How to become an author
Search
Write a publication
Pull to refresh

Comments 35

У меня касперский даже архив скачать не дал.

P.S. Поставьте жене нормальный браузер.
Total votes 5: ↑5 and ↓0+5
Надо будет поставить. До этого проблем не было. Антивирус: Microsoft Security Essentials. Кстати, это первый инцидент с антивирусом от МС. И он вирус до сих пор не определяет.
Total votes 2: ↑2 and ↓0+2
Было пару раз, когда каспер и докторвеб еще не определяли заразу, а MSE уже ругался. Как повезет. Симантек вот вообще однажды забил на 100% заразу.
Total votes 2: ↑2 and ↓0+2
Кстати, кто-нибудь может объяснить, как касперский смог проверить запароленный архив?
Total votes 7: ↑6 and ↓1+5
Вот я не знаю, залил на яндекс, так дрвеб так и не смог проверить.
Total votes 2: ↑2 and ↓0+2
видимо в архиве хранится хэш исходного файла необходимый для проверки корректности распаковки и расшифровки, и по нему находится.
Total votes 6: ↑6 and ↓0+6
Имя файла не паролилось при сжатии, в итого сумма CRC видна — по ней и банится.
This comment wasn’t rated yet0
Давайте про каждый %винлокер% писать топики, ага?

У меня Kaspersky не пустил вирус даже, да и IE8 юзать — изврат, скачайте ей Firefox/Google Chrome, и поставьте Kaspersky
Total votes 15: ↑7 and ↓8-1
Ну ладно, может кого-то предупредил. Заодно многие будут знать, что антивирь от МС не поспевает немного за свежаком. Да и в персональный блог засунул. Видят не все. На главную попадать естесственно не собираюсь. А больше всего мне хочется, чтобы кто-нибуль разобрался с вирусом. Многие всегда изъявляли желание получить сам вирус и исследовать его.

К тому же, я даже написал, что он делает. Так что, если у кого словится. то уже известно, что удалять и править.
Total votes 3: ↑3 and ↓0+3
Я не думаю, что кто-то на хабре будет ставить антивирус от МС, обычно ставят kaspersky, и вообще, во избежание бед, поставьте жене linux, к примеру, Ubuntu, ей будет не сложно перейти после винды, да и всякие винлокеры не будут мешать ;)
Total votes 19: ↑3 and ↓16-13
Я вижу вы просто авторитет, говорите за всех. А касперский у самого не палененький случайно?
Total votes 8: ↑6 and ↓2+4
Я не говорю за всех, я высказываю свое мнение.

