Комментарии 35
У меня касперский даже архив скачать не дал.
P.S. Поставьте жене нормальный браузер.
P.S. Поставьте жене нормальный браузер.
Надо будет поставить. До этого проблем не было. Антивирус: Microsoft Security Essentials. Кстати, это первый инцидент с антивирусом от МС. И он вирус до сих пор не определяет.
Кстати, кто-нибудь может объяснить, как касперский смог проверить запароленный архив?
Давайте про каждый %винлокер% писать топики, ага?
У меня Kaspersky не пустил вирус даже, да и IE8 юзать — изврат, скачайте ей Firefox/Google Chrome, и поставьте Kaspersky
У меня Kaspersky не пустил вирус даже, да и IE8 юзать — изврат, скачайте ей Firefox/Google Chrome, и поставьте Kaspersky
Ну ладно, может кого-то предупредил. Заодно многие будут знать, что антивирь от МС не поспевает немного за свежаком. Да и в персональный блог засунул. Видят не все. На главную попадать естесственно не собираюсь. А больше всего мне хочется, чтобы кто-нибуль разобрался с вирусом. Многие всегда изъявляли желание получить сам вирус и исследовать его.
К тому же, я даже написал, что он делает. Так что, если у кого словится. то уже известно, что удалять и править.
К тому же, я даже написал, что он делает. Так что, если у кого словится. то уже известно, что удалять и править.
Я не думаю, что кто-то на хабре будет ставить антивирус от МС, обычно ставят kaspersky, и вообще, во избежание бед, поставьте жене linux, к примеру, Ubuntu, ей будет не сложно перейти после винды, да и всякие винлокеры не будут мешать ;)
Я вижу вы просто авторитет, говорите за всех. А касперский у самого не палененький случайно?
Я не говорю за всех, я высказываю свое мнение.
Нет, не палененький 30-дневный триал.
Нет, не палененький 30-дневный триал.
Что после 30ти дней будете делать? Security Essentials бесплатен, Avast Home, Avira Home бесплатны. Но многие продолжают настаивать на касперском — вот дела. И да нет никакой панацеи, и нет лучшего, все обновляют базы по мере возможностей икричать, что кто-то лидер в этом деле — глупо
Я считаю, что есть несколько хороших антивирусов, один из них — касперский. поверьте, ради безопасности мне не жалко купить лицензию. Да и виндой я пользуюсь редко, обычно на линуксе, там антивирус не нужен ;)
Каждые 30 дней, 30-дневный триал да)
как раз пользователям хабры антивирус от мс наиболее показан, т.к. аудитория в основном тёртая, левые ссылки не щёлкает, список процессов в диспетчере задач наизусть помнит и в антивире по большому счету не нуждается, а антивирус от мс в силу своей ненавязчивости и нетребовательности к ресурсам в данном случае оптимален. И, кстати, локеры умеют блочить ФФ, лично видел. И вот еще вопрос, вы линукс кроме убунты какой-нибудь знаете?
Я лучше вирусов побольше накачаю, чем касперского поставлю.
www.virustotal.com
Поиск по хэшу: 714a522266d3c9b8acd134ccf4b5ec57
Даёт 5 из 43.
Причём DrWeb и Касперский видят этот блокировщик.
Поиск по хэшу: 714a522266d3c9b8acd134ccf4b5ec57
Даёт 5 из 43.
Причём DrWeb и Касперский видят этот блокировщик.
А давайте все отправим по одной смке на указанный номер? тупо через сайт билайна ;)
Жду тему «Предлагается для вскрытия автор свеженького винлокера».
Упакован UPX'ом. Написан на VB. Автозапуск через ключ Winlogon\Shell при помощи батника (и батник и троян лежат в %windir%).
Кстати, есть дамп памяти. Могу тоже залить, если кому-то нужно.
Попробуйте поставить www.mlin.net/StartupMonitor.shtml и домочадцев научите жать «нет»
Маленькая програмка, которая контролирует добавление файлов в автозапуск, способна отсеять 98% блокеров.
Маленькая програмка, которая контролирует добавление файлов в автозапуск, способна отсеять 98% блокеров.
А моя жена пользуется linux'ом, чему я несказанно рад. Linlocker'ов пока в природе не существует, к счастью.
Когда поставите Касперского 2011 — выполните «поиск уязвимостей» и закройте все дырки.
Что бы хотелось сейчас: т.к. я не умею делать вскрытие файлов, прошу кого-нибудь исследовать винлокер, а после написать интересный топик на хабре :)
Упакован UPX. Написан на Visual Basic 6, поэтому требует наличия библиотеки MSVBVM60.DLL. Анализ ресурсов файла создаёт впечатление, что происхождение вируса — Тайвань, однако это может быть недостоверно.
Распакованный файл на момент написания детектился эвристически, имеет сигнатурный детект продуктами Касперского как Trojan-Ransom.Win32.PornoCodec.bl.
Предсталяется как архиватор WinRar:
publisher....: Alexander Roshal
copyright....: Copyright © Alexander Roshal 1993-2010
product......: WinRAR
description..: WinRAR archiver
original name: WinRAR.exe
internal name: WinRAR
file version.: 3.93.0
Цифровой подписи нет.
Всё остальное уже рассказал автор: после запуска создаёт копию себя в %Windir%\nvcvc32.exe, создаёт %Windir%\RUNDLL.BAT. Модифицирует следующие ветки реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
подменяя путь к explorer.exe на батник. Кстати, добавление выполняется через комнаду
reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v Shell /t REG_SZ /d EXPLORER.EXE %WINDIR%\RUNDLL.BAT /f
Также запускается через winlogon:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
o Shell = EXPLORER.EXE %WINDIR%\RUNDLL.BAT
Cоздаёт ещё такой параметр:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
o wininet = ".exe"
Никакой сетевой активности не проявляет.
По винлокерам писать отдельный топ имхо нет смысла — там мало чего интересного: запустить прогу, прописать её в куче автозагрузок, самой прогой заблочить возможность работы в системе.
Ок, спасибо :)
Могу поделиться, как я от него избавился даже не перезагружая комп. Запустил больше сотни диспетчеров задач (по одному вирус их убивал). Система стала подвисать, через меню диспетчера (Alt + стрелки) выбрал показать окна каскадом. Т.о. получил доступ к десктопу. Ну а дальше дело техники и спец софта.
Могу поделиться, как я от него избавился даже не перезагружая комп. Запустил больше сотни диспетчеров задач (по одному вирус их убивал). Система стала подвисать, через меню диспетчера (Alt + стрелки) выбрал показать окна каскадом. Т.о. получил доступ к десктопу. Ну а дальше дело техники и спец софта.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Предлагается для вскрытия свеженький винлокер