Не забывайте про ReadyBoost-флешки

    История произошла не со мной, но при мне — в буквальном смысле, в соседней комнате. Публикуется с позволения виновника/главного участника/а также главного пострадавшего.

    Ситуация проста до не хочу. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven. AVG Internet Security смог только лишь промямлить: «Сударь, в системном процессе троян!» Точнее, два трояна: Win32/Virut и Win32/Heur. Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe. При следующем запуске, система отказывается стартовать explorer, как результат — отсутствующий рабочий стол.

    Дальше интереснее. Рассматриваем, что пишут интернеты про данные троянцы. Первый (Virut) удаляется с помощью замысловатых remover'ов от различных контор: той же AVG (rmvirut), Symantec, Dr.Web (с их CureIt!). Со вторым сложнее, точнее — никак. Обещают конец света и полный апокалипсис сегодня. Под защищённым режимом была сделана попытка излечиться от Virut'а, cureit нашёл порядка 600+ (sic!) объектов (в основном в системных директориях), которые попытался (и вроде даже) вылечить.

    Повторная перезагрузка в обычный режим показала, что действия почти бесполезны. Сайты всех антивирусных программ заблокированными так и остались. SpywareDoctor, который, было, хотел взяться за Heur, просто не смог скачать базы. Как итог, самые важные данные были сохранены на флешке. В тот момент заражёнными были файлы только на системном диске.

    Далее идёт загрузка с установочного диска Vista'ы, удаление системного раздела, его ресоздание и форматирование. Ну и установка родной для ноутбука VHP. Далее вроде бы всё успокоилось: шёл обычный процесс переустановки системы — скачивание update'ов, установка драйверов, был поставлен Norton 360, который не хотел работать под Seven (слетала онлайн-защита Sonar из-за отсутствия поддержки новой системы — этот косяк поправили в вышедшей на днях 3.5 версии Norton'а). Вроде бы ничего не предвещало беды…

    Но в один момент обновления системы с Microsoft'а скачиваться просто отказались — Центр обновления сетовал на невозможность подключиться к хранилищу заплаток. Последовала попытка открыть сайт какого-нибудь из антивирусов — ноль ответа. В тоже время Norton молчит и «тупит глазки».

    Как оказалось, это была не его вина. Он пытался сделать всё что мог… при отсутствии всех своих баз, которые чуть раньше просто не смог слить с официального сайта Symantec'а. В то же время ни в автозагрузке, ни в реестре, ни в процессах ничего вроде бы лишнего не наблюдалось. Троянец сидел, вернее восседал, глубоко и с кривой ухмылкой.

    Причиной всех проблем свежевосставшей из пепла системы оказалась SD-шка ReadyBoost, которая торчала в card-reader'е под Windows Seven, а потом продолжила работать и творить зло уже под новой системой. Про неё просто забыли. Как следствие, в подобных ситуациях не забывайте вытаскивать все носители и передатчики информации из заражённой системы.


    Update: благодаря активности Хабрапользователей, у меня появилась возможность пригласить на ресурс виновника суматохи и пострадавшего Yurgeno. Я думаю, он с радостью ответит на ваши вопросы и прояснит некоторые неточности, которые я мог допустить во время пересказа событий.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 143