Нет, не палененький 30-дневный триал.
Total votes 9: ↑2 and ↓7-5
Что после 30ти дней будете делать? Security Essentials бесплатен, Avast Home, Avira Home бесплатны. Но многие продолжают настаивать на касперском — вот дела. И да нет никакой панацеи, и нет лучшего, все обновляют базы по мере возможностей икричать, что кто-то лидер в этом деле — глупо
Total votes 5: ↑5 and ↓0+5
Я считаю, что есть несколько хороших антивирусов, один из них — касперский. поверьте, ради безопасности мне не жалко купить лицензию. Да и виндой я пользуюсь редко, обычно на линуксе, там антивирус не нужен ;)
Total votes 12: ↑1 and ↓11-10
Понедельник станет для тебя днем открытий, но антивирус от MS — да же очень хорош, а по потреблению памяти он стоит на одном уровне с Nod32. Так что это действительно достойный антивирус.
Total votes 1: ↑1 and ↓0+1
Каждые 30 дней, 30-дневный триал да)
Total votes 2: ↑2 and ↓0+2
как раз пользователям хабры антивирус от мс наиболее показан, т.к. аудитория в основном тёртая, левые ссылки не щёлкает, список процессов в диспетчере задач наизусть помнит и в антивире по большому счету не нуждается, а антивирус от мс в силу своей ненавязчивости и нетребовательности к ресурсам в данном случае оптимален. И, кстати, локеры умеют блочить ФФ, лично видел. И вот еще вопрос, вы линукс кроме убунты какой-нибудь знаете?
Total votes 8: ↑7 and ↓1+6
Я лучше вирусов побольше накачаю, чем касперского поставлю.
Total votes 8: ↑7 and ↓1+6
www.virustotal.com
Поиск по хэшу: 714a522266d3c9b8acd134ccf4b5ec57
Даёт 5 из 43.
Причём DrWeb и Касперский видят этот блокировщик.
Total votes 1: ↑1 and ↓0+1
Приятно, что и антивирус Comodo среди них. А то какой обзор не почитай, фаерволу равных нет, а антивирус ругают на лево и право.
Total votes 1: ↑0 and ↓1-1
А давайте все отправим по одной смке на указанный номер? тупо через сайт билайна ;)
Total votes 4: ↑4 and ↓0+4
UFO just landed and posted this here
может и нет, но dos номера не отменяется =)
Total votes 1: ↑1 and ↓0+1
Жду тему «Предлагается для вскрытия автор свеженького винлокера».
Total votes 6: ↑6 and ↓0+6
Упакован UPX'ом. Написан на VB. Автозапуск через ключ Winlogon\Shell при помощи батника (и батник и троян лежат в %windir%).
This comment wasn’t rated yet0
Сначала, когда читал стринги, тоже увидел, что он на VB написан. Но кроме этого еще в стрингах есть код на паскале. Так же прописаны пути к делфи и есть списки компонент делфийских.
Total votes 1: ↑1 and ↓0+1
Запускает сам себя же с флагом CREATE_SUSPENDED, пишет в новый процесс некоторые данные и вызывает ResumeThread();
This comment wasn’t rated yet0
Кстати, есть дамп памяти. Могу тоже залить, если кому-то нужно.
Total votes 1: ↑1 and ↓0+1
Попробуйте поставить www.mlin.net/StartupMonitor.shtml и домочадцев научите жать «нет»
Маленькая програмка, которая контролирует добавление файлов в автозапуск, способна отсеять 98% блокеров.
This comment wasn’t rated yet0
А моя жена пользуется linux'ом, чему я несказанно рад. Linlocker'ов пока в природе не существует, к счастью.
Total votes 9: ↑6 and ↓3+3
Когда поставите Касперского 2011 — выполните «поиск уязвимостей» и закройте все дырки.
Total votes 2: ↑0 and ↓2-2
Что бы хотелось сейчас: т.к. я не умею делать вскрытие файлов, прошу кого-нибудь исследовать винлокер, а после написать интересный топик на хабре :)


Упакован UPX. Написан на Visual Basic 6, поэтому требует наличия библиотеки MSVBVM60.DLL. Анализ ресурсов файла создаёт впечатление, что происхождение вируса — Тайвань, однако это может быть недостоверно.
Распакованный файл на момент написания детектился эвристически, имеет сигнатурный детект продуктами Касперского как Trojan-Ransom.Win32.PornoCodec.bl.

Предсталяется как архиватор WinRar:
publisher....: Alexander Roshal
copyright....: Copyright © Alexander Roshal 1993-2010
product......: WinRAR
description..: WinRAR archiver
original name: WinRAR.exe
internal name: WinRAR
file version.: 3.93.0


Цифровой подписи нет.

Всё остальное уже рассказал автор: после запуска создаёт копию себя в %Windir%\nvcvc32.exe, создаёт %Windir%\RUNDLL.BAT. Модифицирует следующие ветки реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

подменяя путь к explorer.exe на батник. Кстати, добавление выполняется через комнаду
reg add HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /v Shell /t REG_SZ /d EXPLORER.EXE %WINDIR%\RUNDLL.BAT /f

Также запускается через winlogon:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
o Shell = EXPLORER.EXE %WINDIR%\RUNDLL.BAT

Cоздаёт ещё такой параметр:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
o wininet = ".exe"

Никакой сетевой активности не проявляет.

По винлокерам писать отдельный топ имхо нет смысла — там мало чего интересного: запустить прогу, прописать её в куче автозагрузок, самой прогой заблочить возможность работы в системе.
Total votes 1: ↑1 and ↓0+1
Ок, спасибо :)

Могу поделиться, как я от него избавился даже не перезагружая комп. Запустил больше сотни диспетчеров задач (по одному вирус их убивал). Система стала подвисать, через меню диспетчера (Alt + стрелки) выбрал показать окна каскадом. Т.о. получил доступ к десктопу. Ну а дальше дело техники и спец софта.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr