 |
|
Котяра |
01-07-2008 23:22 839816 |
Brontok.a [информация]
Чистил один компьютер давно от этого вируса.
Проявляет вирус себя в появлении дубликатов папок в папке "Мои документы". Эти дубликаты являются EXE-файлами. При запуске такого файла открывается проводник с папкой "Мои документы".
Структура папок зараженного компьютера выглядит так:
- Мои документы
- Мои рисунки
- Мои рисунки.exe
- Моя музыка
- Моя музыка.exe
- Мои документы.exe
Жирным выделены файлы вируса.
Дополнительно создает
System's settings.scr (путь не помню)
%AppData%\csrss.exe
%AppData%\smss.exe
%AppData%\winlogon.exe
%AppData%\lsass.exe
%AppData%\services.exe
%AppData%\inetinfo.exe
Хотя может эти файлы создаются в %UserProfile%\Local Settings\Application Data...
Также создается Empty.pif с вирусом.
Где найти точное описание вируса? У меня есть от Symantec, но нужно еще.
Просто хочу, если получится, написать удалялку этого вируса.
Логов нет, так как вопрос не о зараженном компьютере. Все компьютеры я почистил, просто хочу узнать об этом вирусе.
|
Vitac_Black |
02-07-2008 19:30 840718 |
Цитата:
Цитата Котяра
Чистил один компьютер давно от этого вируса. »
|
Я уже устал от этих Brontokов руссо-туристо и прочих тварях. Тема хорошая предлагаю рассказывать о местожительстве наиболее распространнёных зловредах.
Вопрос к модераторам. Можно или на каждого прийдется создаватьновую тему?
|
Котяра |
02-07-2008 19:41 840726 |
Цитата:
Цитата Vitac_Black
Вопрос к модераторам. Можно или на каждого прийдется создаватьновую тему? »
|
Я не модератор, не знаю, но лучше создать новую тему, т.к. тут и голосование.
|
Цитата:
Цитата Vitac_Black
Я уже устал от этих Brontokов руссо-туристо и прочих тварях »
|
Рекомендации от автозапуска есть почти в каждой теме этого раздела :) Например тут
|
Котяра |
04-07-2008 14:42 842229 |
Просьба к тем, кто хорошо знает вирус Brontok.a. Подскажите, какой алгоритм должна иметь утилита его удаления.
Владею языками BAT и AutoIt.
|
DiMMMm |
04-07-2008 15:21 842252 |
Котяра,
Цитата:
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
|
|
Котяра |
04-07-2008 15:29 842261 |
Цитата:
Цитата DiMMMm
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe »
|
Я так понимаю, это можно удалить, например, так
Код:
del "%userprofile%\Local Settings\Application Data\csrss.exe"
del "%userprofile%\Local Settings\Application Data\smss.exe"
del "%userprofile%\Local Settings\Application Data\winlogon.exe"
del "%userprofile%\Local Settings\Application Data\services.exe"
del "%userprofile%\Local Settings\Application Data\inetinfo.exe"
Правильно? Что будет, если эти команды будут выполнены на чистой машине? Не будут ли удалены системные файлы? Нужно ли делать if-проверку?
Цитата:
Цитата DiMMMm
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0" »
|
Это чистить REG-файлом?
Цитата:
Цитата DiMMMm
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe »
|
Удалять также, как и левый winlogon.exe?
Цитата:
Цитата DiMMMm
%System%\<Имя пользователя>'s Setting.scr »
|
Где это и как его удалить?
C:\System's settings.scr?
|
Цитата:
Цитата Котяра
какой алгоритм должна иметь утилита его удаления. »
|
Какой смысл писать такую утилиту, если можно воспользоваться утилитами (антивирусами)? Или, если однотипные системы и заражены пока ещё неизвестной модификацией, можно написать скрипт карантина/удаления для AVZ или/и отправить файлы в вирлаб и на следующий день лечить антивирусом (AVPTool напр.)
Или это лаб. работа? :)
|
Котяра |
04-07-2008 16:14 842318 |
Цитата:
Цитата Pili
Какой смысл писать такую утилиту, если можно воспользоваться утилитами (антивирусами)? Или, если однотипные системы и заражены пока ещё неизвестной модификацией, можно написать скрипт карантина/удаления для AVZ или/и отправить файлы в вирлаб и на следующий день лечить антивирусом (AVPTool напр.)
Или это лаб. работа? »
|
Просто так.
|
DiMMMm |
04-07-2008 16:19 842323 |
Цитата:
Цитата Котяра
Правильно? Что будет, если эти команды будут выполнены на чистой машине? Не будут ли удалены системные файлы? Нужно ли делать if-проверку? »
|
эти файлы к системе не имеют ни малейшего отношения, прото имена одни
Цитата:
Цитата Котяра
Это чистить REG-файлом? »
|
да
Цитата:
Цитата Котяра
Удалять также, как и левый winlogon.exe? »
|
да
Цитата:
Цитата Котяра
Где это и как его удалить?
C:\System's settings.scr? »
|
del "%windir%\system32\%USERNAME%'s settings.scr
|
Котяра |
04-07-2008 17:50 842400 |
Цитата:
Цитата DiMMMm
эти файлы к системе не имеют ни малейшего отношения, прото имена одни »
|
Это мне понятно, но вот команда del, если она не найдет указанного файла, не "полезет" ли она за ним в system32?
Цитата:
Цитата DiMMMm
del "%windir%\system32\%USERNAME%'s settings.scr »
|
На одном ПК я видел еще и файл SYSTEM's settings.scr.
Может еще нужно добавить
Код:
del "%windir%\system32\SYSTEM's settings.scr"
?
|
DiMMMm |
04-07-2008 18:32 842435 |
Цитата:
Цитата Котяра
Это мне понятно, но вот команда del, если она не найдет указанного файла, не "полезет" ли она за ним в system32? »
|
DELманьяк :D а еще она полезет в корень системного диска и потрёт все файлы, которые найдёт, потом найдёт все документы и удалит их
Цитата:
Цитата Котяра
Может еще нужно добавить »
|
можно
|
Котяра |
04-07-2008 18:58 842452 |
Цитата:
Цитата DiMMMm
а еще она полезет в корень системного диска и потрёт все файлы, которые найдёт, потом найдёт все документы и удалит их »
|
:)
|
Время: 13:27.
© OSzone.net 2001-