Комментарии 22
Тоже была интересная фигня, что даже линукс поперхнулся флешкой. Вирус, похоже, использовал ограничения FAT32 (или вообще ФС, непонятно, являются ли "." и ".." файлами на ФС или просто мусор в выхлопе):
Так и не смог пофиксить ФС вручную, пришлось форматнуть. Бинарник не смог скопировать
root@odd:/media# dosfsck /dev/sdb1 -l|grep cave
Checking file /cave. (CAVE~1)
Checking file /cave./.
Checking file /cave./..
Checking file /cave./VKB3-RAR.EXEТак и не смог пофиксить ФС вручную, пришлось форматнуть. Бинарник не смог скопировать
Жаль. Интересно было бы поковырять…
В следующий раз хоть образ с флешки снимите!
В следующий раз хоть образ с флешки снимите!
Вот тут кое-какая инфа есть, разбирался: www.linux.org.ru/forum/general/8183163
Есть вероятность, что по этим данным вирь можно и определить
Есть вероятность, что по этим данным вирь можно и определить
"." и ".." является обозначанием папок: "." — текущая и ".." — родительская. К примеру команда «cd ..» сменит текущий каталог на родительский.
Возможно я не понял комментарий. Но я так же встречал вирус на флешке, который действительно создает папку с именем "..", которую не было видно в проводнике, но через адресную строку (например, F:\..\) можно было зайти и найти всё содержимое флешки.
Есть ещё UNC-пути. Типа такого: \\C:\..\file
Стало интересно и полез посмотреть, что за зверь UNC-пути. Википедия мне сказала вот что:
и
Я попробовал в проводнике перейти по адресу: \\C:\ — ошибка, что не удается найти путь. Через браузер отобразилось. По совету википедии попробовал перейти по адресу \\?\C:\ и опять браузер молодец, а Проводник не молодец.
Где использовать тогда UNC пути можно? Подскажите, уж больно интересно!
Синтаксис UNC-пути к каталогу или файлу следующий: \\Сервер\СетевойКаталог[\ОтносительныйПуть], где Сервер — сетевое имя компьютера, СетевойКаталог — это сетевое имя общего каталога на этом компьютере, а ОтносительныйПуть — путь к каталогу или файлу из общего каталога.
и
Некоторые API-вызовы в Microsoft Windows поддерживают использование так называемых Long UNC или UNCW: \\?\UNC\Сервер\СетевойКаталог\ОтносительныйПуть] или \\?\Диск:[\Каталог][\Файл], где Диск — буква диска, Каталог — имя каталога на диске, Файл — имя файла в каталоге или на диске
Я попробовал в проводнике перейти по адресу: \\C:\ — ошибка, что не удается найти путь. Через браузер отобразилось. По совету википедии попробовал перейти по адресу \\?\C:\ и опять браузер молодец, а Проводник не молодец.
Где использовать тогда UNC пути можно? Подскажите, уж больно интересно!
На Win7 проводник прекрасно понимает "\\?\C:\" В XP — нет. Но всегда ведь можно использовать сторонние файловые менеджеры или WinAPI
Я когда-то в cmd использовал.
Рекомендую почитать статью.
Только если решите экспериментировать, то делайте это на флешке, которую не жалко будет потом отформатировать.
Рекомендую почитать статью.
Только если решите экспериментировать, то делайте это на флешке, которую не жалко будет потом отформатировать.
А, ну да. Значит дело в имени файла и строгих на него ограничениях в FAT32: не получается создать файл с точкой на конце
Ну на самом деле эти ограничения обходятся, что может привести к неожиданным последствиям.
Опять же рекомендую почитать статью.
Опять же рекомендую почитать статью.
- Был осуществлен рекурсивный обход каталогов с помощью FindFirstFile/FindNextFile;
- Если текущий файл являлся папкой, то атрибуты сбрасывались на FILE_ATTRIBUTE_NORMAL;
страсть какая. я такие флешки «лечу» файлом раскукожить.bat с содержимым
attrib -s -h -r -a /s /d
Total Commander тоже справляется без проблем
Кстати говоря, при записи соответствующих доменов в файл hosts, бот не делает попытку отстука.
Я не уверен в этом высказывании. При подключении, до обращения к DNS, трой получает IP-адрес из hosts, пытается подключиться к 127.0.0.1, а т.к. сервера нет, то соответственно соединение не открывается и в лог трафика ничего не попадает.
я устанавливал денвер на виртуалку, чтобы попытаться узнать, какой именно трафик передавался бы на сайты. Но запросы загадочным образом прекращались. Причем, если бы сопоставление IP-Домен проводилось бы через сокеты или другие API, то DNS-запросы снифер все равно бы ловил. Исходя из этого и сделал такой вывод.
Все на самом деле гораздо проще:
1.Очищаем флешку.
2.Создаем в корне папку «Данные».
3.Отменяем для этой папки наследование прав доступа, устанавливаем полный доступ на чтение/запись.
4.Самой флешке устанавливаем запрет на запись.
5.Файлы кладем в созданную папку «Данные».
В результате, никакая гадость не может создавать в корне разные RECYCLED и autorun.inf.
1.Очищаем флешку.
2.Создаем в корне папку «Данные».
3.Отменяем для этой папки наследование прав доступа, устанавливаем полный доступ на чтение/запись.
4.Самой флешке устанавливаем запрет на запись.
5.Файлы кладем в созданную папку «Данные».
В результате, никакая гадость не может создавать в корне разные RECYCLED и autorun.inf.
Это справедливо для NTFS? Или для FAT32 тоже?
Кстати от копирования непосредственно файла autorun.inf помогает создание одноименной папки с правами «Только чтение»
Кстати от копирования непосредственно файла autorun.inf помогает создание одноименной папки с правами «Только чтение»
Не уверен.
Некоторые руткиты вообще с системными правами работают. Им плевать на эти ограничения.
Хотя от простых вирусов (коих 99%) спасёт!
Некоторые руткиты вообще с системными правами работают. Им плевать на эти ограничения.
Хотя от простых вирусов (коих 99%) спасёт!
Нарыл вот еще что:
Вакцина для флешки
Вот там реально полезные вещи есть. Вирусом они легко не обходятся.
Вам ведь главное не столько не заразить флешку где-то, а не заразить свой комп, когда её из этого где-то приносите.
Вакцина для флешки
Вот там реально полезные вещи есть. Вирусом они легко не обходятся.
Вам ведь главное не столько не заразить флешку где-то, а не заразить свой комп, когда её из этого где-то приносите.
Для меня главным было изжить заразу с машин. А замусоренные флешки — неприятное следствие.
Что касается статьи в ксакепе, то ведь можно и сбросить права обратно. Червь может кстати и на себя права применять, чтобы его удалить не смогли =)
И хоть статья полезная, все равно сначало таки надо рубить под корень, а потом ликвидировать последствия.
Что касается статьи в ксакепе, то ведь можно и сбросить права обратно. Червь может кстати и на себя права применять, чтобы его удалить не смогли =)
И хоть статья полезная, все равно сначало таки надо рубить под корень, а потом ликвидировать последствия.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Первый опыт в исследовании вредоносного ПО под Microsoft Windows