      +28
      Ну и ужасы вы тут рассказываете) Нельзя же такое на ночь!
        0
        Самое обидное, что и у меня и у товарища — достаточный опыт. Всё равное, не сразу же сообразили. Можно было спасти больше информации и избежать второй переустановки системы.
          +5
          Ошибки совершают все, независимо от опыта :)
            +2
            Отрицательный результат — тоже результат, да.
          0
          И меня дернуло топик прочитать ;) Теперь на пару, Tails, будем до рассвета куковать без сна :)
          +3
          ну конечно, на флешке в режиме Ready Boost ведь зранится кеш последних запущеных exe'шников…
            0
            То-то и оно, можно было вспомнить. Просто в общем азарте борьбы за данные была допущена неприятная и глупая оплошность и, если угодно, халатность.
            +34
            А вот нефиг работать под админом ещё и с отключенным UAC.
              +2
              Когда я вижу советы для чайников, мол, отключите UAC, хочется взять и уе**ть.
              UAC — ваш друг, %username%!
                +3
                Я понял UAC после того, как поработал с sudo. А до этого думал, что ужастная вещь.
                  0
                  UAC курит по сравнению с sudo
                    0
                    В семерке UAC даже настраивать можно, зря вы так :)
              +2
              Ну вы поняли.
              Каждый месяц появляются статьи «что и ка делать», вы же в разрез с ними пускаете первый же файлик с пиратбея ;-) «Респект», что сказать, смелый человек :) Или вам думалось, что пиратбей это очаг честности? Дык явно же сказано же, бухта, да еще и пиратов.
                0
                Вообще-то, автор заразился всего лишь открыв каталог с файлом. Здравомыслящему человеку и в голову бы не пришло, что это опасно.
                  –2
                  Здравомыслящий человек открывал бы «такие» архивы только в виртуалке, если уж на то пошло.
                  • UFO just landed and posted this here
                      –2
                      Не, это уже паранойя. Достаточно чрута или джейла.

                      Во всех книжках по освоению работы с ПК написано: чтобы активировать вирус (при условии отсутствия уязвимостей), нужно запустить программу, его содержащую. Автор программу не запускал, значит, система содержала критические уязвимости, а при таком раскладе виртуалка не спасёт.
                        +2
                        А вы верите автору? Я например не верю, пусть кинет мне этот файл, я посмотрю на него в проводнике, и более чем полностью уверен, что ничего не произойдет.
                          0
                          Вас никто не заставляет верить, смысл поста заключается не в описании уязвимости, а в напоминании о внимательном отношении к системе и о том, что нельзя забывать ни о каких возможностях инфицирования.
                      +12
                      более того, здравомыслящему и в голову не пришло бы пользоваться системой, способной заразиться от простого просмотра содержимого каталога :)
                        0
                        эта пять!
                    +2
                    Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.

                    это слегка смущает… такое правда существует?..
                      0
                      В виндовс и не такое бывает, хех. Что-то много в последнее время критических уязвимостей в семёрке и висте обнаружилось. Одна дырявая самба чего стоит.
                      0
                      Как видите :)
                        +4
                        Что то я ничего не вижу в гугле по этому поводу.

                        А есть ссылки о подтверждении этой уязвимости для Windows 7? Эта уязвимость (если она существует) уже должна была всплыть и получить статус критической.

                        Мне, честно говоря, с трудом верится что заражение машины произошло именно так.
                          +1
                          Было такое дело с PDF файлами под Vista. Фишка в том, что система их подгружает для отображения эскизов в проводнике, через это вирусы и пролезали. Видимо похожую багу и для exe нашли.
                            +1
                            Извините, не под Vista, а под XP.
                              +3
                              это не бага винды, это бага pdf-хэндлера (для эксплорера), который поставляется Adobe.
                              +1
                              Use FAR, Luke!
                                0
                                +1
                                и не сиди под админом
                                +5
                                > Видимо похожую багу и для exe нашли.

                                Ну и где об этом информация? Вот нашли багу в смб2 — все IT-сми завалены этой новостью, а нашли багу под Windows 7 (!) при которой запуск бинарного кода происходит без запуска самого экзешника (!) и тишина. Хотя сама бага (если она есть) нааамного страшнее, чем эксплоит для смб2.

