А кому вирус свежеиспеченный самовыловленный?!

Все о сети Интернет. Как работает, что делать, как настроить, как создать и так далее. Для пользователей и создателей.
Perl, PHP, SSI, SSH - все это тоже сюда.

Модератор: bukreev

Ответить
Аватара пользователя
Люська
Магистр
Магистр
Сообщения: 240
Зарегистрирован: Вт сен 02, 2003 10:46 pm
Откуда: ñ ñàéòó âåñòèìî
Контактная информация:

А кому вирус свежеиспеченный самовыловленный?!

Сообщение Люська » Вт сен 16, 2003 1:37 am

ну-ка граждане... в 2000й сидите? шустренько нажали три волшебных кнопки проверили списочек приложений... а ищем мы там файлик msmsgri32.exe
нашли? нет... ну ничего, еще поймаете, ибо не на одной мне свет клином сошелся, а я уже третьего поймала

итак, представляю, перед вами Worm.Randex.E
обитает он в папочке system32, что в виндовом каталоге

вес особи варьируется от 11,5 до 27,5 кб, возможно встречаются более крупные экземпляры.

откуда сей зверь приходит автору статьи неизвестно, известно лишь, что сразу регистрируется в реестре с громким именем System Initialization (в HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN) и ломится в сеть... так как зверь по природе своей несун, то начинает выносить из захваченной машины все ценное и блестящее, непомерно забивая исходящий траффик

и не думайте останавливать рандекса, он этого не любит!!!
в нем просыпается недетская агрессия... и все что не удалось вынести, он будет укладывать в оперативную память циклически меняя за считанные секунды свой размер от нуля до порядка 220 кб,
если ваша система имеет фиксированный своп... то упадет тихо, если автоопределяемый то вы успеете полюбоваться на забор из предупреждений системы о кончившейся памяти и увеличенном свопе...

ловится рандекс просто... отключаемся от сети, удаляем регистрацию, перегружаемся, берем его как тепленького и под белы рученьки...
после чего притаиваемся и ждем следующего

есть более экзотические способы охоты... кто знает Рандекса в лицо? О только не спрашивайте кто это такой у Доктора Веба - паучок стар и слеп и не видит дальше своего носа... Итак, топ лучших следопытов: PC-cillin, Vexira Antivirus и Boclean... и не ищите Рандекса в анналах вирусной энциклопедии, на которую посылают с сайта Касперского - его там нет.

Удачной охоты! :twisted:
Òèøøøå åäåøøü - äàëüøøøå áóäåøøøü!

Äåòè åñòü? Íåò? Áóäóò! Âû òîæå çàõîäèòå: http://www.babymania.ru

Аватара пользователя
Crazy
Магистр
Магистр
Сообщения: 465
Зарегистрирован: Ср янв 22, 2003 5:48 pm
Откуда: c Холмов
Контактная информация:

Сообщение Crazy » Вт ноя 18, 2003 5:12 am

Блин, красиво-то как!.. :cry:
А это была бронепехота.

Аватара пользователя
bukreev
Администратор Форума
Сообщения: 9280
Зарегистрирован: Ср янв 22, 2003 1:18 am
Откуда: Крылатское, Осенний бульвар, д. 10
Контактная информация:

Re: А кому вирус свежеиспеченный самовыловленный?!

Сообщение bukreev » Вт ноя 18, 2003 12:26 pm

Люська писал(а):есть более экзотические способы охоты... кто знает Рандекса в лицо? О только не спрашивайте кто это такой у Доктора Веба - паучок стар и слеп и не видит дальше своего носа... Итак, топ лучших следопытов: PC-cillin, Vexira Antivirus и Boclean... и не ищите Рандекса в анналах вирусной энциклопедии, на которую посылают с сайта Касперского - его там нет.
А) Скорее всего искали вирус по названию в апдейтах вирусных баз Доктора Веба. Его там вполне может не быть, т.к. вряд-ли это новый вирус. Скорее всего очередная модификация. А значит он в список обновления не попал.

Б) Вирусная энциклопедия от Касперского - довольно забавная вещь. Да и вообще названия вирусов. Просто... Каждый выдумывает их сам, если конечно не началась эпидемия и не раззвенели название на весь мир те, кто его первым обнаружил...

Аватара пользователя
Люська
Магистр
Магистр
Сообщения: 240
Зарегистрирован: Вт сен 02, 2003 10:46 pm
Откуда: ñ ñàéòó âåñòèìî
Контактная информация:

Re: А кому вирус свежеиспеченный самовыловленный?!

Сообщение Люська » Вт ноя 18, 2003 9:03 pm

alex писал(а): Скорее всего искали вирус по названию в апдейтах вирусных баз Доктора Веба. Его там вполне может не быть, т.к. вряд-ли это новый вирус. Скорее всего очередная модификация. А значит он в список обновления не попал.
Нет ... ну конечно у него другое имя в Доктора Паука... но искала то я другим способом ;) последний выловленный зверек был отсажен в специальную переносную флоппо-клетку и предъявлялся на опознание всем доступным звероловам. Дня через три его точно как родного принимал Каспер, а вот Паучок опознал его только через неделю... ни то, ни другое меня не устроило...

