Страница 1 из 1

А кому вирус свежеиспеченный самовыловленный?!

Добавлено: Вт сен 16, 2003 1:37 am
Люська
ну-ка граждане... в 2000й сидите? шустренько нажали три волшебных кнопки проверили списочек приложений... а ищем мы там файлик msmsgri32.exe
нашли? нет... ну ничего, еще поймаете, ибо не на одной мне свет клином сошелся, а я уже третьего поймала

итак, представляю, перед вами Worm.Randex.E
обитает он в папочке system32, что в виндовом каталоге

вес особи варьируется от 11,5 до 27,5 кб, возможно встречаются более крупные экземпляры.

откуда сей зверь приходит автору статьи неизвестно, известно лишь, что сразу регистрируется в реестре с громким именем System Initialization (в HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN) и ломится в сеть... так как зверь по природе своей несун, то начинает выносить из захваченной машины все ценное и блестящее, непомерно забивая исходящий траффик

и не думайте останавливать рандекса, он этого не любит!!!
в нем просыпается недетская агрессия... и все что не удалось вынести, он будет укладывать в оперативную память циклически меняя за считанные секунды свой размер от нуля до порядка 220 кб,
если ваша система имеет фиксированный своп... то упадет тихо, если автоопределяемый то вы успеете полюбоваться на забор из предупреждений системы о кончившейся памяти и увеличенном свопе...

ловится рандекс просто... отключаемся от сети, удаляем регистрацию, перегружаемся, берем его как тепленького и под белы рученьки...
после чего притаиваемся и ждем следующего

есть более экзотические способы охоты... кто знает Рандекса в лицо? О только не спрашивайте кто это такой у Доктора Веба - паучок стар и слеп и не видит дальше своего носа... Итак, топ лучших следопытов: PC-cillin, Vexira Antivirus и Boclean... и не ищите Рандекса в анналах вирусной энциклопедии, на которую посылают с сайта Касперского - его там нет.

Удачной охоты! :twisted:

Добавлено: Вт ноя 18, 2003 5:12 am
Crazy
Блин, красиво-то как!.. :cry:

Re: А кому вирус свежеиспеченный самовыловленный?!

Добавлено: Вт ноя 18, 2003 12:26 pm
bukreev
Люська писал(а):есть более экзотические способы охоты... кто знает Рандекса в лицо? О только не спрашивайте кто это такой у Доктора Веба - паучок стар и слеп и не видит дальше своего носа... Итак, топ лучших следопытов: PC-cillin, Vexira Antivirus и Boclean... и не ищите Рандекса в анналах вирусной энциклопедии, на которую посылают с сайта Касперского - его там нет.
А) Скорее всего искали вирус по названию в апдейтах вирусных баз Доктора Веба. Его там вполне может не быть, т.к. вряд-ли это новый вирус. Скорее всего очередная модификация. А значит он в список обновления не попал.

Б) Вирусная энциклопедия от Касперского - довольно забавная вещь. Да и вообще названия вирусов. Просто... Каждый выдумывает их сам, если конечно не началась эпидемия и не раззвенели название на весь мир те, кто его первым обнаружил...

Re: А кому вирус свежеиспеченный самовыловленный?!

Добавлено: Вт ноя 18, 2003 9:03 pm
Люська
alex писал(а): Скорее всего искали вирус по названию в апдейтах вирусных баз Доктора Веба. Его там вполне может не быть, т.к. вряд-ли это новый вирус. Скорее всего очередная модификация. А значит он в список обновления не попал.
Нет ... ну конечно у него другое имя в Доктора Паука... но искала то я другим способом ;) последний выловленный зверек был отсажен в специальную переносную флоппо-клетку и предъявлялся на опознание всем доступным звероловам. Дня через три его точно как родного принимал Каспер, а вот Паучок опознал его только через неделю... ни то, ни другое меня не устроило...