                                У меня был вопрос к автору: с чего он решил, что заражение произошло именно тем путём, который он описал? Откуда он это взял? Или просто для красного словца?
                                  0
                                  Возможно ещё услышим, вполне может быть, что автор попал в первую волну заражённых через ещё неизвестную уязвимость. И опять же не факт, что виновата Windows 7. Точной картины нет, гадать бесполезно, может автор прояснит, мне самому интересно стало.
                                +1
                                Была бага с иконками .ico, здесь же иконка лежала внутри бинарника, как ресурс, полагаю, что при просмотре винда извлекла иконку и наткнулась на эксплойт.
                                  0
                                  Бага с иконками заключалась в том, что GDI неправильно обрабатывала файлы курсоров в формате .ani при наведении на них мышкой, и иконка приложения здесь вообще не причем.
                                • UFO just landed and posted this here
                              +3
                              Сработали они оба на славу: инфицированы все exe-шники в Windows, Program Files. В том числе, taskmgr.exe и explorer.exe.
                              А как оно смогло? Или UAC был отключен?
                                0
                                Да, выключенный UAC и администратор. Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
                                  +2
                                  Но это на совести пострадавшего, да и поздно после драки кулаками трясти.
                                  Да не, я это не с целью укора, а просто для понимания происходящего.
                                  Просто рассказывают много историй про злобных вирусов, обходящих UAC и т.п., а в итоге оказывается, что юзер сам все отключил (ну или не сам, а какой-нибудь «знакомый программист»).
                                    0
                                    Другое дело, что суть топика не в том, что вирус погробил кучу информации — а про напоминание о ReadyBoost. Именно с этой целью он и писался.
                                      +1
                                      Если бы не пренебрежение элементарными правилами безопасности — вы бы про ReadyBoost и не вспомнили. Так что топик нужно было назвать «Не забывайте про UAC — он защитит вашу ReadyBoost-флешку».
                                +3
                                Хехе — в следуйщий раз свой варез будете вначале под вмварей запускать.
                                  0
                                  В конце концов, да было желание посмотреть, как оно будет вести себя в «закрытой» территории, но учитывая количество заморочек — товарищ плюнул, его право.
                                    +4
                                    Хехе, умные вирусы под wmware не запустятся :)
                                      0
                                      почему?
                                        0
                                        Чтобы их сложнее было отлавливать.
                                          0
                                          не совсем корректно спросил: я хотел узнать — как wmware это делает?
                                            +1
                                            Не wmware, а вирус. Практически всегда можно узнать под виртуалкой запущена система или нет. Так вот вирусы это проверяют и сидят тихо.
                                              0
                                              К сожалению, использование VMWare или других средств виртуализации не спасает от вирусов — не все такие «умные», чтобы отказываться работать под виртуальной виндой :). К тому же, виртуальная винда — всё равно винда, а значит она тоже может стать хорошим узлом для какого-нибудь ботнета.
                                                +1
                                                Зато легко отключается и откатывается.
                                    –1
                                    Отличный пример реализации принципа — Зло (воровство) должно быть наказано.
                                      +1
                                      plug-in для Photoshop'а, и не факт, что ворованный
                                        0
                                        Ага, ну чего же у автора плагина не был скачан :), а с варезного ресурса.
                                        Давайте детский сад не будем устраивать.
                                      +8
                                      Интересно, что нужно сделать MS, чтобы отучить своих юзеров сидеть под админом? Если только встроить в комп биту и бить по голове за каждый час под админом =)

                                      Начинающие *nix юзеры обычно быстро отучаются «непечатающей» строчкой. :)
                                      –1
                                      Есть в винде такая скрытая фича — автозапуск со сменных носителей можно отключить через реестр.
                                      Но Microsoft-у уже давно нужно было внедрить другую фичу — возможность _включить_ автозапуск со сменных носителей, отключенный по умолчанию. Сколько людей пострадало от «вирусов на флешке», никто не знает.

