'шников…
    • То-то и оно, можно было вспомнить. Просто в общем азарте борьбы за данные была допущена неприятная и глупая оплошность и, если угодно, халатность.
    • Paul
    • Paul
    • 12 сентября 2009, 02:27
    • #
      • +34
    А вот нефиг работать под админом ещё и с отключенным UAC.
    • Когда я вижу советы для чайников, мол, отключите UAC, хочется взять и уе**ть.
      UAC — ваш друг, %username%!
      • Я понял UAC после того, как поработал с sudo. А до этого думал, что ужастная вещь.
        • UAC курит по сравнению с sudo
          • В семерке UAC даже настраивать можно, зря вы так :)
  • Ну вы поняли.
    Каждый месяц появляются статьи «что и ка делать», вы же в разрез с ними пускаете первый же файлик с пиратбея ;-) «Респект», что сказать, смелый человек :) Или вам думалось, что пиратбей это очаг честности? Дык явно же сказано же, бухта, да еще и пиратов.
    • Вообще-то, автор заразился всего лишь открыв каталог с файлом. Здравомыслящему человеку и в голову бы не пришло, что это опасно.
      • Здравомыслящий человек открывал бы «такие» архивы только в виртуалке, если уж на то пошло.
        • Отколе параноики — здравомыслящие люди?
        • Не, это уже паранойя. Достаточно чрута или джейла.

          Во всех книжках по освоению работы с ПК написано: чтобы активировать вирус (при условии отсутствия уязвимостей), нужно запустить программу, его содержащую. Автор программу не запускал, значит, система содержала критические уязвимости, а при таком раскладе виртуалка не спасёт.
          • А вы верите автору? Я например не верю, пусть кинет мне этот файл, я посмотрю на него в проводнике, и более чем полностью уверен, что ничего не произойдет.
            • Вас никто не заставляет верить, смысл поста заключается не в описании уязвимости, а в напоминании о внимательном отношении к системе и о том, что нельзя забывать ни о каких возможностях инфицирования.
      • более того, здравомыслящему и в голову не пришло бы пользоваться системой, способной заразиться от простого просмотра содержимого каталога :)
  • Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.

    это слегка смущает… такое правда существует?..
    • В виндовс и не такое бывает, хех. Что-то много в последнее время критических уязвимостей в семёрке и висте обнаружилось. Одна дырявая самба чего стоит.
    • Как видите :)
      • Что то я ничего не вижу в гугле по этому поводу.

        А есть ссылки о подтверждении этой уязвимости для Windows 7? Эта уязвимость (если она существует) уже должна была всплыть и получить статус критической.

        Мне, честно говоря, с трудом верится что заражение машины произошло именно так.
        • Было такое дело с PDF файлами под Vista. Фишка в том, что система их подгружает для отображения эскизов в проводнике, через это вирусы и пролезали. Видимо похожую багу и для exe нашли.
          • Извините, не под Vista, а под XP.
            • это не бага винды, это бага pdf-хэндлера (для эксплорера), который поставляется Adobe.
          • Use FAR, Luke!
            • +1
              и не сиди под админом
          • > Видимо похожую багу и для exe нашли.

            Ну и где об этом информация? Вот нашли багу в смб2 — все IT-сми завалены этой новостью, а нашли багу под Windows 7 (!) при которой запуск бинарного кода происходит без запуска самого экзешника (!) и тишина. Хотя сама бага (если она есть) нааамного страшнее, чем эксплоит для смб2.

            У меня был вопрос к автору: с чего он решил, что заражение произошло именно тем путём, который он описал? Откуда он это взял? Или просто для красного словца?
            • Возможно ещё услышим, вполне может быть, что автор попал в первую волну заражённых через ещё неизвестную уязвимость. И опять же не факт, что виновата Windows 7. Точной картины нет, гадать бесполезно, может автор прояснит, мне самому интересно стало.
        • Была бага с иконками .ico, здесь же иконка лежала внутри бинарника, как ресурс, полагаю, что при просмотре винда извлекла иконку и наткнулась на эксплойт.
          • Бага с иконками заключалась в том, что GDI неправильно обрабатывала файлы курсоров в формате .ani при наведении на них мышкой, и иконка приложения здесь вообще не причем.
        • Я отписал немного ниже, что это подтип VBS.Folder. А заражение произошло в момент открытия папки, а не в момент отображения экзешника, хоть и визуально эти события для атакуемого произошли одновременно.

