Форум на Исходниках.RU https://forum.sources.ru Форум на Исходниках.RU Форум на Исходниках.RU https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1342649 Tue, 14 Nov 2006 19:41:24 +0000 Win XP - самый большой вирус? https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1342649 Цитата FullArcticFox @
Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь, и при попытке запустить этот файл Винды выдает сообщение, типа действительно вы хотите это выполнить или нафиг.

Я думаю, что это делается за счет дополнительных потоков NTFS, а не за счет модифицирования данных файла.]]> mo3r Windows https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341878 Tue, 14 Nov 2006 12:18:08 +0000 Win XP - самый большой вирус? https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341878 Цитата AlexJ @
поробуйте прогнать "страные" файлы через drweb.ru

Каюсь, антивирусом пользовался раза два. Но в свое оправдание могу сказать, что это было в далеком детстве ;)
Цитата Romtek @
У меня ощущение, что это таки вирус, упакованный UPX!.

Поскольку мнения разошлись, пришлось таки пройтись сайсом. Вы правы народ, хрень оказалась вирусом, написанным на Virtual Pascal (впрочем есть и асм вставки в распаковщике). Не знаю упаковка это или нет, возможно сигнатуры использует для прикрытия, хотя не разбирался детально, просто перехватил выполнение после распаковки/расшифровки.
Вирус пытался собрать детальную инфу о компе(в том числе и из кэшей браузеров) в файлы BUFFER.TXT и KEYLOG.TXT(правда нет у меня KEYBOARD.DLL, который он пытается найти), после чего, при выходе пользователя в инет, он пытался переплавить их на один из е-мейлов:
11581@MAIL.RU
ALIEN-Z@MAIL.RU
IMAGER@MAIL.RU
с помощью Mozilla, The Bat или OutLook ;)
Ну а во "время X" любезно должен вывести MessageBox:
Цитата

Message from ST. v.2.09 - Sector ©. Salavat-city 2003.

<<<<< Hey Lamer! Say "Bye-bye" to your data! >>>>>

Copuright © by Sector

Опознает себя в памяти по классу окна - "KUKU".
Но честно говоря в ломы разбираться, почему он виснет под 98-й виндой, хотя, судя по коду, изначально рассчитывался и на нее ;)
Не пойму только, где ж я эту заразу подхватил то :blink: С инета точно не мог.
PS: а на диске после подвисания действительно оставался незараженный файл, и антивируса не надо :lool:
PPS: перед этим попробовал Win ME, но вирус ее вырубил сразу же, так что она потребовала переустановки, и больше не запускалась :wacko: Вывод:
Win 98 - рулез! Win ME и Win XP - маст дай!]]> AndNot Windows https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341333 Tue, 14 Nov 2006 08:14:32 +0000 Win XP - самый большой вирус? https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341333 Romtek Windows https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341112 Tue, 14 Nov 2006 03:12:51 +0000 Win XP - самый большой вирус? https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341112 нет ни одного дня чтоб не запускал одну и ту же программу под XP и 98 но такой
"№;%:?*-ни не разу не видел. Сдается что что-то заразное на ХР было

поробуйте прогнать "страные" файлы через drweb.ru онлайновый чекер]]> AlexJ Windows https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341090 Mon, 13 Nov 2006 23:42:59 +0000 Win XP - самый большой вирус? https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341090 Цитата FullArcticFox @
Антивирусом пробовал пройтись?

Да на вирус то не похоже. Ведь файл действительно восстанавливается после подвисания, к тому же вирусы как правило не виснут ;) . Да и при покупке винта те же симптомы были. У тебя не XP? А то загляни в начало любого исполняемого, может тоже ту же сигнатурку увидишь ;)

Добавлено
Цитата FullArcticFox @
Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь

Вполне может быть что и защита какая навесная, или XP таким образом чего то распознает :wacko:]]> AndNot Windows https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341087 Mon, 13 Nov 2006 23:33:55 +0000 Win XP - самый большой вирус? https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341087 Хотя, есть мнение, что это таже фигня, когда ты прогу с Инета тянешь, и при попытке запустить этот файл Винды выдает сообщение, типа действительно вы хотите это выполнить или нафиг.]]> FullArcticFox Windows https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341083 Mon, 13 Nov 2006 23:21:23 +0000 Win XP - самый большой вирус? https://forum.sources.ru/index.php?showtopic=161269&view=findpost&p=1341083 Неожиданно нарисовался интересный фактик!
Поставил себе Win XP Pro c SP2. Так как этот отстой мне быстро надоел, то через пару дней снес его и вернулся в 98-й. Но при попытки установки необходимых программ (хранятся на винте), получил недопустимую операцию и мертвый вис. В досе выяснилось, что помимо зависшего экзешника в каталоге появился файлик с тем же именем но с расширением - ~01. Собственно это и был оригинальный экзешник(который с CD), он то и запустился нормально.
В общем оказалось, что у всех файлов, что я запускал под XP, в начале приклеен какой то загрузчик, который не только вешает 98-й, но и дописыват себя и к SCANREGW.EXE, после чего винда виснет еще при загрузке. Вот фрагмет его сигнатуры:
Цитата

© 1996-1999 Laszlo Molnar & Markus Oberhumer $
$IdАдтЄ(_ДvI Copyright © 1996-1999 Markus F.X.J. Oberhumer $
$License: NRV for UPXШs distributed under special li $

Вопрос. Какое отношение UPX имеет ко всему этому? На упаковщик не похож, т.к. размер файлов совсем даже не уменьшился, а скорее наоборот :'(
Может кто сможет мне объяснить что это за хрень, и как это можно быстро вылечить, не шаря по множеству CD и без использования RESET'а с переименованием?

PS: То же самое было и когда я прикупил этот винт, на нем была неплохая коллекция програм, но тогда некогда было разбираться и я их все снес(о чем сейчас и жалею :'(
PPS: Чтобы не плодить тем спрошу уж здесь(просто для интереса): в XP у меня постоянно подмигивал индикатор HDD. Как это то лечится?]]> AndNot Windows