сейчас кстати, я три дня наблюдаю нового зверя, которому пока удачно дает пинка мой брендмауэр... скотина пытается пролезть через UDP 666, используя системные процессы Services.exe и Svchost.exe (честно говоря с отключенными особо не поползаешь... поскольку без DNS гулять по интернет джунглям очень тяжко...)

Re: А кому вирус свежеиспеченный самовыловленный?!

Добавлено: Ср ноя 19, 2003 1:13 am
bukreev
Люська писал(а):
alex писал(а):Скорее всего искали вирус по названию в апдейтах вирусных баз Доктора Веба. Его там вполне может не быть, т.к. вряд-ли это новый вирус. Скорее всего очередная модификация. А значит он в список обновления не попал.
Нет ... ну конечно у него другое имя в Доктора Паука... но искала то я другим способом ;) последний выловленный зверек был отсажен в специальную переносную флоппо-клетку и предъявлялся на опознание всем доступным звероловам. Дня через три его точно как родного принимал Каспер, а вот Паучок опознал его только через неделю... ни то, ни другое меня не устроило...
Угу. Учитывая что спайдеры в памяти ни у одной из вирусных программ не уживаются, а только они работают на эвристике, то... Делаем вывод что эвристический анализ в тестах не использовался. А это плохо... Давай в следующий раз другой эксперимент: ты высылаешь зараженный файл мне, а я тебе обратно лог веба, чего он на него сказал. Так будет более правильно эксперементировать. Ну и про дату последних обновлений, я так понимаю, глупо спрашивать? :-)

Re: А кому вирус свежеиспеченный самовыловленный?!

Добавлено: Ср ноя 19, 2003 1:35 pm
Люська
alex писал(а):Угу. Учитывая что спайдеры в памяти ни у одной из вирусных программ не уживаются, а только они работают на эвристике, то... Делаем вывод что эвристический анализ в тестах не использовался. А это плохо... Давай в следующий раз другой эксперимент: ты высылаешь зараженный файл мне, а я тебе обратно лог веба, чего он на него сказал. Так будет более правильно эксперементировать. Ну и про дату последних обновлений, я так понимаю, глупо спрашивать? :-)
Алекс, первично я его словила с установленным лицензионным EZ-Trust от CAI... в качестве защитника на диалапе он великолепно работал несколько лет, с автообновлением.

После первого же поима был поставлен брендмауэр, даже два Jammer от Agnitum и McAffee Security Internet плюс Dr.Web 4.30 c полным пакетом обновлений.
Результат - брендмауэры отлавливали его только на исходящем траффике. ДРВЕБ на эвристике игнорировал в принципе.

В последнем варианте червя я вручную отсадила... - в обновлениях Др.Веба он появился только через неделю. У EZ не в курсе, мы с ним больше не общались... Т.е. из проверенных антивирусников DrWeb принял меры последним.

Re: А кому вирус свежеиспеченный самовыловленный?!

Добавлено: Ср ноя 19, 2003 5:29 pm
bukreev
Люська писал(а):В последнем варианте червя я вручную отсадила... - в обновлениях Др.Веба он появился только через неделю. У EZ не в курсе, мы с ним больше не общались... Т.е. из проверенных антивирусников DrWeb принял меры последним.
Ясно. Принцип тестирования понятен и честен на 100%. Ну что я могу сказать? И на старуху бывает проруха. :-)
Всегда кто-то первый, а кто-то последний. Причем я уверен, что на этом рынке лидирующие позиции держать постоянно невозможно в принципе...

Re: А кому вирус свежеиспеченный самовыловленный?!

Добавлено: Ср ноя 19, 2003 8:11 pm
Люська
alex писал(а):Всегда кто-то первый, а кто-то последний. Причем я уверен, что на этом рынке лидирующие позиции держать постоянно невозможно в принципе...
Сейчас у меня ДрВеб (как это не парадоксально) и более-менее приличный брэндмауэр... рекламу золотце режет.