          Отсюда риторический вопрос-вывод автору: Если научился качать из P2P-сетей, но не научился просматривать содержимое раздачи, скачиваемой из подозрительных источников, то какого хрена выключать UAC?
    • aik
    • aik
    • 12 сентября 2009, 04:52
    • #
      • +3
    Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe.
    А как оно смогло? Или UAC был отключен?
    • Да, выключенный UAC и администратор. Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
      • Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
        Да не, я это не с целью укора, а просто для понимания происходящего.
        Просто рассказывают много историй про злобных вирусов, обходящих UAC и т.п., а в итоге оказывается, что юзер сам все отключил (ну или не сам, а какой-нибудь «знакомый программист»).
        • Другое дело, что суть топика не в том, что вирус погробил кучу информации — а про напоминание о ReadyBoost. Именно с этой целью он и писался.
          • Если бы не пренебрежение элементарными правилами безопасности — вы бы про ReadyBoost и не вспомнили. Так что топик нужно было назвать «Не забывайте про UAC — он защитит вашу ReadyBoost-флешку».
  • Хехе — в следуйщий раз свой варез будете вначале под вмварей запускать.
    • В конце концов, да было желание посмотреть, как оно будет вести себя в «закрытой» территории, но учитывая количество заморочек — товарищ плюнул, его право.
    • Хехе, умные вирусы под wmware не запустятся :)
      • почему?
        • Чтобы их сложнее было отлавливать.
          • не совсем корректно спросил: я хотел узнать — как wmware это делает?
            • Не wmware, а вирус. Практически всегда можно узнать под виртуалкой запущена система или нет. Так вот вирусы это проверяют и сидят тихо.
              • К сожалению, использование VMWare или других средств виртуализации не спасает от вирусов — не все такие «умные», чтобы отказываться работать под виртуальной виндой :). К тому же, виртуальная винда — всё равно винда, а значит она тоже может стать хорошим узлом для какого-нибудь ботнета.
                • Зато легко отключается и откатывается.
  • Отличный пример реализации принципа — Зло (воровство) должно быть наказано.
    • plug-in для Photoshop'а, и не факт, что ворованный
      • Ага, ну чего же у автора плагина не был скачан :), а с варезного ресурса.
        Давайте детский сад не будем устраивать.
  • Интересно, что нужно сделать MS, чтобы отучить своих юзеров сидеть под админом? Если только встроить в комп биту и бить по голове за каждый час под админом =)

    Начинающие *nix юзеры обычно быстро отучаются «непечатающей» строчкой. :)
  • Есть в винде такая скрытая фича — автозапуск со сменных носителей можно отключить через реестр.
    Но Microsoft-у уже давно нужно было внедрить другую фичу — возможность _включить_ автозапуск со сменных носителей, отключенный по умолчанию. Сколько людей пострадало от «вирусов на флешке», никто не знает.

