![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Вирусный симбиоз
Вчера утром у меня в планах было:
- Написать автоконфигуратор самбы.
- Разобраться со Слакс-пакетами, которые не хотят ставится.
- Перепаковать наконец текущий вариант дистриба и посмотреть, сколько он занимает.
- Перепаковать виндовую часть.
- Разобраться, сколько у меня доменов и куда они смотрят :)
Когда я пришел, я увидел 45 темных мониторов и 2-х озадаченных людей. Нет, с компами все ок, но им как-то по статусу не положенно работать без MS SQL-ного сервака. А там - вирусы. Мне бы тогда вовремя сообразить - развернуться на 180 и сделать вид, что я эмигрировал..... Не, я рукова закатываю, и говорю - а ну разойдись, ща я с помощью AVZ и моих недоделок все за пол часа починю.
Когда первый раз вирь грохнул AVZ на лету, подождав, пока я в нем Гвард-режим включу (это что бы я вообще, кроме как резет ничего нажать не мог) я заподозрил неладное. Это мы с
![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif){kind=small}
vsevols где-то уже видели. Это же наверное Win32.Sality.xx, но он же, сука файловый, и размножаться с такой скоростю просто не умеет.... День начинает вонять - это пока единственный вирус, которого я не смог отловить руками.Через два часа я сдался. Фиг с вами, переливайте систему.
Еще через час система перелита, все необходимое поставленно, пару раз воткнута флешка (ну конечно же единственная неочищенная) и.... Начинаем все заново.
Не, Win32.Sality конечно суровый, но не с такой же скоростью!
Еще через час картина проясняется - злые, но неповоротливые Win32.Sality.aa и Win32.Sality.e вошли в симбиоз с троянами, что и дало им такую скорость.
Еще через час КасперскиЛаб бодро рапортует, что эти "какие-то трояны" отныне называются Trojan-GameThief.Win32.Magania.aftr и Worm.Win32.AutoRun.qge и добавленны в базу.
Уже легче. Система признана чистой, флешки тоже. В бесконечность отложена перепаковка Виндовс-бейсед моего проекта - предположительно Салити покоцал и ее, проверять пока страшно. Как побочный продукт найдено быстрое лекарство от текущих модификаций этого зверька, но утешает это как-то слабо.
Ну, для завершения правильного дня были выполнены еще пару действий, таких как забывание мастер-пароля от "денежной базы", роняние бэкапа и еще пару безобразий поменьше.
Итог: остаюсь все запланированное делать ночью. Сделать ничего не успеваю, но под утро приходит понимание - как именно это все красиво сделать. И вот теперь вопрос - сидеть и заниматься реализацией, пока не засну или идти спать с риском забыть такой красивый подход?
И еще вопрос. Как запретить виндовому Админу выгружать Касперский с компа? Кроме как отрыванием головы?
no subject
no subject
no subject
З.Ы. Ты главное Димке не принеси этой радости.. На днях же ж тока хрюшку повесили ;)
no subject
На счет безобидности - большинство троянов/червей просто становятся неактуальными очень быстро. Но те же trojan.FTPCatcher (amv0.dll) - всего лишь проводник исполняемого кода на комп жертвы. Но большинство его модификаций слишком активны и привлекли внимание гораздо раньше, чем авторы написали само тело.
Упомянутое мной семейство Win32.Sality действительно злое. Но опять же, перед ним не стоит задача что-то разрушить, он собирает информацию о паролях, вводимых на вебсайтах и настройках ВПН и отправляет ее создателю. Он руткит, хоть и файловый. Спасаясь от ревизии сканеров, он внедряется практически в любой процесс, а если считает этот процесс антивиром или дебаггером - то рубит его. Но т.к. в конце-концов заражает ряд критичных процессов для винды - восстановить ее уже не получается.
А это взаимодействие меня самого несколько насторожило.
no subject
З.Ы. Всегда испытывал респект к камрадам, разбирающимся какой процесс в "Индикаторе приложений" за что отвечает... 0=)
no subject
цікаво написав )
no subject