сейчас кстати, я три дня наблюдаю нового зверя, которому пока удачно дает пинка мой брендмауэр... скотина пытается пролезть через UDP 666, используя системные процессы Services.exe и Svchost.exe (честно говоря с отключенными особо не поползаешь... поскольку без DNS гулять по интернет джунглям очень тяжко...)
Òèøøøå åäåøøü - äàëüøøøå áóäåøøøü!

Äåòè åñòü? Íåò? Áóäóò! Âû òîæå çàõîäèòå: http://www.babymania.ru

Аватара пользователя
bukreev
Администратор Форума
Сообщения: 9280
Зарегистрирован: Ср янв 22, 2003 1:18 am
Откуда: Крылатское, Осенний бульвар, д. 10
Контактная информация:

Re: А кому вирус свежеиспеченный самовыловленный?!

Сообщение bukreev » Ср ноя 19, 2003 1:13 am

Люська писал(а):
alex писал(а):Скорее всего искали вирус по названию в апдейтах вирусных баз Доктора Веба. Его там вполне может не быть, т.к. вряд-ли это новый вирус. Скорее всего очередная модификация. А значит он в список обновления не попал.
Нет ... ну конечно у него другое имя в Доктора Паука... но искала то я другим способом ;) последний выловленный зверек был отсажен в специальную переносную флоппо-клетку и предъявлялся на опознание всем доступным звероловам. Дня через три его точно как родного принимал Каспер, а вот Паучок опознал его только через неделю... ни то, ни другое меня не устроило...
Угу. Учитывая что спайдеры в памяти ни у одной из вирусных программ не уживаются, а только они работают на эвристике, то... Делаем вывод что эвристический анализ в тестах не использовался. А это плохо... Давай в следующий раз другой эксперимент: ты высылаешь зараженный файл мне, а я тебе обратно лог веба, чего он на него сказал. Так будет более правильно эксперементировать. Ну и про дату последних обновлений, я так понимаю, глупо спрашивать? :-)

Аватара пользователя
Люська
Магистр
Магистр
Сообщения: 240
Зарегистрирован: Вт сен 02, 2003 10:46 pm
Откуда: ñ ñàéòó âåñòèìî
Контактная информация:

Re: А кому вирус свежеиспеченный самовыловленный?!

Сообщение Люська » Ср ноя 19, 2003 1:35 pm

alex писал(а):Угу. Учитывая что спайдеры в памяти ни у одной из вирусных программ не уживаются, а только они работают на эвристике, то... Делаем вывод что эвристический анализ в тестах не использовался. А это плохо... Давай в следующий раз другой эксперимент: ты высылаешь зараженный файл мне, а я тебе обратно лог веба, чего он на него сказал. Так будет более правильно эксперементировать. Ну и про дату последних обновлений, я так понимаю, глупо спрашивать? :-)
Алекс, первично я его словила с установленным лицензионным EZ-Trust от CAI... в качестве защитника на диалапе он великолепно работал несколько лет, с автообновлением.

После первого же поима был поставлен брендмауэр, даже два Jammer от Agnitum и McAffee Security Internet плюс Dr.Web 4.30 c полным пакетом обновлений.
Результат - брендмауэры отлавливали его только на исходящем траффике. ДРВЕБ на эвристике игнорировал в принципе.

В последнем варианте червя я вручную отсадила... - в обновлениях Др.Веба он появился только через неделю. У EZ не в курсе, мы с ним больше не общались... Т.е. из проверенных антивирусников DrWeb принял меры последним.
Òèøøøå åäåøøü - äàëüøøøå áóäåøøøü!

Äåòè åñòü? Íåò? Áóäóò! Âû òîæå çàõîäèòå: http://www.babymania.ru

Аватара пользователя
bukreev
Администратор Форума
Сообщения: 9280
Зарегистрирован: Ср янв 22, 2003 1:18 am
Откуда: Крылатское, Осенний бульвар, д. 10
Контактная информация:

Re: А кому вирус свежеиспеченный самовыловленный?!

Сообщение bukreev » Ср ноя 19, 2003 5:29 pm

Люська писал(а):В последнем варианте червя я вручную отсадила... - в обновлениях Др.Веба он появился только через неделю. У EZ не в курсе, мы с ним больше не общались... Т.е. из проверенных антивирусников DrWeb принял меры последним.
Ясно. Принцип тестирования понятен и честен на 100%. Ну что я могу сказать? И на старуху бывает проруха. :-)
Всегда кто-то первый, а кто-то последний. Причем я уверен, что на этом рынке лидирующие позиции держать постоянно невозможно в принципе...

Аватара пользователя
Люська
Магистр
Магистр
Сообщения: 240
Зарегистрирован: Вт сен 02, 2003 10:46 pm
Откуда: ñ ñàéòó âåñòèìî
Контактная информация:

Re: А кому вирус свежеиспеченный самовыловленный?!

Сообщение Люська » Ср ноя 19, 2003 8:11 pm

alex писал(а):Всегда кто-то первый, а кто-то последний. Причем я уверен, что на этом рынке лидирующие позиции держать постоянно невозможно в принципе...
Сейчас у меня ДрВеб (как это не парадоксально) и более-менее приличный брэндмауэр... рекламу золотце режет.
Òèøøøå åäåøøü - äàëüøøøå áóäåøøøü!

Äåòè åñòü? Íåò? Áóäóò! Âû òîæå çàõîäèòå: http://www.babymania.ru

Ответить

Вернуться в «Интернет»