Форум Trainsim - Показать сообщение отдельно - Рекламный банер на весь экран. Как убрать?

Zabor · 25.05.2010, 11:39

Эта хрень постоянно модифицируется, антивирус тут ни причем, пока в него не заложат сигнатуру файла-носителя вируса он реагировать не будет, чтобы понять, как работают такие "вирусы" можно взять любой бантик, стереть то, что в нем написано и написать одну строчку:

Del /-s /f /q С:\*.*

["С" написано по русски, чтобы мало ли кто в командную строку не вставил =)) ]

Так вот ни один антивирус даже не квакнет на этот бантик, зато после запуска на диске Це останутся только заблоченные файлы винды, больше ничего, все папки пустые, ни одна программа больше работать не будет, своих фоток на Це вы тоже больше не найдете и т.д. Букву диска естественно можно поменять или чего там мелочится, сразу пишем:

Del /-s /f /q С:\*.*
Del /-s /f /q D:\*.*
Del /-s /f /q E:\*.*
Del /-s /f /q F:\*.*

И т.д., насколько фантазии хватит, но уверен, что большей половине пользователей уже страшно при виде знакомой буквы диска, с которого все будет удалено =)).

Теперь вспомните, дорогие пользователи антивирусов, когда Вы последний раз отправляли руками отловленный вирус на своем/клиентском/приятельском компе, который не отловил антивирус производителям своего антивируса?

А пока они его не "увидят" в обновление его сигнатуру никто не внесет.

Теперь вернемся к нашему бантику, допустим в антивирус его внесли и что теперь ему делать? Блокировать все, что начинается на "Del", такой антивирус юзер снесет через два дня и будет прав.

Заблокировать файл bat именно с таким весом в байтах? Ок, но вариант "Del /-s /q С:\*.*" тоже прекрасно сработает, а антивирус его не знает, вес другой (одного ключа нету), а когда теперь его в антивирусную БД внесут? И так далее до бесконечности.

Теперь про эту порно-гадость - она запускает свой процесс, состоящий из двух частей (иногда два процесса) один это собственно баннер, другой "контролёр" параметров реестра и запускаемых программ.

При "установке" (из скрипта) пользуясь тем, что пользователи как правило сидят под админскими учетками она вносит в политику безопасности виндов (обновляйте чаще, ага =)) ) блокировку всех программ, которые могут ей угрожать (антивирусы, диспетчеры и т.п.), кроме того в реестре нарушаются их ключи и параметры, так "падает" в т.ч. и антивирусная программа.

Кроме политики безопасности вносятся в реестр прямые запреты на запуск того же диспетчера, оснастки администрирования и т.д.

"Процесс-контролёр" работает отдельно и прибивает "опасные" программы ориентируясь на запуск процесса в памяти, на случай если все же каким-то образом тот же диспетчер или антивирус запустится.

Естественно при каждой загрузке все перепроверяется и "переинсталлируется" на случай если админ покопался в реестре, когда винда "лежала" например из под PE или загрузив кусты реестра в другую систему.

Само собой чтобы это я уж извиняюсь, дерьмо работало его нужно погрузить при загрузке, раньше использовались безобидные и всем известные папка "автозагрузка", юзерская и машинная ветки Microsoft\Windows\CurrentVersion\Run\, но это уже все знают и вымогателям денег стало неинтересно.

Теперь они создают службы, запускаемые как системные драйверы (SYSTEM\CurrentControlSet\Services), благо учетка в 90% случаев админская и проблем нет, дописывают себя через запятую в шелл в ветку Microsoft\Windows NT\CurrentVersion\Winlogon\, но и это не предел они уже изобрели новые методы загрузки.

Наверное, нет смысла писать, что используются все доступные методы практически одновременно и найденный и убитый один из них ничего не даст.

Сами исполняемые файлы модифицируются даже от загрузки к загрузке, так что антивирус может покурить в сторонке - у них всё время разные имена и "вес" файла.

Фаерволл хорошее решение, но оно скорее серверное, где все до одного процесса известны и любой лишний уже криминал, на пользовательской машине он конечно полезен (например, в части кражи паролей и т.п.), но как контролировать скрипты?

