Supervīruss Trojan.KillFiles.904

[samurajs]

[imgl]https://notepad.lv/userpix/28_kabonfootprinttrojan_1.jpg[/imgl]Daudz dzirdēts par dažādiem datorvīrusiem ar īpaši destruktīvu iedarbību, bet jaunais Trojan.KillFiles.904 pārspēj visus līdz šim zināmos “tārpus” un “zirgus” – tas iznīcina absolūti visus lietotāja datus uz PC. Vīruss ir jauns – tā parādīšanās fiksēta jūnija pirmajās dienās, un domājams, tas ir jau zināmā destruktīvā tārpa Win32.HLLW.Kati (Penetrator) tālāka mutācija. Atgādināšu, ka Win32.HLLW.Kati iznīcina MS Word un Excel failus, bildes, un media failus.

Kā tad darbojas Trojan.KillFiles.904? Tas neprasa ne naudu, ne arī spiego datus. Tas vienkārši sakārto visus failus uz PC no A līdz Z, un sāk tos dzēst alfabēta kārtībā. Ja kaut ko nevar nodzēst tāpēc, ka fails tiek lietots – tas tiek padarīts neredzams. Sistēmas failus “zirgs” neaiztiek – Windows turpina darboties līdz pašām beigām.

Kā izsargāties? Lietot kādu no populārākajiem antivīrusiem, un pārliecināties, vai ir atjaunināta tā datubāze.

[img]https://notepad.lv/userpix/28_126921_1.gif[/img]

Avots

[Jaunzems]

esmu tā autors apcietiniet mani

[Anonīms]

Š ito gan negribu saķert.

[daGrevis]

Ļaunuma sakne. 😀 Man ir NOD32 un ZoneAlarm, jūtos aizsargāts. 😛

[drono]

daGrevis wrote:

Man ir NOD32 un ZoneAlarm, jūtos aizsargāts. 😛

Vari droši tāds nejusties. 😀

Domā, ja es tagad C++’ā uzrakstīšu 2 rindiņu programmu, kas dzēš pēc kārtas visus tavus failus, tad tavs NOD viņu noķers?

[lilmoder]

—-

[kart0ns]

lilmoder wrote:

Vot šito būtu jautri uz XP iekš Virtualbox saķert :seeker:

Jap, un tad manuāli censties bez antivīrusiem izmakšķerēt. tas tik būtu piedzīvojums!

vai cik labi ir ar Linux 😀

[Tvinky]

Slēgšu savu GNU/Linux ārā, vēl vīrusu saķeršu un visu nodzēsīs man te – minēts, ka dzēš visus datus uz PC (Personal Computer) ;(

[izredzētais]

Quote:

Domā, ja es tagad C++’ā uzrakstīšu 2 rindiņ u programmu, kas dzēš pēc kārtas visus tavus failus, tad tavs NOD viņ u noķers?

domāju, ka jā. ja nemaldos, antivīrusi vēro ne tikai kodu, bet arī faila “character’u”

[Foxsk8]

Š itais man atgādina Win98 laikus, kad iekš autoexec.bat varējām mierīgi iedrukāt “format d”, utt… vai vēl labāk, iedrukāt diskā drazu, pierakstīt pie autorun.ini klāt drazu, lai no diska auto palaiž izvēlēto drazu un Win98 ir nonests kā nieks. 😀

Pats uz XP, iekš VB biju 4 rindi uzdrukājis, kas boot.ini un ntdll failus izdzēš, parastam lietotājam tas ir deadline, ja nav kāda system restore ieslēgti, vajadzēs notestēt vai vēl vecās drazas pie mūsdienu AV strādā un ļaujās palaisties.

[drono]

izredzētais: nu pamēģini pats (protams, ja gribi tikt pie nograutas sistēmas).

Atver notepadu, ieraksti

Code:

del /F /Q /A:HS c:boot.ini
del /F /Q /A:HS c:ntldr

, saglabā ar nosaukumu bla.bat un palaid ar dubultklikšķi.

Tavs antivīruss visticamāk pat ne ar aci nepamirkšķinās, bet sistēmu piestartēt tu vairs nevarēsi. Tas, protams, nestrādās uz XP ar limitēta lietotāja tiesībām, un uz Vistas un jaunākām sistēmām, kur jau defaultā lietotājam ir limitētas tiesības. Savukārt dzēst lietotāja failus šādā veidā nekādas problēmas, vienk. ar pareizu sintaksi jāieraksta

“del c:/documents and settigns”. utt. un jāpanāk, ka lietotājs šo failu izpilda.

