• 44204
  • 508
  • 81
Нравится блог?
Подписывайтесь!

Новое чудо с флешки

Как известно, большинство вирусов, распространяющихся через переносные устройства, "инфицируют" систему используя функцию автозапуска(при помощи autorun.inf). Конечно, если базы антивируса находятся в актуальном состоянии и он настроен на real-time защиту, то вероятность заражения невысока, но бывают особые случаи. Именно по этому я всегда стараюсь отключать функцию автозапуска на доверенных мне системах.

Сегодня принесли флешку, которая не являясь исключением, содержала целый рассадник самых разных представителей вредоносного сообщества. В качестве эксперимента было решено потестить имеющиеся на борту ESET Smart Security 4.0.424.0 (сигнатуры от 12.06.2009) и AVZ 4.30 (обновлялся сегодня). Из 26 показавшихся мне подозрительными: ESET "убил" 23; AVZ "добил" ещё двоих. Но вот один остался нетронут. Вместе с autorun.inf. Отправляю файл obsuuk.exe на "virustotal" и в "Лабораторию Касперского", но результатом не доволен - вредоносный код не обнаружен. Открываю "Свойства" файла, без всякой надежды на получение дополнительной информации, во "Внутреннем имени" обнаруживаю значение "CSRCS.Exe", которое уж больно напоминает "csrss.exe". Размер файла - 889 263 байт, великовато для вируса. Эксперимент продолжается. Запускаю подозрительный файл. Не проходит и минуты, как файервол ESET'a успешно блокирует "Detected ICMP Flooding attack" от приложения "CSRCS.Exe" (жаль адресок не запомнил). Создаю правило-запрет. Бегло просматриваю жесткий диск на наличие новых файлов. В корневой директории появился "новенький" размером 0 байт со случайно сгенерированным названием и расширением. Подключаю артиллерию - AVZ, который указывает на то, что произведена модификация explorer.exe (на запуск "CSRCS.Exe") и что этот самый файл может работать с сетью. Удаляю с чисткой всех ссылок на этот файл в системе. Перезапуск. Ошибка "файл CSRCS.Exe не найден" при запуске. Забыл пофиксить explorer.exe. При помощи AVZ устраняем и эту проблему. Перезапуск. Проверка. Всё нормально. Отправляю файлы на анализ и в ESET и автору AVZ. Чуть позже ESET обнаруживает "проблемный" файл по адресу system32\drivers\vdcxmtc.sys, который успешно помещается в карантин.

Ещё одной победой больше:) Будьте бдительны:)

Тиртханкар undeadlyghost
14 июня 2009, 1:02
3131

Загрузка...

Комментарии

обычно вообще все ексешные файлы на флешках не храню в корне, а если появляются шифт+дел :)
и достаточно обойти автозапуск, по простому проводником, и вирусы не запустяться. а с чужих флех мона и все подозрительное на пофиг удалять. ибо нехер
Werser
0
0
Если у тебя остался этот файл, кинь в меня его, пожалуйста.
Да запросто:) Куда?
Werser
0
0
Куда тебе угдобно. :)
Что удалось выяснить?
Запакован Themida 1.8.x.x - 1.9.x.x -> Oreans Technologies [Overlay], информацию по способам распаковки пока не искал, работы много.
Может быть "UnThemida"?:)
dayred
0
0
У меня Аваст стоит. Наверное вирусняков уже куча. Я бы пользовался тем же ESET Smart Security или Касперским, но вся суета с активацией и т.д. доканывает.

undeadlyghost, ты пользовался триальным ESS, или все-таки купил? (а может и кряк/ключ)
Вечный пробный период... Была бы возможность - купил бы и забыл мороку с ключами и активациями. Из бесплатных вроде бы Avira неплох, да и Panda зарекомендовал у знакомых с лучшей стороны.
smerch
0
0
как хорошо, что у меня нет этих проблем)
Ubuntu - основа для сервера и вообще большинства разработчиков.
Mac для творческих людей, не для кодеров.
На нем вообще всего лишь 2 троя детектировано если что)
megido
0
0
битва выиграна, но война продолжается...;)
Total commander юзайте... и забудете про такие вирусы
Сия программулина в арсенале ещё с тех времён, когда она именовалась Windows Commander'ом:)))
ага) ну совсем совсем раньше она была ещё volcov commander'ом
Волков ещё в строю...:) Используется время от времени:))
эх. а еще были времена винды 3.11… интересно пользуют ее еще?)
А ведь были времена и до 3.11:))
Это точно. У меня был комп с процом 80286. На борту был MS-DOS, файл-менеджер DOS-Navigator. А первый вирус, который поймал выводил красными буквами слово "Veronika" ))
Ээээх, ностальгия...
ой, до я не помню. был комп в котором я эту систему из под доса запускал, она тогда тока появилося, хотя и в досе сидел многа)))
хорошо хоть без вирусов. тогда были еще и диски квадратные :)
Дискеты называются, ага ))
это тот самый загадочный диск Д
я имею ввиду большие
У меня где-то сохранились ещё пятидюймовые дискеты. Притом в невероятных количествах:))) Лет через 20 буду показывать детишкам:)))
Ээхх... А ещё были накопители на магнитной ленте... Как же они назывались то?
Стримеры вроде бы.
Тоже кстати где-то валяются. ))
так в кабинете мегалайна есть бесплатный др.веб
бесплатный только сыр…

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Мысли вслух. Почему казахи перестали общаться с родственниками и ходить в гости?