    И не столько, пожалуй, жаль системы, сколько впустую потраченного времени.
    • Вы несколько не поняли ситуацию — дело не в обычной флешке, файлы с которых я уже давным давно не открываю из проводника, дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
      • Да, ну допустим экзешники остались. И с чего это они запустились? Или вы редибуст опять включили?
      • Сомневаюсь я, что readyBoost не проверяет хотя бы таймстампы exe'шников. Иначе при обновлении программ была бы такая каша что ппц.
    • Они вроде недавно выпускали патч, отключающий авторан по-умолчанию.
      • А как же тогда «пользователи» будут программы будут устанавливать?
        Ведь привыкли же — вставил диск, нажал Install и пошло-поехало. А вручную это ж надо знать ещё, какой из файлов на диске запускать.
        • да ну нафиг, меня авторан жуткораздражает
        • Говорят что Microsoft выпустит обновление для XP,Vista,7 что отключит авторан именно Съемных носителей. CD-DVD авторан остается на месте.
      • да ещё с Висты не там никакого «авторана по умолчанию»
        • ждем звонков «DVD не работает, наверное поломался!»
          • Не надо сарказма: система предлагает выбор, что делать с обнаруженным носителем: запускать setup.exe (или что там прописано), открыть в проводнике или ничего не делать. По умолчанию ничего не запускается.
  • НЛО прилетело и опубликовало эту надпись здесь.
    • Зачем вы троллите? Проблема ведь не в ОС, а в людях, которые можно сказать вручную заражают себе машины, отключив предварительно все системы защиты от «выстрелов себе в ногу».
      • Если бы у людей была полезная привычка проверять антивирем всё скачанное сразу после скачивания — у них было бы гораздо меньше геморроя даже под админом без UAC.
        • Согласен лишь частично. Антивирус тоже не панацея от зловредов. Наверное, вам доводилось читать о последней истерии по поводу угонов номеров ICQ через файл Frogs.exe. Так вот — зловред в том файле (Hoax.Win32.IMPass.am по терминологии Касперского) у меня определился только 8 сентября (стащил себе из чистого интереса, зная, что там зловред). Сам же вирус к этому моменту уже пару дней по Сети гулял. Потому — только ограниченная учетная запись вместе с UAC.
          • Я ж не говорил, что «совсем не будет геморроя» :))
            Понятно, что без админских прав безопаснее, так и это не панацея… Снесет зловредина %HOME%, и много вам будет радости от того, что не под админом сидели?
            • Ну, лично мне — много. потому что в %Home% хранятся только настройки программ, которые особой ценности не представляют. Все документы вне профиля лежат, старая привычка ;).
              Но это я, а вот в тех же компаниях несколько иначе, тут вы правы…
              • Хе. Достаточно того, что они доступны на запись/удаление с правами вашего аккаунта. ЕМНИМС, были какие-то заразы, шифровавшие файло везде, где дотянутся, и просившие денег за расшифровку.
                • Были, GPCode тому пример. И этим, правда, совершенно пофиг, в домашней папке файл лежит или на сетевом диске :(
        • не всегда помогает. увы, можно такое скачать, чего ещё в текущих базах вирей не будет
      • НЛО прилетело и опубликовало эту надпись здесь.
        • Ниже уже ответили про VBS.Folder.
      • Проблема не в ОС, а в людях, которые её пишут ;)
  • на заметку — в 90% заблокированные сайты разблокируются удалением строк с их упоминанием из файлика hosts (не помню, где он в виндовс, поиск по файла в папке виндовс даст что нужно)
    • также — простейшие фишинг-атаки лечатся — когда в этом файле прописаны какие-нибудь одноклассники или вконтакте — при попытке зайти на эти сайты — в лучшем случае — ваши кукизы улетают к злоумышленнику, в худшем — ваши не столь продвинутые юзеры отправляют СМС за 300-500 рублей для «разблокирования» аккаунта. ну и пароль от ресурса улетает.
    • на заметку — в 90% антивирусы которые вирус не дает запускать, начинают запускатся после переименовывания экзешника антивируса.
    • windows/system32/drivers/etc/hosts
      но это как бы самый простой для вирусов способо, но не самый надежный — «лучшие представители» действуют иначе.
  • CureIt! — не «замысловатый remover», а полноценный сканер. Запускать антивирусные утилиты на заражённой системе — верх наивности, надо бы загрузить чистую систему. Например, с того же установочного диска Vista или Windows 7.
    • или снять винт и поставить на другую машину и на ней проверить… но для ноутов, например, не сильно подходит
      • Для ноутов можно LiveCD или LiveFlashUSB использовать :)
      • Ну да — мы простых путей не ищем ;-)
        • ну, это как раз простой, т.к. на собственном компе уже есть антивирус с новенькими базами.
          Плюс, можно удалить руками, если знаешь как (например, нашёл hawto по удалению в интернете)
          • 1) если это компьютер того же хозяина — там скорее всего тот же вирус; если другого — так вообще боязно — сколько там заразы среди вареза накачано.
            2) есть шанс заразить этот самый второй компьютер
            3) конкретно по этой статье — флешка так бы и осталась непроверенной

            Как говорится: у каждой сложной задачи есть масса простых неправильных решений ;-)
            • 2) ну, это надо постараться ещё =) главное не загрузиться случаем с него
  • >>Сайты всех антивирусных программ заблокированными так и остались.

