[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/bbcode.php on line 483: preg_replace(): The /e modifier is no longer supported, use preg_replace_callback instead
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4668: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4670: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4671: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
[phpBB Debug] PHP Warning: in file [ROOT]/includes/functions.php on line 4672: Cannot modify header information - headers already sent by (output started at [ROOT]/includes/functions.php:3815)
ДОУНБ :: Просмотр темы - eKAV поздравляет с новым годом :>
ДОУНБ
http://forum.libr.dp.ua/

eKAV поздравляет с новым годом :>
http://forum.libr.dp.ua/viewtopic.php?f=51&t=116
Страница 1 из 1

Автор:  Wladimir Mutel [ 06 янв 2010, 20:40 ]
Заголовок сообщения:  eKAV поздравляет с новым годом :>

Снял сегодня с двух разных компов эту напасть. Снаружи напасть выглядит как обычное вымогательство: на рабочем столе заражённой системы появляется окошко в стиле, напоминающем антивирус Касперского, и просит выслать платную СМСку на короткий номер для разблокировки, а не то через некоторое время вашей системе станет худо. Никаких других программ запустить нельзя.
На первой системе, увидев и оценив обстановку, я загрузился с Alkidа и поискал на жёстком диске недавно созданные исполняемые файлы. Удалил пару недавно появившихся .dllок из юзерского профиля. Перезапустился в обычный Windows - всё равно появляется то же окошко при запуске любой программы. Поискал рецепт в Интернете с незаражённого компа - обнаружил, что надо почистить значение AppInit_DLLs в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows . Загрузился опять с Alkidа, в regeditе открыл куст реестра software на жёстком диске (\windows\system32\config\) и нашёл в указанном месте этот AppInit_DLLs. Там была любопытная строчка - имя безобидного файла в \windows\system32\..., двоеточие, и за ним - случайный набор из букв, цифр и знаков препинания. Как мы знаем из рекламы продвинутой файловой системы NTFS, на ней в дополнение к любому файлу с некоторым именем можно хранить 1 или более добавочных потоков информации (NTFS streams) с именами, указываемыми через двоеточие после имени файла как такового. И вот, оказывается, продвинутая система Windows позволяет непосредственно исполнять содержимое этих потоков, если оно упомянуто в соответствующих местах в реестре или в других конфигурационных файлах. Ну а продвинутые авторы вирусов, соответственно, знают об этой возможности и нередко любят ей пользоваться - чисто из любви к технике и искусству.
Перезапустился в обычный Windows - и вот ура, программы стали запускаться и работать !
Программа AutoRuns показала, что на системе сидит ещё вирус sdra64.exe . Избавиться от него было несложно (Alkid - удалить исполняемый файл из \windows\system32 - и в regeditе удалить его из списка UserInit в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon).
И ещё немножко эффектов осталось после перезапуска: запрещён запуск regeditа, диспетчера задач и всех антивирусов, которые нашлись в системе на момент прихода вируса (MBAM, Zillya и даже некоторых других, которых там не было - просто на всякий случай).
Доступ к Интернету уже работал, там что я скачал программу RegistryFix с и восстановил запуск regedita. Затем, ещё немного покопавшись в Интернете, я узнал о продвинутом механизме политик Windows XP под названием SAFER, который позволяет запретить запуск исполняемых файлов в указанных папках, и который продвинутые авторы вирусов тоже любят и умеют использовать для своих нужд. Открыв в regedite раздел HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths , я вычистил из него все подразделы с упоминанием папок, запрещённых при приходе вируса.
После очередного перезапуска я смог заново установить Zillya, MBAM, обновить их и просканировать систему MBAMом. MBAM помог удалить остатки заражённых файлов (дезактивированные мной вручную через Alkid) и вернуть настройки реестра, которые любят отключать вредоносные программы (запрет запуска regedit, taskmgr, автоматического обновления, создания точек восстановления системы и пр.).
На том мы и простились с владельцами первой системы. Все их данные и настройки программ остались в целости.
На второй системе с теми же симптомами, загрузившись с Alkidа, я сразу удалил свежесозданные .dllки из неподходящих мест и вычистил AppInit_DLLs и Safer\...\Paths. После этого загрузился в обычный Windows, обновил уже установленный там MBAM и просканировал систему. MBAM помог удалить оставшиеся вредоносные файлы и настройки реестра (кроме запрета создания точек восстановления системы, который пришлось вычистить из реестра вручную).

Выводы и советы населению примерно таковы :

1. Технические средства и возможности Windows весьма навороченны, из-за чего частенько работают не только в пользу системных администраторов, но и авторов вирусов. Палка о двух концах. И чем больше у вас технических знаний, тем выгодней для вас доставшийся вам конец :>

2. Авторы вируса eKAV - умные люди. Они не только хорошо знают Windows и психологию типичных пользователей, "верующих" в антивирусы (а также во что угодно другое, выглядящее похоже), но и приурочили запуск своего "детища" к периоду новогодних отпусков, когда, возможно, некому срочно пополнять антивирусные базы. Думаю, eKAV станет достаточно популярным в народе :>

3. Посещая самодельные русскоязычные сайты, будьте очень осторожны. Умейте отличать нужный вам контент от бесполезных баннеров, рекламы, всплывающих окошек и пр. Умейте отличать сайты крупных компаний от самоделок на бесплатном хостинге (типа .narod.ru и пр.). Помните, что вредоносные программы могут прийти к вам всего после двух-трёх необдуманных щелчков по ссылкам. А лучше всего, если сомневаетесь, используйте последнюю версию Firefoxа (3.5.7 на сейчас) - он проверяет адреса вредоносных сайтов по централизованной базе в Google.

4. Ну и да - не верьте в антивирусы. На обоих системах, которые я сегодня чинил, антивирусы были установлены и даже регулярно обновлялись. Не помогло. Верить нужно в себя. В свою собственную осмотрительность, сознательность и компетентность. Правда, эти качества тоже с неба не падают - каждому нужно развить их в самом себе .

Автор:  AAZ [ 12 янв 2010, 15:32 ]
Заголовок сообщения:  Re: eKAV поздравляет с новым годом :>

Отлично, просто супер. Премного благодарен. От себя добавлю, что все это можно проделать в домене с удаленной машины. Единственной проблемой была чистка ветки AppInit_DLLs в разделе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. После непродолжительной борьбы были сняты полномочия на доступ всем кроме домен админа и чистка была завершена. Автору - биг танкс.

Страница 1 из 1 Часовой пояс: UTC + 2 часа [ Летнее время ]
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/