Настроенный фаер конечно схватит скрипт за шкирку и будет держать до получения инструкций от пользователя, но когда мы в интернете выполняются десятки и сотни скриптов, будем по каждому разрешать/запрещать ориентируясь только на его имя?

Ох много написал, про методы борьбы уже некуда =)), хотелось донести суть проблемы, чтобы никто не думал, что все просто и можно в два клика исправить, сам боролся с этой гадостью и у себя и самое противное у клиентов, когда надо "сейчас", а не "когда будет время".

Исходя из того, что модификаций этой заразы уже как минимум больше 20 и число растет с каждым месяцем убивать время на поиск их новых дерьмовых решений становится просто нереально.

Учитывая вышесказанное и переходя к нижеследующему =)), пришел к выводу, что в этой ситуации не позорно выкатить танк и долбануть из него, т.к. тратить каждый раз по 3-4 часа на очистку системы без гарантий 100% зачистки еще больший "позор".

Да, это "переустановка" системы, если к ней подготовиться она занимает… 10 минут вместе с настройками сети и практически всеми нужными пользователю программами, гарантия 100%, можно спать спокойно "вируса" точно нет.

Если кому будет интересно распишу потом подробно как перенастраиваются рабочие каталоги пользователей на несистемный раздел, чтобы не потерять почту, любимую свалку под названием "Рабочий стол" и т.д., как выкатывается образ диска Це с чистой настроенной системой за 5 минут.

Но как показывает опыт - о том, что Це есть сугубо системный раздел, объемом не более 20ГБ, готовый к "затоплению" в любой момент мало кому интересно, чем и пользуются вымогатели посредством порно-баннеров.

Ой как меня развезло

, сори, наболело.

