Pull to refresh
27
0.2
Владимир Мартьянов @vilgeforce

Пользователь

Send message
Не надо сидеть под админом. Тогда процентов этак 95--99 заразы просто не сможет нормально работать. А еще не надо пользоваться IE и аутглюком. Ну и тыкать куда ни попадя. При таких мерах можно пару лет жить без антивируса и ничего не подцепить.
Подобного рода статьи тут иногда проскакивают, но мало.
Несомненно! Но вот пропустил. Да и запуск другого процесса неплохо было бы отсекать.
Могли грузить и бэкдор, и спамбота... Но почему-то решили такой многоступенчатый механизм юзать.
Честно говоря, подобного рода "поделия" встречаются каждый день. Из интересных моментов здесь - только прием шифрованных данных, различных для каждой сессии. Остальное - ничего интересного. Честно :-)
У кого? :-)
Я не знаю какой именно антивирус не сработал, да и проблемой детектирования я мало занимаюсь. Я - вирусный аналитик всего-лишь.
Возможные варианты - не было сигнатур для вируса, не сработал поведенческий фильтр... Но это только догадки.
Все, пост с техническими подробностями работы тварины готов: http://vilgeforce.habrahabr.ru/blog/4374…
Выполнил сегодня по долгу службы анализ файла, который в итоге на машине юзера оказывается. А топик написать не могу, вот обидно!

Короче говоря, загрузка двух файлов с хоста, один записывается на диск и запускается, а второй инжектится в системный процесс. По ходу дела для рассылки спама все это надо. Будет карма - будут технические подробности :-)
Осспади! Открыли Америку эти яндексовцы... Trojan.Click.nnnn - перенапраление пользователя, замена содержимого страницы, прочие радости. Кстати, большинство троянов, заточенных под взаимодействие с браузерами, работают только под IE, ибо являются Browser Helper Object.
А, вы в смысле что соединения, а не в чистом виде... Не так понял :-)
Как раз поможет. И чем раньше - тем лучше. При делении урана в реакторах образуется I^131, который вовлекается в метаболизм и накапливается в щитовидке. А активность у него очень не маленькая: период полураспада 6 дней, помнится. В итоге получаем внутреннее облучение. А если принимать обычный йод, то его в организме будет избыток, и 131-й будет захватываться в меньших количествах.
Да, была какая-то бага, но ошибок не выдавал - просто не обновлял ленты. Через несколько часов заработало.
Режим дня - штука, несомненно нужная. Но как быть, если мне важнее не количество сна, а время пробуждения? Лечь в 22.00 и встать в 6.00 - субъективно хуже, чем лечь в 10.00 и проснуться в 14.00. Просыпаться позже - тогда буду позже уходить с работы, позже приходить домой и не останется времени на активную жизнь :-(
Э! Если бряка ставитсо на вызов CreateFile - тогда да, запуск второго процесса проскочит. А если бряк ставить на начало CreateFile - это уже совсем другое. Правда, есть способ и от такого уйти :-) Да и не CreateFile единым...
А еще FileMon хорошо юзать - будет видно что и куда дропается.
Добрые вы! Такую заразу в открытый доступ класть :-D
А вы точно уверены, что драйвер-таки не загрузился? Судя по тому коду, что вы привели, драйвер регистрируется сервисом в системе. Но не факт, что троян запустит этот сервис сразу после регистрации ;-) Надо, все-таки, создавать тут отдельный блог по Reverse Engeneering, хотя я тоже начинающий :-)
12 ...
182

Information

Rating
2,449-th
Location
Санкт-Петербург и область, Россия
Date of birth
Registered
Activity