                                      И не столько, пожалуй, жаль системы, сколько впустую потраченного времени.
                                        –1
                                        Вы несколько не поняли ситуацию — дело не в обычной флешке, файлы с которых я уже давным давно не открываю из проводника, дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
                                          0
                                          Да, ну допустим экзешники остались. И с чего это они запустились? Или вы редибуст опять включили?
                                            +1
                                            Сомневаюсь я, что readyBoost не проверяет хотя бы таймстампы exe'шников. Иначе при обновлении программ была бы такая каша что ппц.
                                            0
                                            Они вроде недавно выпускали патч, отключающий авторан по-умолчанию.
                                              0
                                              А как же тогда «пользователи» будут программы будут устанавливать?
                                              Ведь привыкли же — вставил диск, нажал Install и пошло-поехало. А вручную это ж надо знать ещё, какой из файлов на диске запускать.
                                                +1
                                                да ну нафиг, меня авторан жуткораздражает
                                                  0
                                                  Говорят что Microsoft выпустит обновление для XP,Vista,7 что отключит авторан именно Съемных носителей. CD-DVD авторан остается на месте.
                                                  0
                                                  да ещё с Висты не там никакого «авторана по умолчанию»
                                                    0
                                                    ждем звонков «DVD не работает, наверное поломался!»
                                                      0
                                                      Не надо сарказма: система предлагает выбор, что делать с обнаруженным носителем: запускать setup.exe (или что там прописано), открыть в проводнике или ничего не делать. По умолчанию ничего не запускается.
                                              • UFO just landed and posted this here
                                                  +1
                                                  Зачем вы троллите? Проблема ведь не в ОС, а в людях, которые можно сказать вручную заражают себе машины, отключив предварительно все системы защиты от «выстрелов себе в ногу».
                                                    0
                                                    Если бы у людей была полезная привычка проверять антивирем всё скачанное сразу после скачивания — у них было бы гораздо меньше геморроя даже под админом без UAC.
                                                      0
                                                      Согласен лишь частично. Антивирус тоже не панацея от зловредов. Наверное, вам доводилось читать о последней истерии по поводу угонов номеров ICQ через файл Frogs.exe. Так вот — зловред в том файле (Hoax.Win32.IMPass.am по терминологии Касперского) у меня определился только 8 сентября (стащил себе из чистого интереса, зная, что там зловред). Сам же вирус к этому моменту уже пару дней по Сети гулял. Потому — только ограниченная учетная запись вместе с UAC.
                                                        0
                                                        Я ж не говорил, что «совсем не будет геморроя» :))
                                                        Понятно, что без админских прав безопаснее, так и это не панацея… Снесет зловредина %HOME%, и много вам будет радости от того, что не под админом сидели?
                                                          0
                                                          Ну, лично мне — много. потому что в %Home% хранятся только настройки программ, которые особой ценности не представляют. Все документы вне профиля лежат, старая привычка ;).
                                                          Но это я, а вот в тех же компаниях несколько иначе, тут вы правы…
                                                            0
                                                            Хе. Достаточно того, что они доступны на запись/удаление с правами вашего аккаунта. ЕМНИМС, были какие-то заразы, шифровавшие файло везде, где дотянутся, и просившие денег за расшифровку.
                                                              0
                                                              Были, GPCode тому пример. И этим, правда, совершенно пофиг, в домашней папке файл лежит или на сетевом диске :(
                                                        0
                                                        не всегда помогает. увы, можно такое скачать, чего ещё в текущих базах вирей не будет
                                                      • UFO just landed and posted this here
                                                          0
                                                          Ниже уже ответили про VBS.Folder.
                                                          0
                                                          Проблема не в ОС, а в людях, которые её пишут ;)
                                                        0
                                                        на заметку — в 90% заблокированные сайты разблокируются удалением строк с их упоминанием из файлика hosts (не помню, где он в виндовс, поиск по файла в папке виндовс даст что нужно)
                                                          +1
                                                          также — простейшие фишинг-атаки лечатся — когда в этом файле прописаны какие-нибудь одноклассники или вконтакте — при попытке зайти на эти сайты — в лучшем случае — ваши кукизы улетают к злоумышленнику, в худшем — ваши не столь продвинутые юзеры отправляют СМС за 300-500 рублей для «разблокирования» аккаунта. ну и пароль от ресурса улетает.
                                                            +1
                                                            на заметку — в 90% антивирусы которые вирус не дает запускать, начинают запускатся после переименовывания экзешника антивируса.
                                                              0
                                                              windows/system32/drivers/etc/hosts
                                                              но это как бы самый простой для вирусов способо, но не самый надежный — «лучшие представители» действуют иначе.
                                                              +1
                                                              CureIt! — не «замысловатый remover», а полноценный сканер. Запускать антивирусные утилиты на заражённой системе — верх наивности, надо бы загрузить чистую систему. Например, с того же установочного диска Vista или Windows 7.
                                                                0
                                                                или снять винт и поставить на другую машину и на ней проверить… но для ноутов, например, не сильно подходит
                                                                  0
                                                                  Для ноутов можно LiveCD или LiveFlashUSB использовать :)
                                                                    0
                                                                    Ну да — мы простых путей не ищем ;-)
                                                                      0
                                                                      ну, это как раз простой, т.к. на собственном компе уже есть антивирус с новенькими базами.
                                                                      Плюс, можно удалить руками, если знаешь как (например, нашёл hawto по удалению в интернете)
                                                                        0
                                                                        1) если это компьютер того же хозяина — там скорее всего тот же вирус; если другого — так вообще боязно — сколько там заразы среди вареза накачано.
                                                                        2) есть шанс заразить этот самый второй компьютер
                                                                        3) конкретно по этой статье — флешка так бы и осталась непроверенной

