Добро пожаловать к нам в гости! Наш сайт посвящён программе NeoBook, с помощью которой вы легко сможете создавать собственные мультимедиа-приложения без необходимости изучать сложные языки программирования! Зарегистрируйтесь, чтобы стать членом нашего сообщества.
Доброго времени суток. Ребят не у кого не где не завалялся, екзешник вируса вымогателя (типа отправь смс на номер). Сейчас пишу утилитку для авто очистки системы от данной разновидности вируса. Вот нужен объект для теста... Может кто подскажет ссылку где взять, только ссылки в личку, чтоб не разводить на форуме чашку петри.
Идея утилитки проста и состоит в двух основных действиях. 1. Сидит в автозагрузки и если обнаруживает блок клавиш клавитуры... то ее разблокирует. 2. находит лишние и ненужное в реестре и блочит... с предложением удалить. Первое уже реализовал, но тест проводил на основе программки NeoBook которая через соответствующие плагины блокировала клаву, так что как будит работать непосредственно с вирусом неизвестно, может вообще не будит. Второе реализовал частично, на основе статей антивирусников о том как избавиться от вируса вымогателя. Теперь нужно затестись в полевых условиях... "Вы знаете, нам очень понравились все варианты, что вы прислали. Даже не знаем, что выбрать… А может попробуем объединить все три логотипа в один?"
Сообщение отредактировано anton - Вт, 18 Декабря 2012, 09:19
Сейчас пишу утилитку для авто очистки системы от данной разновидности вируса
Ты серьезно? у меня они(трояны) есть, штук 5-10 наберу(пиши в л/с), но нб не справится-не те возможности...
Добавлено (18 Декабря 2012, 09:27) --------------------------------------------- Эти трояны "убивают" любой процесс, который мешает для ее работы, а твой проект сможет выгрузить трояна? Для начала попробуй добится выгрузки например касперского, есно без помощи цмд, вбс и т.д.(т.к. эти фичи под контролем), а потом можно и думать над остальным Я тоже пытался делать антилокеры результат такой: в лучшем случае проект наглухо зависает, а так его выгружают. Самая лучшая защита - это: внимательность, не бродить где попало, не скачивать все подряд и т.д.
Сообщение отредактировано Сергей - Вт, 18 Декабря 2012, 09:41
Да я вообщем то не на NeoBook пишу... Могучий и велики Delphi мне в помощь... На необок я писал тулзу которая блочила клаву...
Quote (Сергей)
а твой проект сможет выгрузить трояна?
нет, не может... он просто ищет лишнее в автозагрузке реестра и и отрубкает...
Добавлено (18 Декабря 2012, 09:46) ---------------------------------------------
Quote (anton)
Самая лучшая защита - это: внимательность, не бродить где попало, не скачивать все подряд и т.д.
Ага, ты это моей бухгалтерии скажи, и специалистом во всех офисах... а то они задрали их ловить... Я лично поражаюсь как это им удается... Я за свою жизнь не разу не словил подобного вируса... "Вы знаете, нам очень понравились все варианты, что вы прислали. Даже не знаем, что выбрать… А может попробуем объединить все три логотипа в один?"
Сообщение отредактировано anton - Вт, 18 Декабря 2012, 09:52
Идея утилитки проста и состоит в двух основных действиях.
Мне кажется если б было все так просто, то давно б уже сделали в антивирусниках. Те файлы которые даст Сергей, наверняка уже вбиты в базу антивирей, а на новые ухищрения пока они не появятся "противоядия" не изобретешь. А бухгалтерии скажи что б по порносайтам не лазили.
Добавлено (18 Декабря 2012, 14:26) --------------------------------------------- Лучше сделай програмку что б записывала к примеру последние 10 ссылок на сайты по которым ходили, и последние файлы которые запускали. Вот и не придется смотреть на их глазенки и слушать что они никуда не лазили и ничего не делали. И после рублем наказывать. Восстановление системы за их счет. Охота сразу пропадет и тебе работы убавится.
Мне кажется если б было все так просто, то давно б уже сделали в антивирусниках.
Совершенно справедливо! Уже сколько лет эта зараза бродит по сети, а даже матерые профи справиться (на автомате) с ней не могут.