    Знаю я эту блокировку. %WINDIR%\system32\driver\etc\hosts — туда не смотрели?
    • В первую очередь — пусто. Троянец умело перехватывал запросы.
  • Напомнило анекдот про парня который сломал сервер, но был не хакер.
  • Да сами и виноваты.

    Используете експлорер, не отключаете авторан, сидите под админом? — Ну дык и не жалуйтесь что заразились, сами себе злобные буратины.

    // Вот не лень систему и программы потом переустанавливать.
    • А чего вы не написали «пользуете виндовс»? По-моему вы это забыли.
      • Семёрка — достаточно неплохая ОСь. Я лично фанат линукса, но не могу не признать это. Просто не нужно давать чему попало права на исполнение, а тем более отключать UAC.
        Хотя лучший вариант — не качать подозрительные файлы, сканировать их сразу после закачки (даже не глядя) или хотя бы проверять комменты на том же «пиратбее», там обычно пишут про вирусы в раздаче. Тем более такие, гробящие систему намертво.
      • Тут один чудак откомпилил питон и установил новую версию в /usr вопреки желанию пакетного менаджера, естественно система практически умерла. Не винде дело, любую систему можно загубить.
        • В «нормальных операционных системах» хотя бы можно понять, почему что-то не работает. Это не различные подземные стуки в винде, лечащиеся переустановкой системы.
          • С этим тяжело не согласится :)
      • ага. а ещё пользуетесь компьютером. сами виноваты!
  • понимаю, что речь не о USB, но всёравно напомню про программу USBVaccine которая херит autorun.inf на флешке, делая невозможным его удаление или изменение, легко, просто и полезно.
    • Только с NTFS «вакцина» не дружит. =\
    • Glow
    • Glow
    • 12 сентября 2009, 13:45
    • #
      • 0
    Да-да, во всём виноваты эти ReadyBoost-флэшки, а не запуск непонятно откуда взятых файлов под рутом да ещё и с отключённым UAC…
    PS Это я к тому, что корень проблемы — не ReadyBoost.
  • НЛО прилетело и опубликовало эту надпись здесь.
    • В раздаче было порядка 100 сидеров.
      • НЛО прилетело и опубликовало эту надпись здесь.
        • И мне, пожалуйста. Не верю я автору, хоть убейте.
    • Denai
    • Denai
    • 12 сентября 2009, 18:30
    • #
      • –1
    Kaspersky пробовали? ИМХО помог бы…
  • Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.

    Быть такого не может.
    • может. Инфа 100%
      • Нет, не может.

        Я на 90% уверен, что рядом с экзешниками лежал зараженный pdf-файл, а в системе был установлен уязвимый и не обновленный Adobe Reader.
        • теоретически может. Например переполнение в каком-либо компоненте, связанном с просмотром иконок файлов.
          • Еще раз говорю — вам так хочется, чтобы он мог.

            Windows Explorer не может запустить исполняемый файл без вашего ведома. Это невозможно.

            Переполнений никаких нет, ваш случай единственный, я слежу за сектором IT-безопасности и с уверенностью могу сказать, что:

            а) на данный момент нет никаких Windows 7-specific уязвимостей в силу малой распространенности оной;

            б) за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.
            • Хреново вы следите за сектором безопасности IT, я вам так скажу.

              Переполнения были и в ICO компонентах, и в длинных именах файлов, и в нестандартных кодировках.
              И всё это ломало explorer. Сомневаетесь?

