@DVamp1r331 окт 2012 в 16:02

Первый опыт в исследовании вредоносного ПО под Microsoft Windows

4 мин

9.2K

Антивирусная защита *

Из песочницы

+18

Комментарии 22

@tyderh 31 окт 2012 в 16:56

Тоже была интересная фигня, что даже линукс поперхнулся флешкой. Вирус, похоже, использовал ограничения FAT32 (или вообще ФС, непонятно, являются ли "." и ".." файлами на ФС или просто мусор в выхлопе):

root@odd:/media# dosfsck /dev/sdb1 -l|grep cave
Checking file /cave. (CAVE~1)
Checking file /cave./.
Checking file /cave./..
Checking file /cave./VKB3-RAR.EXE

Так и не смог пофиксить ФС вручную, пришлось форматнуть. Бинарник не смог скопировать

@icoz 31 окт 2012 в 19:57

Жаль. Интересно было бы поковырять…
В следующий раз хоть образ с флешки снимите!

@tyderh 31 окт 2012 в 20:02

Вот тут кое-какая инфа есть, разбирался: www.linux.org.ru/forum/general/8183163

Есть вероятность, что по этим данным вирь можно и определить

@maksimrussia 31 окт 2012 в 20:01

"." и ".." является обозначанием папок: "." — текущая и ".." — родительская. К примеру команда «cd ..» сменит текущий каталог на родительский.

@maksimrussia 31 окт 2012 в 20:04

Возможно я не понял комментарий. Но я так же встречал вирус на флешке, который действительно создает папку с именем "..", которую не было видно в проводнике, но через адресную строку (например, F:\..\) можно было зайти и найти всё содержимое флешки.

@icoz 31 окт 2012 в 20:10

Есть ещё UNC-пути. Типа такого: \\C:\..\file

@maksimrussia 31 окт 2012 в 21:25

Стало интересно и полез посмотреть, что за зверь UNC-пути. Википедия мне сказала вот что:

Синтаксис UNC-пути к каталогу или файлу следующий: \\Сервер\СетевойКаталог[\ОтносительныйПуть], где Сервер — сетевое имя компьютера, СетевойКаталог — это сетевое имя общего каталога на этом компьютере, а ОтносительныйПуть — путь к каталогу или файлу из общего каталога.

Некоторые API-вызовы в Microsoft Windows поддерживают использование так называемых Long UNC или UNCW: \\?\UNC\Сервер\СетевойКаталог\ОтносительныйПуть] или \\?\Диск:[\Каталог][\Файл], где Диск — буква диска, Каталог — имя каталога на диске, Файл — имя файла в каталоге или на диске

Я попробовал в проводнике перейти по адресу: \\C:\ — ошибка, что не удается найти путь. Через браузер отобразилось. По совету википедии попробовал перейти по адресу \\?\C:\ и опять браузер молодец, а Проводник не молодец.
Где использовать тогда UNC пути можно? Подскажите, уж больно интересно!

@DVamp1r3 1 ноя 2012 в 08:58

На Win7 проводник прекрасно понимает "\\?\C:\" В XP — нет. Но всегда ведь можно использовать сторонние файловые менеджеры или WinAPI

@icoz 1 ноя 2012 в 19:16

Я когда-то в cmd использовал.
Рекомендую почитать статью.
Только если решите экспериментировать, то делайте это на флешке, которую не жалко будет потом отформатировать.

@tyderh 31 окт 2012 в 20:07

А, ну да. Значит дело в имени файла и строгих на него ограничениях в FAT32: не получается создать файл с точкой на конце

@icoz 1 ноя 2012 в 19:20

Ну на самом деле эти ограничения обходятся, что может привести к неожиданным последствиям.
Опять же рекомендую почитать статью.

@Alss 31 окт 2012 в 21:02

Был осуществлен рекурсивный обход каталогов с помощью FindFirstFile/FindNextFile;

Если текущий файл являлся папкой, то атрибуты сбрасывались на FILE_ATTRIBUTE_NORMAL;

страсть какая. я такие флешки «лечу» файлом раскукожить.bat с содержимым

attrib -s -h -r -a /s /d

Total Commander тоже справляется без проблем

@DVamp1r3 1 ноя 2012 в 09:10

Конкретно в этом случае наиболее правильным решением было бы просто написать скрипт к AVZ, т.к. он используется для снятия хуков. Но хотелось повыделываться, потому как идея написания своего сканера была давно, а тут появился предлог для начинаний.
За команду благодарю.

@Veliant 1 ноя 2012 в 04:22

Кстати говоря, при записи соответствующих доменов в файл hosts, бот не делает попытку отстука.

Я не уверен в этом высказывании. При подключении, до обращения к DNS, трой получает IP-адрес из hosts, пытается подключиться к 127.0.0.1, а т.к. сервера нет, то соответственно соединение не открывается и в лог трафика ничего не попадает.

@DVamp1r3 1 ноя 2012 в 08:50

я устанавливал денвер на виртуалку, чтобы попытаться узнать, какой именно трафик передавался бы на сайты. Но запросы загадочным образом прекращались. Причем, если бы сопоставление IP-Домен проводилось бы через сокеты или другие API, то DNS-запросы снифер все равно бы ловил. Исходя из этого и сделал такой вывод.

@Delphist2008 1 ноя 2012 в 06:46

Все на самом деле гораздо проще:
1.Очищаем флешку.
2.Создаем в корне папку «Данные».
3.Отменяем для этой папки наследование прав доступа, устанавливаем полный доступ на чтение/запись.
4.Самой флешке устанавливаем запрет на запись.
5.Файлы кладем в созданную папку «Данные».

В результате, никакая гадость не может создавать в корне разные RECYCLED и autorun.inf.

@DVamp1r3 1 ноя 2012 в 08:53

Это справедливо для NTFS? Или для FAT32 тоже?
Кстати от копирования непосредственно файла autorun.inf помогает создание одноименной папки с правами «Только чтение»

@icoz 1 ноя 2012 в 19:22

Только для NTFS.

@icoz 1 ноя 2012 в 19:24

Не уверен.
Некоторые руткиты вообще с системными правами работают. Им плевать на эти ограничения.
Хотя от простых вирусов (коих 99%) спасёт!

@icoz 1 ноя 2012 в 19:34

Нарыл вот еще что:
Вакцина для флешки

Вот там реально полезные вещи есть. Вирусом они легко не обходятся.
Вам ведь главное не столько не заразить флешку где-то, а не заразить свой комп, когда её из этого где-то приносите.

@DVamp1r3 1 ноя 2012 в 20:46

Для меня главным было изжить заразу с машин. А замусоренные флешки — неприятное следствие.
Что касается статьи в ксакепе, то ведь можно и сбросить права обратно. Червь может кстати и на себя права применять, чтобы его удалить не смогли =)
И хоть статья полезная, все равно сначало таки надо рубить под корень, а потом ликвидировать последствия.

@Mr_Floppy 1 ноя 2012 в 23:45

Зарегистрируйтесь на Хабре, чтобы оставить комментарий