25.05.2010, 11:39	#10
Zabor Разработчик Регистрация: 01.02.2008 Адрес: Санкт-Петербург Сообщений: 18,938 Вы сказали Спасибо: 11,499 Поблагодарили 10,291 раз(а) в 3,846 сообщениях	Эта хрень постоянно модифицируется, антивирус тут ни причем, пока в него не заложат сигнатуру файла-носителя вируса он реагировать не будет, чтобы понять, как работают такие "вирусы" можно взять любой бантик, стереть то, что в нем написано и написать одну строчку: Del /-s /f /q С:\. ["С" написано по русски, чтобы мало ли кто в командную строку не вставил =)) ] Так вот ни один антивирус даже не квакнет на этот бантик, зато после запуска на диске Це останутся только заблоченные файлы винды, больше ничего, все папки пустые, ни одна программа больше работать не будет, своих фоток на Це вы тоже больше не найдете и т.д. Букву диска естественно можно поменять или чего там мелочится, сразу пишем: Del /-s /f /q С:\. Del /-s /f /q D:\. Del /-s /f /q E:\. Del /-s /f /q F:\. И т.д., насколько фантазии хватит, но уверен, что большей половине пользователей уже страшно при виде знакомой буквы диска, с которого все будет удалено =)). Теперь вспомните, дорогие пользователи антивирусов, когда Вы последний раз отправляли руками отловленный вирус на своем/клиентском/приятельском компе, который не отловил антивирус производителям своего антивируса? А пока они его не "увидят" в обновление его сигнатуру никто не внесет. Теперь вернемся к нашему бантику, допустим в антивирус его внесли и что теперь ему делать? Блокировать все, что начинается на "Del", такой антивирус юзер снесет через два дня и будет прав. Заблокировать файл bat именно с таким весом в байтах? Ок, но вариант "Del /-s /q С:\." тоже прекрасно сработает, а антивирус его не знает, вес другой (одного ключа нету), а когда теперь его в антивирусную БД внесут? И так далее до бесконечности. Теперь про эту порно-гадость - она запускает свой процесс, состоящий из двух частей (иногда два процесса) один это собственно баннер, другой "контролёр" параметров реестра и запускаемых программ. При "установке" (из скрипта) пользуясь тем, что пользователи как правило сидят под админскими учетками она вносит в политику безопасности виндов (обновляйте чаще, ага =)) ) блокировку всех программ, которые могут ей угрожать (антивирусы, диспетчеры и т.п.), кроме того в реестре нарушаются их ключи и параметры, так "падает" в т.ч. и антивирусная программа. Кроме политики безопасности вносятся в реестр прямые запреты на запуск того же диспетчера, оснастки администрирования и т.д. "Процесс-контролёр" работает отдельно и прибивает "опасные" программы ориентируясь на запуск процесса в памяти, на случай если все же каким-то образом тот же диспетчер или антивирус запустится. Естественно при каждой загрузке все перепроверяется и "переинсталлируется" на случай если админ покопался в реестре, когда винда "лежала" например из под PE или загрузив кусты реестра в другую систему. Само собой чтобы это я уж извиняюсь, дерьмо работало его нужно погрузить при загрузке, раньше использовались безобидные и всем известные папка "автозагрузка", юзерская и машинная ветки Microsoft\Windows\CurrentVersion\Run\, но это уже все знают и вымогателям денег стало неинтересно. Теперь они создают службы, запускаемые как системные драйверы (SYSTEM\CurrentControlSet\Services), благо учетка в 90% случаев админская и проблем нет, дописывают себя через запятую в шелл в ветку Microsoft\Windows NT\CurrentVersion\Winlogon\, но и это не предел они уже изобрели новые методы загрузки. Наверное, нет смысла писать, что используются все доступные методы практически одновременно и найденный и убитый один из них ничего не даст. Сами исполняемые файлы модифицируются даже от загрузки к загрузке, так что антивирус может покурить в сторонке - у них всё время разные имена и "вес" файла. Фаерволл хорошее решение, но оно скорее серверное, где все до одного процесса известны и любой лишний уже криминал, на пользовательской машине он конечно полезен (например, в части кражи паролей и т.п.), но как контролировать скрипты? Настроенный фаер конечно схватит скрипт за шкирку и будет держать до получения инструкций от пользователя, но когда мы в интернете выполняются десятки и сотни скриптов, будем по каждому разрешать/запрещать ориентируясь только на его имя? Ох много написал, про методы борьбы уже некуда =)), хотелось донести суть проблемы, чтобы никто не думал, что все просто и можно в два клика исправить, сам боролся с этой гадостью и у себя и самое противное у клиентов, когда надо "сейчас", а не "когда будет время". Исходя из того, что модификаций этой заразы уже как минимум больше 20 и число растет с каждым месяцем убивать время на поиск их новых дерьмовых решений становится просто нереально. Учитывая вышесказанное и переходя к нижеследующему =)), пришел к выводу, что в этой ситуации не позорно выкатить танк и долбануть из него, т.к. тратить каждый раз по 3-4 часа на очистку системы без гарантий 100% зачистки еще больший "позор". Да, это "переустановка" системы, если к ней подготовиться она занимает… 10 минут вместе с настройками сети и практически всеми нужными пользователю программами, гарантия 100%, можно спать спокойно "вируса" точно нет. Если кому будет интересно распишу потом подробно как перенастраиваются рабочие каталоги пользователей на несистемный раздел, чтобы не потерять почту, любимую свалку под названием "Рабочий стол" и т.д., как выкатывается образ диска Це с чистой настроенной системой за 5 минут. Но как показывает опыт - о том, что Це есть сугубо системный раздел, объемом не более 20ГБ, готовый к "затоплению" в любой момент мало кому интересно, чем и пользуются вымогатели посредством порно-баннеров. Ой как меня развезло , сори, наболело. __________________ Присылайте ваши сценарии в копилку msts. Опыт - это нечто, что приобретается сразу после того, как это было нужно. 100% не предпринятых попыток обречены на провал. Последний раз редактировалось Zabor; 25.05.2010 в 11:43.

01.01.2007, 12:00
Яndex Спонсор Регистрация: 01.01.2007 Сообщения: 500 Реклама показывается изредка по случайному принципу	РЕКЛАМА