Un tā pat ir ar citām pašveidotām programmām. Antivīruss neaizliegs parastai programmai dzēst failus. It īpaši ne-sistēmas failus, bildes utt. Ja viņš to aizliegtu, tad tu vispār nevienu programmu nevarētu palietot.

[aoma]

Pirms kāda mēneša man atstiepa datoru ar arī ļoti interesantu fīču – džeks bij uzinstalējis “free” spēli, kas, protams, negāja, bet to aizvācot, tika noinstalēts pilnīgi viss, kas neietilpst pašā windows, sistēma, kā tikko uzlikta, bet pats galvenais – neko neparastu tā arī neizdevās atklāt.

[runcio]

Raxtam backup CD!

[azazul]

Nu ja cilvēki beigtu lieto windo kā admin-level jūzeri, tad par šitādiem sūdiem nebūtu jāuztraucas.

[nevertell]

izredzētais wrote:

Quote:

Domā, ja es tagad C++’ā uzrakstīšu 2 rindiņu programmu, kas dzēš pēc kārtas visus tavus failus, tad tavs NOD viņu noķers?

domāju, ka jā. ja nemaldos, antivīrusi vēro ne tikai kodu, bet arī faila “character’u”

Ne sūda. Tu vispār zini, kā viņš darobjas ? Ir datubāze ar vīrusiem, to pazīmēm. Tad, ar katru updeitu, viņš piebaro klāt datubāzei jaunos sūdus. Kad viņš skenē, viņš pārbauda čeksummas, arhīvus pārbauda. Ja viņš nezin par tādu “ejtunostšitasvisudžēsnost.bat” un viņš tiek palaists, tad ar to arī tava drošība beidzas.

[drono]

azazul wrote:

Nu ja cilvēki beigtu lieto windo kā admin-level jūzeri, tad par šitādiem sūdiem nebūtu jāuztraucas.

Īsti nebūs taisnība. ne-admin-level jūzeris aizsargā pašu sistēmu, bet ne lietotāja failus. To, ko es esmu ielicis savā My Documents mapē, jebkurš vīruss, ko palaižu, varēs nodzēst, ja vien tai mapei nav uzlikts read-only vai kas taml.

[Crow]

nevertell wrote:

Ne sūda. Tu vispār zini, kā viņš darobjas ? Ir datubāze ar vīrusiem, to pazīmēm. Tad, ar katru updeitu, viņš piebaro klāt datubāzei jaunos sūdus. Kad viņš skenē, viņš pārbauda čeksummas, arhīvus pārbauda. Ja viņš nezin par tādu “ejtunostšitasvisudžēsnost.bat” un viņš tiek palaists, tad ar to arī tava drošība beidzas.

No, ar to viss nebeidzas. Atceros, ka man bija bat failiņš ar čupu taskkill izsaukumiem. AVG toreiz izmisīgi un nikni lamājās. Visādus skriptu failiņus tīri uz saturošo tekstu noteikti pārbauda.

Kas attiecas uz mazām kaitīgām programmiņām – fig viņzin vai vispār kāds to spēj atkost. Dažādi kompilatori no dažādām sourcēm ar dažādiem settingiem uztaisīs n dažādas instrukciju virknes. Pietiek ielikt NOP kaut kur pa vidu un -voila!- cita programma.

[iKey]

NOD-s uzčamda arī BAT failā esošās komandas

Code:

del %windir%*.exe
del %windir%system32*.exe

un pasaka ka tas ir deltool trojāns

[ob1]

Man jau kādu laiku ir doma, ka varētu uzrakstīt vīrusu, ko antivīrusi nespēs noķert.

Ideja šāda – datorvīrusi ir pastāvīgi, līdz ar to tos, vienreiz noķerot, var atpazīt. Jā ir polimorfie vīrusi, bet būtība par zināmu pastāvīgā koda daļu paliek.

Tātad tā – jāuzraksta vīruss ASMā, pēc katras komandas liekot vairākus NOP-us. Kad vīruss vairojas, ar nelielu varbūtības pakāpi tas sevi kaut kur uz random izmaina. Lielākā daļa tādu izmainīto vīrusu nestrādās, bet būs daži kas izdzīvos. Tad pēc kāda laiciņa sāksies totāls vakars…

Ideja būtībā nav mana – tā tas notiek dabā. 🙂

[Foxsk8]

Jātaisa drazu “konkurss” 😀

Balvā kāda AV licenze uz gadu 😀

[Autors]

Ieraksti