                                                                        Как говорится: у каждой сложной задачи есть масса простых неправильных решений ;-)
                                                                          0
                                                                          2) ну, это надо постараться ещё =) главное не загрузиться случаем с него
                                                                  0
                                                                  >>Сайты всех антивирусных программ заблокированными так и остались.

                                                                  Знаю я эту блокировку. %WINDIR%\system32\driver\etc\hosts — туда не смотрели?
                                                                    0
                                                                    В первую очередь — пусто. Троянец умело перехватывал запросы.
                                                                    +4
                                                                    Напомнило анекдот про парня который сломал сервер, но был не хакер.
                                                                      +1
                                                                      Да сами и виноваты.

                                                                      Используете експлорер, не отключаете авторан, сидите под админом? — Ну дык и не жалуйтесь что заразились, сами себе злобные буратины.

                                                                      // Вот не лень систему и программы потом переустанавливать.
                                                                        +2
                                                                        А чего вы не написали «пользуете виндовс»? По-моему вы это забыли.
                                                                          +2
                                                                          Семёрка — достаточно неплохая ОСь. Я лично фанат линукса, но не могу не признать это. Просто не нужно давать чему попало права на исполнение, а тем более отключать UAC.
                                                                          Хотя лучший вариант — не качать подозрительные файлы, сканировать их сразу после закачки (даже не глядя) или хотя бы проверять комменты на том же «пиратбее», там обычно пишут про вирусы в раздаче. Тем более такие, гробящие систему намертво.
                                                                            0
                                                                            Тут один чудак откомпилил питон и установил новую версию в /usr вопреки желанию пакетного менаджера, естественно система практически умерла. Не винде дело, любую систему можно загубить.
                                                                              –1
                                                                              В «нормальных операционных системах» хотя бы можно понять, почему что-то не работает. Это не различные подземные стуки в винде, лечащиеся переустановкой системы.
                                                                                –1
                                                                                С этим тяжело не согласится :)
                                                                              0
                                                                              ага. а ещё пользуетесь компьютером. сами виноваты!
                                                                            +1
                                                                            понимаю, что речь не о USB, но всёравно напомню про программу USBVaccine которая херит autorun.inf на флешке, делая невозможным его удаление или изменение, легко, просто и полезно.
                                                                              0
                                                                              Только с NTFS «вакцина» не дружит. =\
                                                                              0
                                                                              Да-да, во всём виноваты эти ReadyBoost-флэшки, а не запуск непонятно откуда взятых файлов под рутом да ещё и с отключённым UAC…
                                                                              PS Это я к тому, что корень проблемы — не ReadyBoost.
                                                                              • UFO just landed and posted this here
                                                                                  0
                                                                                  В раздаче было порядка 100 сидеров.
                                                                                  • UFO just landed and posted this here
                                                                                    • UFO just landed and posted this here
                                                                                  –1
                                                                                  Kaspersky пробовали? ИМХО помог бы…
                                                                                  • UFO just landed and posted this here
                                                                                      0
                                                                                      может. Инфа 100%
                                                                                      • UFO just landed and posted this here
                                                                                          0
                                                                                          теоретически может. Например переполнение в каком-либо компоненте, связанном с просмотром иконок файлов.
                                                                                          • UFO just landed and posted this here
                                                                                              0
                                                                                              Хреново вы следите за сектором безопасности IT, я вам так скажу.