              Нате:

              Инфа 100%
              • хабр съел линки.

                www.us-cert.gov/cas/techalerts/TA07-089A.html

                In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Consequently, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.

                И не так это давно было.
                • как будет время. я вам эксплуатацию покажу на vmware.
                  • Не стоит, я прекрасно понимаю, о чем идет речь.

                    Вы бы лучше показали эксплуатацию той мифической уязвимости, о которой говорится в посте.
                • Про уязвимость в ANI-файлах я знаю, не надо мне ссылки кидать.

                  Мной имелся в виду листинг .exe-файлов. Не было и нет таких уязвимостей, которые бы позволили запустить экзешник без желания на то пользователя простым «взглядом» на него через эксплорер. Ведь потерпевший заявил, что кроме экзешника в папке ничего не было.

                  0day для Windows 7, как я уже сказал, маловероятен в силу малой распространенности оной.
                  • Начнем с того, что «Windows Explorer не может запустить исполняемый файл без вашего ведома. Это невозможно.»
                    Всё-таки возможно, не так ли?

                    Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?
                    «за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.
                    зиродеи для win7 вполне возможны хотя бы потому, что код каждой вынды не переписывается с нуля, а тянет часть кода с родиительских платформ, оттого и наличие общей, но ещё не пропатченной дырки теоретически впоолне возможно.
                    Суслика не видно, а он есть. Так то.
                    • Всё-таки возможно, не так ли?

                      Я имел в виду данный конкретный случай и данный момент времени. Нет никаких данных об уязвимости, нет данных, чтобы такая или подобная этой уязвимость эксплуатировалась на данный момент в сети.

                      Делаем вывод, что простым листингом сейчас через Windows Explorer в Windows 7 запустить исполняемый файл нельзя. Повторюсь в n-ый раз — я уверен, что было что-то, что автор не заметил, когда скачивал и открывал этот плагин.

                      «за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.

                      Еще раз повторяю, я имел в виду листинг .exe-файлов, что соответствует случаю, описанному в статье.

                      Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?

                      См. пункт № 1. У вас нет подтверждения, что существует баг, это лишь ваши догадки, которые вы выдаете за существующую уязвимость.
                      • закончим на этом.
                        • Я закончил еще на этом комментарии, а сейчас мы просто переливаем из пустого в порожнее.
        • й папке был только .exe файл
        • В системе установлен Acrobat Pro 9.1.3 c последними обновлениями, в скачанной папке был только .exe файл.
  • Прочитал весь пост, все комментарии. Вопрос к автору.
    1. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
    2. дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
    Ключевые слова — кэш запущенных экзешников. Если данный плагин не запускался, то, исходя из всей предоставлнной информации, система была поражена еще ДО скачивания с пиратбэй. Вы не рассматривали такую возможность?
    • UAC это хорошо. В нем только «мерцание скрина» (затемнение) глаза раздражает, могли бы сделать плавные затухания, было бы лучше, и вреда глазам (если он есть) было бы меньше.
      • Извиняюсь, случайно в офтоп попал :)
        Сообщение направлялось к общей теме.
      • Не помню, как в Висте, но в 7-ке затемнение отключается сдвиганием ползунка вниз на 1 деление. На эффективности реагирования UAC это не сказывается.
    • По пункту 2 — я так понял, что вирус заразил системные файлы, а уже они закэшировались на SD, и там и остались. То есть там плагина заражённого не было, на карте.
    • Прокомментирую как непосредственный участник процесса инфицирования (мой ноутбук был). Экcплоит в зараженном вышеописанными вирусами файле использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом. Подробную информацию о уязвимости на безграничных просторах интернета обнаружить не удалось. Есть информация о возможности инъекции в данный процесс в WinXP в некоторых случаях обращения к зараженному файлу или папке, но эта уязвимость была полностью устранена специалистами Microsoft в накопительном обновлении безопасности, вошедшим в SP2 для WinXP. Далее процесс выглядел следующим образом, инфицирование tacsmgr и большинства запущенных процессов. Экплоит сканировал менеджер задач и инфицировал исполняемые файлы. Затем инфицировал все найденные .exe в системных папках. Смысл работы до классического прост. Внедрение вредноносного кода, мутация (изменение) сигнатур, создание себе подобной мутированной копии, дальнейшее инфицирование. Поскольку первый зараженный процесс explorer, при обращении пользователя к папке, содержащей .exe файлы, следовало немедленное инфицирование всех этих файлов в папке. Дальнейшую работу вируса не имеет смысла описывать, принцип их работы всем известен. Моя ошибка, как пользователя, состояла не в самом факте заражения, и не в беспомощности перед такой заразой, а в простой ошибке с флешкой. Поскольку система использовала данную карту памяти как ReadyBoost, в ходе работы на ней происходило кэширование .exe файлов, которые уже были заражены. После форматирования диска С, и установки свежей системы, я совершенно забыл про флешку, которая была в слоте, и к которой, разумеется, сразу стала обращаться свежеустановленная система. Поскольку процесс инфицирования практически незаметный, я, ничего не заметив, продолжал работать в системе и обращался к различным системным дискам, сам того не понимая, заражая их. Когда опомнился, были инфицированы почти все диски.
      Смысл данного поста выше в следующем. При обнаружении вирусной атаки, относитесь с максимальным вниманием к системе и к своим действиям, взвешивайте каждое действие и оценивайте возможные последствия. И до тех пор, пока все механизмы действия вируса вам неизвестны, старайтесь осноситься к нему с особой серьезностью. Если нужно детальное подробное описание работы данного полиморфной заразы, могу описать, но, по имеющейся информации, радикального универсального средства борьбы с данной связкой Virut/Heur не существует и система остается макимально к ней уязвимой даже при включенном UAC и отсутствии прав администратора у пользователя. Описанный выше случай единичный, но не стсоит забывать о элементарных средствах безопасности в сети.
      • У вас был классический VBS.Folder метод инъекции: daxa.com.ua/vir/num3/