Впрочем, блажен, кто верует...
Quote (mishem)
Восстановление системы за их счет
Тоже - метод.
- А вам какую операционку поставить - экспи, семерку или висту? - Это ты сейчас о чем? - Олег Георгиевич, вам какой компьютер хотелось бы - молодежный или надежный? - Ну, конечно, надежный! - Вот, значит - экспи, без вопросов! Сейчас сделаем...
(Улицы разбитых фонарей, сезон 10, серия 17)
Единственная инновация Windows 8 это - Metro, чтобы дебилы по иконкам не промахивались!
При модном втюхе модоподдающимся начинает нравиться
а на новые ухищрения пока они не появятся "противоядия"
Да новых ухищрений не так и много... все они так или иначе идут через реестр... а там несмотря ни на что, особенно не разгуляешься... Я не претендую на отлов вирусов... я лишь хочу поддерживать автозагрузку реестра в чистоте... К то муже я не собираюсь ловить вирусы на моменте зарожения а лечить уже после зарожения. Как на сегодняшний день в ручную избавляются от этих вирусов... Лезут в автозагрузку в реестре находят там ссылку на некий файл exe, которого не должно быть и гробят его. Потом находят этот файл на компе и тоже гробят... Или я не прав????
По моим представлениям это вполне поддается автоматизации... А уж почему антивирусники это не сделали, я не знаю... у всех своя правда... Меня на эту идею сподвигла одна утилитка на моем live-usb написанная между прочем обычным студентом, которая автоматом лечит компьютер зараженный подобным вирусом... (по принципу запустил, перезагрузил, и вируса нет) Только она требует запуска из по дос, а я хочу реализовать утилиту которая будит работать по тому же принципу но из под виндовс... каждый раз при загрузки компьютера проверяя реестр на наличие всякой хрени...
Quote (mishem)
И после рублем наказывать. Восстановление системы за их счет. Охота сразу пропадет и тебе работы убавится
Не плохая идея... сделаю прейскурант цен... :))) "Вы знаете, нам очень понравились все варианты, что вы прислали. Даже не знаем, что выбрать… А может попробуем объединить все три логотипа в один?"
Лезут в автозагрузку в реестре находят там ссылку на некий файл exe, которого не должно быть и гробят его. Потом находят этот файл на компе и тоже гробят... Или я не прав????
не совсем... удалить такой файл бывает целая история. бывает что этот вирус "прячется" модифицируя MBR (при этом автозагрузка в реестре не задействуется) и/или файловую систему (хрен найдешь/удалишь), да и мест в реестре откуда можно стартануть модуль помимо автозагрузки навалом. Помогает только ручное ковыряние с применением утилит типа unlocker и regmon/autoruns (sysinternals), и т.п.
Добавлено (18 Декабря 2012, 17:59) ---------------------------------------------
Quote (anton)
Не плохая идея... сделаю прейскурант цен... :)))
лучше настроить профили и права пользователям, и все. нефиг под админом сидеть всем подряд. Как задавать вопросы
лучше настроить профили и права пользователям, и все. нефиг под админом сидеть всем подряд.
Да настроено у всех.... Один хрен на свои учетки ловят... потом с админской учетки все лечу...
Quote (DEMBEL)
бывает что этот вирус "прячется" модифицируя MBR (при этом автозагрузка в реестре не задействуется) и/или файловую систему (хрен найдешь/удалишь)
Ну модификацию MBR несложно вычислить... а вот с модификацией файловой системы еще не приходилось сталкиваться... в основном в реестре либо к эксплоеру что допишут, либо вместо нетфраэмворка залезут, или вообще явно торчат в автозагрузке..., чаще всего в реестре ссылочки находил.... хотя было до смешного в папке атозагрузка валялся ярлык...
Попробую... не панацея, но хоть чтото.... "Вы знаете, нам очень понравились все варианты, что вы прислали. Даже не знаем, что выбрать… А может попробуем объединить все три логотипа в один?"
Не получится слишком сильно гайки закрутить... Специфический софт, плюс бухгалтерский софт, не дают разгуляется с настройкой безопасности.... "Вы знаете, нам очень понравились все варианты, что вы прислали. Даже не знаем, что выбрать… А может попробуем объединить все три логотипа в один?"