                                                                                              Переполнения были и в ICO компонентах, и в длинных именах файлов, и в нестандартных кодировках.
                                                                                              И всё это ломало explorer. Сомневаетесь?

                                                                                              Нате:

                                                                                              Инфа 100%
                                                                                                0
                                                                                                хабр съел линки.

                                                                                                www.us-cert.gov/cas/techalerts/TA07-089A.html

                                                                                                In addition, animated cursor files are automatically parsed by Windows Explorer when the containing folder is opened or the file is used as a cursor. Consequently, opening a folder that contains a specially crafted animated cursor file will also trigger this vulnerability.

                                                                                                И не так это давно было.
                                                                                                  0
                                                                                                  как будет время. я вам эксплуатацию покажу на vmware.
                                                                                                  • UFO just landed and posted this here
                                                                                                  • UFO just landed and posted this here
                                                                                                      0
                                                                                                      Начнем с того, что «Windows Explorer не может запустить исполняемый файл без вашего ведома. Это невозможно.»
                                                                                                      Всё-таки возможно, не так ли?

                                                                                                      Вы понимаете, что имея переполнение в компоненте, связанном с отображением тех же самых ICO файлов, можно внедрить ICO файл в качестве иконки для исполняемого файла, и получить удар по печени в виде переполнения кучи при листинге тех самых exe файлов?
                                                                                                      «за всю историю Windows не было ни единого случая заражения системы простым листингом файлов.» — вы хоть когда бред начинаете нести, поинтересуйтесь у гугла.
                                                                                                      зиродеи для win7 вполне возможны хотя бы потому, что код каждой вынды не переписывается с нуля, а тянет часть кода с родиительских платформ, оттого и наличие общей, но ещё не пропатченной дырки теоретически впоолне возможно.
                                                                                                      Суслика не видно, а он есть. Так то.
                                                                                                      • UFO just landed and posted this here
                                                                                                          0
                                                                                                          закончим на этом.
                                                                                                          • UFO just landed and posted this here
                                                                                              0
                                                                                              й папке был только .exe файл
                                                                                                0
                                                                                                В системе установлен Acrobat Pro 9.1.3 c последними обновлениями, в скачанной папке был только .exe файл.
                                                                                            +1
                                                                                            Прочитал весь пост, все комментарии. Вопрос к автору.
                                                                                            1. Скачанный с ThePirateBay'я plug-in для Photoshop'а. Далее по цепочке — инъекция даже не при запуске, а просто при отображении exe-файла установщика в Проводнике Windows Seven.
                                                                                            2. дело в ReadyBoost SDHC-карте, которая осталась от заражённой системы — в ней-то и остался кэш запущенных exe'шников.
                                                                                            Ключевые слова — кэш запущенных экзешников. Если данный плагин не запускался, то, исходя из всей предоставлнной информации, система была поражена еще ДО скачивания с пиратбэй. Вы не рассматривали такую возможность?
                                                                                              0
                                                                                              UAC это хорошо. В нем только «мерцание скрина» (затемнение) глаза раздражает, могли бы сделать плавные затухания, было бы лучше, и вреда глазам (если он есть) было бы меньше.
                                                                                                0
                                                                                                Извиняюсь, случайно в офтоп попал :)
                                                                                                Сообщение направлялось к общей теме.
                                                                                                  0
                                                                                                  Не помню, как в Висте, но в 7-ке затемнение отключается сдвиганием ползунка вниз на 1 деление. На эффективности реагирования UAC это не сказывается.
                                                                                                  0
                                                                                                  По пункту 2 — я так понял, что вирус заразил системные файлы, а уже они закэшировались на SD, и там и остались. То есть там плагина заражённого не было, на карте.
                                                                                                    0
                                                                                                    Прокомментирую как непосредственный участник процесса инфицирования (мой ноутбук был). Экcплоит в зараженном вышеописанными вирусами файле использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом. Подробную информацию о уязвимости на безграничных просторах интернета обнаружить не удалось. Есть информация о возможности инъекции в данный процесс в WinXP в некоторых случаях обращения к зараженному файлу или папке, но эта уязвимость была полностью устранена специалистами Microsoft в накопительном обновлении безопасности, вошедшим в SP2 для WinXP. Далее процесс выглядел следующим образом, инфицирование tacsmgr и большинства запущенных процессов. Экплоит сканировал менеджер задач и инфицировал исполняемые файлы. Затем инфицировал все найденные .exe в системных папках. Смысл работы до классического прост. Внедрение вредноносного кода, мутация (изменение) сигнатур, создание себе подобной мутированной копии, дальнейшее инфицирование. Поскольку первый зараженный процесс explorer, при обращении пользователя к папке, содержащей .exe файлы, следовало немедленное инфицирование всех этих файлов в папке. Дальнейшую работу вируса не имеет смысла описывать, принцип их работы всем известен. Моя ошибка, как пользователя, состояла не в самом факте заражения, и не в беспомощности перед такой заразой, а в простой ошибке с флешкой. Поскольку система использовала данную карту памяти как ReadyBoost, в ходе работы на ней происходило кэширование .exe файлов, которые уже были заражены. После форматирования диска С, и установки свежей системы, я совершенно забыл про флешку, которая была в слоте, и к которой, разумеется, сразу стала обращаться свежеустановленная система. Поскольку процесс инфицирования практически незаметный, я, ничего не заметив, продолжал работать в системе и обращался к различным системным дискам, сам того не понимая, заражая их. Когда опомнился, были инфицированы почти все диски.
                                                                                                    Смысл данного поста выше в следующем. При обнаружении вирусной атаки, относитесь с максимальным вниманием к системе и к своим действиям, взвешивайте каждое действие и оценивайте возможные последствия. И до тех пор, пока все механизмы действия вируса вам неизвестны, старайтесь осноситься к нему с особой серьезностью. Если нужно детальное подробное описание работы данного полиморфной заразы, могу описать, но, по имеющейся информации, радикального универсального средства борьбы с данной связкой Virut/Heur не существует и система остается макимально к ней уязвимой даже при включенном UAC и отсутствии прав администратора у пользователя. Описанный выше случай единичный, но не стсоит забывать о элементарных средствах безопасности в сети.
                                                                                                    • UFO just landed and posted this here
                                                                                                        0
                                                                                                        Дело в том, что этот метод не работает для Vista и 7, т.к. active desktop был оттуда убран.
                                                                                                        • UFO just landed and posted this here
                                                                                                            0
                                                                                                            Конечно он остался, только запустить бинарный код с помощью него нельзя (хотя гипотетически при наличии мегабаги в эксплорере оттуда можно сделать все что угодно, но это «нановероятность»). А вот человек выше утверждает что:

                                                                                                            «использовал критическую уязвимость в системе Windows Vista (Seven), заключающуюся в возможности запуска произвольного кода при обращении процеса explorer к папке, содержащей файл с вредоносным кодом», хотя кроме него эту уязвимость никто не видел. Мне как пользователю 7-ки интересно что это за уязвимость и как я могу её использовать)
                                                                                                            • UFO just landed and posted this here
                                                                                                          0
                                                                                                          Было включено отображение скрытых файлов и папок, в скачанных файлах desktop.ini и folder.htt не было
                                                                                                          • UFO just landed and posted this here
                                                                                                              0
                                                                                                              Линк, к сожалению, был удален с «Thepiratebay» через несколько часов после начала раздачи.
                                                                                                              • UFO just landed and posted this here
                                                                                                      0
                                                                                                      Еще не стоит забывать про System Volume Information в корневых папках NTFS разделов. Доступ туда по-умолчанию имеет только сама система и разного рода нечисть очень неплохо там гнездится.
                                                                                                      • UFO just landed and posted this here

                                                                                                        Only users with full accounts can post comments. Log in, please.