Версия для печати
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум на Исходниках.RU > Windows > Win XP - самый большой вирус?


Автор: AndNot 13.11.06, 23:21
Hi All!
Неожиданно нарисовался интересный фактик!
Поставил себе Win XP Pro c SP2. Так как этот отстой мне быстро надоел, то через пару дней снес его и вернулся в 98-й. Но при попытки установки необходимых программ (хранятся на винте), получил недопустимую операцию и мертвый вис. В досе выяснилось, что помимо зависшего экзешника в каталоге появился файлик с тем же именем но с расширением - ~01. Собственно это и был оригинальный экзешник(который с CD), он то и запустился нормально.
В общем оказалось, что у всех файлов, что я запускал под XP, в начале приклеен какой то загрузчик, который не только вешает 98-й, но и дописыват себя и к SCANREGW.EXE, после чего винда виснет еще при загрузке. Вот фрагмет его сигнатуры:
Цитата

© 1996-1999 Laszlo Molnar & Markus Oberhumer $
$IdАдтЄ(_ДvI Copyright © 1996-1999 Markus F.X.J. Oberhumer $
$License: NRV for UPXШs distributed under special li $

Вопрос. Какое отношение UPX имеет ко всему этому? На упаковщик не похож, т.к. размер файлов совсем даже не уменьшился, а скорее наоборот :'(
Может кто сможет мне объяснить что это за хрень, и как это можно быстро вылечить, не шаря по множеству CD и без использования RESET'а с переименованием?

PS: То же самое было и когда я прикупил этот винт, на нем была неплохая коллекция програм, но тогда некогда было разбираться и я их все снес(о чем сейчас и жалею :'(
PPS: Чтобы не плодить тем спрошу уж здесь(просто для интереса): в XP у меня постоянно подмигивал индикатор HDD. Как это то лечится?

Автор: FullArcticFox 13.11.06, 23:33
Антивирусом пробовал пройтись?
Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь, и при попытке запустить этот файл Винды выдает сообщение, типа действительно вы хотите это выполнить или нафиг.

Автор: AndNot 13.11.06, 23:42
Цитата FullArcticFox @
Антивирусом пробовал пройтись?

Да на вирус то не похоже. Ведь файл действительно восстанавливается после подвисания, к тому же вирусы как правило не виснут ;) . Да и при покупке винта те же симптомы были. У тебя не XP? А то загляни в начало любого исполняемого, может тоже ту же сигнатурку увидишь ;)

Добавлено
Цитата FullArcticFox @
Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь

Вполне может быть что и защита какая навесная, или XP таким образом чего то распознает :wacko:

Автор: AlexJ 14.11.06, 03:12
А XP которую ставили не левая?
нет ни одного дня чтоб не запускал одну и ту же программу под XP и 98 но такой
"№;%:?*-ни не разу не видел. Сдается что что-то заразное на ХР было

поробуйте прогнать "страные" файлы через drweb.ru онлайновый чекер

Автор: Romtek 14.11.06, 08:14
У меня ощущение, что это таки вирус, упакованный UPX!.

Автор: AndNot 14.11.06, 12:18
Цитата AlexJ @
поробуйте прогнать "страные" файлы через drweb.ru

Каюсь, антивирусом пользовался раза два. Но в свое оправдание могу сказать, что это было в далеком детстве ;)
Цитата Romtek @
У меня ощущение, что это таки вирус, упакованный UPX!.

Поскольку мнения разошлись, пришлось таки пройтись сайсом. Вы правы народ, хрень оказалась вирусом, написанным на Virtual Pascal (впрочем есть и асм вставки в распаковщике). Не знаю упаковка это или нет, возможно сигнатуры использует для прикрытия, хотя не разбирался детально, просто перехватил выполнение после распаковки/расшифровки.
Вирус пытался собрать детальную инфу о компе(в том числе и из кэшей браузеров) в файлы BUFFER.TXT и KEYLOG.TXT(правда нет у меня KEYBOARD.DLL, который он пытается найти), после чего, при выходе пользователя в инет, он пытался переплавить их на один из е-мейлов:
11581@MAIL.RU
ALIEN-Z@MAIL.RU
IMAGER@MAIL.RU
с помощью Mozilla, The Bat или OutLook ;)
Ну а во "время X" любезно должен вывести MessageBox:
Цитата

Message from ST. v.2.09 - Sector ©. Salavat-city 2003.

<<<<< Hey Lamer! Say "Bye-bye" to your data! >>>>>

Copuright © by Sector

Опознает себя в памяти по классу окна - "KUKU".
Но честно говоря в ломы разбираться, почему он виснет под 98-й виндой, хотя, судя по коду, изначально рассчитывался и на нее ;)
Не пойму только, где ж я эту заразу подхватил то :blink: С инета точно не мог.
PS: а на диске после подвисания действительно оставался незараженный файл, и антивируса не надо :lool:
PPS: перед этим попробовал Win ME, но вирус ее вырубил сразу же, так что она потребовала переустановки, и больше не запускалась :wacko: Вывод:
Win 98 - рулез! Win ME и Win XP - маст дай!

Автор: mo3r 14.11.06, 19:41
Цитата FullArcticFox @
Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь, и при попытке запустить этот файл Винды выдает сообщение, типа действительно вы хотите это выполнить или нафиг.

Я думаю, что это делается за счет дополнительных потоков NTFS, а не за счет модифицирования данных файла.

Powered by Invision Power Board (https://www.invisionboard.com)
© Invision Power Services (https://www.invisionpower.com)