Мысли вслух. Почему казахи перестали общаться с родственниками и ходить в гости?

Дастархан в те времена был скромен. Не было понятия «сынау» - осуждения кто как живет, какой в доме ремонт и т.д. Пока взрослые обсуждали задержку заработной платы, мы играли в армию, жмурки, строили городки...
socium_kzo
5 дек. 2016 / 15:19
  • 9132
  • 19
Японец о Казахстане: «Ваши девушки уж сильно себе набивают цену...»

Японец о Казахстане: «Ваши девушки уж сильно себе набивают цену...»

"Мужчины должны у вас тут права качать, ибо их процент в вашей численности населения уступает проценту женщин". Я машинально начала уверять, что у нас в стране таковых не имеется...
Sapientia
5 дек. 2016 / 10:52
  • 8802
  • 67
Взгляд со стороны: Назарбаев глазами кыргыза

Взгляд со стороны: Назарбаев глазами кыргыза

В чем уникальность этой личности? В чем его успех или провалы? Эти вопросы требуют глубокой аналитики и исследований. Я же хочу рассказать о Нурсултане Абишевиче глазами рядового кыргыза...
maxes
1 дек. 2016 / 8:05
  • 5966
  • 20
Молчание врачей. Дети ЮКО, заражённые ВИЧ 10-11 лет назад, узнают о диагнозе-приговоре

Молчание врачей. Дети ЮКО, заражённые ВИЧ 10-11 лет назад, узнают о диагнозе-приговоре

Как сообщают новостные издания, в ближайшее время в Южном Казахстане 102 детям в возрасте 11-12 лет сообщат об их страшном диагнозе. Все эти дети были заражены ВИЧ, причём большинство было инфицировано по вине врачей.
openqazaqstan
2 дек. 2016 / 13:57
  • 4402
  • 4
Почему Дональд Трамп назвал Казахстан чудом. Президент подтягивается по географии

Почему Дональд Трамп назвал Казахстан чудом. Президент подтягивается по географии

Трамп и не подозревает, что 16 декабря 1991 Казахстан не создал, а восстановил свою национальную государственность. Иначе бы он упомянул не только 25 лет, а больше чем 550 лет казахской истории.
Stehlikova
2 дек. 2016 / 9:02
  • 5014
  • 88
Распил 1 млрд долларов или спасение для Алматы? В 2017-м начнётся строительство БАКАД

Распил 1 млрд долларов или спасение для Алматы? В 2017-м начнётся строительство БАКАД

Конечно, Алматы заслужил эту дорогу. Невзирая на все издержки, которые могут возникнуть. Заслужил и как крупнейший город Казахстана, и как субъект, формирующий своими налогами около четверти всех...
merurg
7 дек. 2016 / 12:35
  • 4165
  • 14
10 причин, по которым я не смогла работать учителем. Не только в зарплате дело, ребята

10 причин, по которым я не смогла работать учителем. Не только в зарплате дело, ребята

Я почти год проработала в школе, и когда уходила оттуда, была самым счастливым человеком в мире. Тот год, честно говоря, я и сейчас вспоминаю с ужасом.
demonica
вчера / 17:21
  • 4328
  • 67
Мой личный опыт использования Astra Plat: мелочи в моем кармане заметно стало меньше

Мой личный опыт использования Astra Plat: мелочи в моем кармане заметно стало меньше

Давно ждал запуска электронного билетирования в общественном транспорте Астаны. В ноябре 2016 года этот день настал. Мой опыт насчитывает последние 2 недели и мне есть чем поделиться.
iamYerlan
1 дек. 2016 / 15:24
  • 3431
  • 17
После крупной пьяной аварии бизнесмены в Чечне отказались торговать спиртным. В Казахстане едва ли такое возможно

После крупной пьяной аварии бизнесмены в Чечне отказались торговать спиртным. В Казахстане едва ли такое возможно

После тяжкого ДТП по вине пьяного водителя в Чечне закрылись все магазины, торгующие алкоголем. Их владельцы – 14 бизнесменов – добровольно отказались от выданных им лицензий.
openqazaqstan
5 дек. 2016 / 13:09