        Лечится бдительностью при скачивании из P2P-сетей (клиенты позволяют просматривать содержимое раздачи), включением UAC (он бы сработал, когда человек зашел бы в папку со специально сформированными файлами desktop.ini и folder.htt), тем более, что это семерка и UAC там не такой навязчивый как в Висте.
        • Дело в том, что этот метод не работает для Vista и 7, т.к. active desktop был оттуда убран.
          • folder.htt не работает, да, а вот desktop.ini по-прежнему остался.
            • Конечно он остался, только запустить бинарный код с помощью него нельзя (хотя гипотетически при наличии мегабаги в эксплорере оттуда можно сделать все что угодно, но это «нановероятность»). А вот человек выше утверждает что:

              «использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом», хотя кроме него эту уязвимость никто не видел. Мне как пользователю 7-ки интересно что это за уязвимость и как я могу её использовать)
              • Это он так думает, что уязвимость есть. Если вы говорите, что через desktop.ini запускать экзешники нельзя, то значит было что-то, на что пользователь не обратил внимания. Например, модуль Adobe Reader, в котором недавно нашли и уже пофиксили багу, позволял запускать произвольный код, а встраивался в Windows Explorer по умолчанию при установке программы для отображения pdf-файлов непосредственно в проводнике.

                Сам по себе Windows Explorer простым листингом файлов заразить систему ну никак не может.
        • Было включено отображение скрытых файлов и папок, в скачанных файлах desktop.ini и folder.htt не было
          • А можно линк на раздачу? В образовательных целях
            • Линк, к сожалению, был удален с «Thepiratebay» через несколько часов после начала раздачи.
              • Это все очень подозрительно выглядит с вашей стороны.
  • Еще не стоит забывать про System Volume Information в корневых папках NTFS разделов. Доступ туда по-умолчанию имеет только сама система и разного рода нечисть очень неплохо там гнездится.
  • Например я к вирусам отношусь немножечко проще, даже иногда запускаю, в целях «анука поприкалываемся». Использую антивирус с прекраснейшим названием Linux :)
Только авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста.