Мэрри факин кристмас!

[madmaxthesniper]

Ну что вы думаете?

Моя ненаглядная получила в подарок iPod. Радости, визги - ее Креатив Джукбокс разваливался на глазах. С утра поставил софт, синхронайзнул - все работает. И тут Макс решил перегнать ДВД на иПод.

Скачал софтину, там демка забесплатно. Демка пишет через весь экран, что это, собственно, демо, и рипает только треть диска. Мне это не понравилось, решил искать крак. Не то, чтобы я такой пират, но если мне понравится, то куплю. Всего-то 35 долларей, но ОБЯЗАТЕЛЬНО надо знать, что покупаешь.

Иду на Асталависту, вбиваю поиск, иду по первой-же ссылке - БАМ. Антивирус ругнулся и замолк, Микрософт Антиспайвэр заорал благим матом, весь экран в поп-апах. Поймал, бля. Все апдейты поставлены, антивирус по последнему дню. Вот так. Просто открыл веб-страницу, ничего не кликая. Залезло моментом.

Я потратил полтора дня, вычищая эту сволочь. День и нервы насмарку. Дрянь оказалась очень грамотно писанная, еще не встречался с такой. По Семантику, это было Adware.Look2Me, но это была модификация. Стандартные тулы не работают. Явная модификация. Перепробовал все из стандартного набора. Атнивирус, Ад-Аваре, СпайБот - похую мороз. И эта дрянь притащила с собой еще 15 продуктов, но с ними я быстро справился.

Тварь играет под Локал Систем Аккаунт и ранается как процесс внутри svchost. Остановить нельзя, Винды не дают. Запускается из Notify, а не из Run/Run Once, умно, я даже и не знал, что оттуда можно что-то заранать. Процесс сидит в памяти, пишет ДЛЛ-ку с произвольным именем на диск и мониторит регистр. Что-то удаляется - процесс мгновенно воссоздает, ключ или файл, с произвольными именами. Он даже мониторит пермишшны на ключах регистра, при их изменениях он их ресеттает.

Вылечил. Есть у этой суки один баг. Я поменял пермишшаны на том ключе Notify, с которого оно запускается, на Deny Everyone. Эта тварь естественно мгновенно все убрала и поставила SYSTEM Full Control. Тут я делаю SYSTEM Deny All, и баг проявился - поганка мониторит наличие SYSTEM в пермишшанах значения, но не мониторит само значение.

Получилось, что Local System Account не сможет прочитать данные со всего ключа Notify при старте, а, следовательно, не сможет и запустить заразу. Да, дитяты, Local System Account не всесилен, даже его можно ограничить.

Так и вышло. На рестарте ничего не запустилось, потом антивирус по-полной, потом take ownership на Notify, меняются пермишшаны и каленым железом выжигается любое упоминание о чем-либо подозрительном.

Пиво. Много пива. Коньяк. С пивом.

Узнаю, кто написал эту хуйню - покалечу. За компьютером этот ублюдок точно сидеть не сможет. Испортил мне все выходные.

Comments

[steinkrauz.livejournal.com]

А мораль в этой истории какая?

Правильно, ходить на асталависту исключительно при помощи браузера lynx.

[madmaxthesniper.livejournal.com]

Линкс я бы точно не починил.

[steinkrauz.livejournal.com]

А он бы и не сломался :))

[madmaxthesniper.livejournal.com]

Дима, ЛОМАЕТСЯ ВСЕ! Просто не все чинится. Если падает Макинтош или юниксовый бокс - туши свет. Если ПиСец - возможны варианты.

Проблема в том, что на такую ситуёвину может нарваться кто угодно. Я, как бывший компьютерщик-домушник, до-сих пор выезжаю на вызовы по всему Бруклину, и просто обязан знать, как это чинится. У клиента не принято удивляться и возмущаться. ;)

[ahslavik.livejournal.com]

Виртуальная машина?

[madmaxthesniper.livejournal.com]

Нет, вживую.

[ahslavik.livejournal.com]

Вы не поняли. Я хотел сказать, что подняв один раз виртуальную машину (скажем VMWare) можно с неё безбоязненно ходить на асту и подобные ресурсы.

[madmaxthesniper.livejournal.com]

Надо попробовать. Ленив я и толст. Зад не хочется оторвать от стула и попробовать что-то новое.

Хорошая идея.

[ahslavik.livejournal.com]

Разберетесь без проблем, а защита стопроцентная. Особенно, если не поднимать виртуальную сетку между реальным и виртуальным компом, а для обмена пользоваться зашареным CD-RW или USB Flash Drive (второе предпочтительней :-).

Была еще прога, которая хитрым образом эмулирует ваш винт, а перед перезагрузкой спрашивает "сохранить ли все изменения за этот сеанс работы?". Но я сам её не пробовал, и думаю, что она скорее подходит для Инет-кафе.

[leon-deleche.livejournal.com]

+1 Отосительно VMWare.
А эмуляция диска нужна скорее для защиты данных от разных дядек в плащах.. Strongdisk Pro вполне поможет.

[madmaxthesniper.livejournal.com]

BestCrypt.... На их сайте можно инкрипшн модули скачать, армейские-сиайэйные, поставить такой нестандарт, что дядям в плащах плохо будет, а не этот обрыдший 3DES..

[ahslavik.livejournal.com]

Гм.. Наверное я неумею правильно объяснять. Ок, вот описание:
===
Усилиями компании ShadowStor создан продукт, который позволяет Вам все: запускать трояны, вирусы, да все подряд, все программы с неизвестным происхождением - чем обычно люди и занимаются на своих компьютерах. У вас что-то стерли на диске, записалась программа, которая при запуске explorerа выводит рекламу? Что делать? Куда звонить? Ничего. Просто перезагрузись.

Незаметно из системы создания так называемых снапшотов, то есть статических образов дисков на лету выросла эта новая технология, которая позволяет операционной системе работать как бы на образе диска (снапшоте). То есть вы работаете на компьютере как обычно, но после перезагрузки диск выглядит совершенно чистым как при начально зафиксированной конфигурации. С точки зрения файловой системы - она монтируется не на реальном диске, а на образе (снапшоте) диска. То есть после загрузки операционной системы вы работаете и изменяете не сам диск, а его образ, который удаляется после перезагрузки. Отличительной особенностью данной системы является то, что образ нигде не хранится. Точнее хранится, но в незанятых данными секторах диска, что не замечает пользователь. Управляет всей переадресацией записи и чтения фильтр файловой системы. Поддерживаются все имеющиеся в Windows файловые системы. Заметьте, что тратить время на создание образа не нужно. Все делается мгновенно.
====
Сам не пробовал, но любопытная идея. Как я уже говорил - идеал для Инет-кафе.

Ссылка (там, возможно, регистрироваться надо будет) Тырц

[pascendi.livejournal.com]

Можно с этого места поподробнее? Зачем "тушить свет", если упал Макинтош под МакОС Х? Даже если накрывается firmware, данные с диска обычно можно спасти.

[diggya.livejournal.com]

Спасибо! Не мог понять где это говно живёт жило. А насчёт никсов - они обычно вместе с винтом падают, потом приходится мучительно вспоминать как и что ставилось...

[madmaxthesniper.livejournal.com]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

[ray95.livejournal.com]

гм. но простейшим выходом имхо будет файервол. Я конечно может и не так крут, но он меня спасал в большинстве случаев.

[madmaxthesniper.livejournal.com]

Залезло через TCP:80 (HTTP), что не файерволится. Я же говорю, грамотно писана дрянь.

[dark-dan.livejournal.com]

А это... Шмазилла бы схватила вирь?

[madmaxthesniper.livejournal.com]

Cложно сказать. Скрипты там ранаются? Если да, то возможно. А вообще это новая вещица, от коллеги слышал. Его знакомые тоже на днях пострадали.

[dark-dan.livejournal.com]

Скрипты ?
Зависит от. Но модифицировать систему через него гораздо сложнее. Предпочитаю пользоваться именно им. Мои знакомые столько вирей хватали через ИЕ - это просто караул.

[madmaxthesniper.livejournal.com]

Я за два года на домашнем вообще ничего не ловил. И на старуху бывает порнуха. Эксперт по спайвэр нах... Слов нет.

[dark-dan.livejournal.com]

Иэх. Не казнись. Подрастерял форму - снова войдешь в нее. :) Эт всегда так.
Я, помню, давеча словил троян - блин, антивирус после винтами шуршал до посинения. :)

[zvzz.livejournal.com]

гацкий папа. я бы применял расстрел в копыта на медленном огне.

а как поменять пермишшаны на ключ, не подскажете ?

[madmaxthesniper.livejournal.com]

Я пользую ХР.

Запустить regedit
Спуститься до ключа Notify:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Правой кнопкой на ключе --> Permissions.

На 2К - запустить regedt32. До ключа, а потом в Edit, по-моему, есть менюшный пункт Edit Permissions

[zvzz.livejournal.com]

опаньки, я про regedt32 не знал ничего.
буду давить каленым железомъ.
спасибо.

[madmaxthesniper.livejournal.com]

Именно. Regedt32.exe, находится в WINNT\System32. Есть и обычный Regedit.exe, но пермишшаны он не трогает.

[madmaxthesniper.livejournal.com]

Для leon_deleche:

В сейф моде эта херня тоже работала. :)))

[leon-deleche.livejournal.com]

Музык, а музык. А то-же самое делать, но через сейфмод, отключив рестор и удаляя бяку напрямую? Не подумал?
Помню как тестю лязла бяка через визндузовский системный мессагер. А он ему нах не нужен. Отключил как вид и перестал париться.

Сгрузи себе пламенного лиса, поставь его запускаться с мэмори стика, и носи с собой. И пребудет с тобою антивирусная сила.
Эксплорер пользуеться большинством. Он полон дыр как голландский сыр. С ним на асталависту ходить - это всё равно что ходить на охоту на медведя с баяном, незаряженным и порванным после похорон тёщи. Конечно есть шанс того, что медведя разорвёт от смеха
Да и не стоит аста того, уже лет 5 не стоит. Всё можно сгрузить с гораздо более безопасных источников**.

[madmaxthesniper.livejournal.com]

Отец, конечно сейф мод - это было первое, что я включил. Но я упомянул, что эта тварь ОЧЕНЬ грамотно писана. Она работала и под сейфом.

Асталависту пользую - сколько себя за компом помню. Никогда ничего подобного не происходило. И на старуху...

Пожалуйста озвучьте безопасные источники... ;)

[madmaxthesniper.livejournal.com]

Благодарю!

[играет песня со словами "..значит с ними нам вести незримый бой.."]

[ahslavik.livejournal.com]

Мне, ежели можно, тоже - про источники :) можно вот сюда ahspam@vrc.uz

[leon-deleche.livejournal.com]

goldesel.to
serialz.to

[madmaxthesniper.livejournal.com]

Второй сверху. :( Не помню, хисторь потер.

[aaz-2.livejournal.com]

А я сделал чуть проще - я поставил NOD32, ему доверяю пока что безоговорочно - вот что-то а IMON и AMON они сделали достаточно хорошо.
БТВ, такая х..ня водится не только на асталависте.
Замечено было на cracksam, cracksthebugsws и прочих.
Действительно, лечится ОЧЕНЬ геморройно.
Внедряется под видом файлика "activate_crack.exe" насильственным методом (видать через скрипты, т.к. MSIE вообще не способен бороться с ЭТИМ, а опера не подхватывает только с отключением ВСЕГО, кроме жабаскрипта, без которого сайт не пашет вообще.
Мне пришлось даже бутаться с ERD-Commnder'a и выносить исполняемые файлики вручную, потом после перезагрузки (10й, или 20й, уж и не вспомню) надцать раз править реестр...
Брррррр...... Ну и гадость.

Пейсателю - тёмную, однозначно.

[madmaxthesniper.livejournal.com]

Попался я потому, что у меня стоял 9-й Нортон Корпорэйт, который адвэр плохо ловит. С 10-м такого не было-бы.

Скриптинг у меня отключен в ИЕ. Залезло. Повторюсь, ОЧЕНЬ грамотно писанная дрянь.

[aaz-2.livejournal.com]

Дык я ж о том же.
Если б не NOD - я б тоже сейчас с матами выковыривал из системы это говнище, вместо того, чтобы читать, например, френдленту.

БТВ, а эта штука не совсем адвэр, помоему. Хотя.....
Я б сказал, что это троянец адварьный.
Да, и еще - эксплорером не пользуюсь принципиально, пока это возможно.
Дома - Opera, а если мне надо на какой-то "ОЧЕНЬ злой cцайт™" сходить - под боком машина с OS/2 и Mozilla'ой, которой все эти адвари до фени - "Your browser is not win32 compatible".

[madmaxthesniper.livejournal.com]

Потерянный день - зато какой экспириенс! Теперь я, да и вы, знаем, как эту хуйню бить в междурожие. Ведь обмен опытом он и ценен - обменом. :)

[(Anonymous)]

Я так понимаю, что l2mefix.bat тоже не берет?
я еще хайджеком обычно прогоняю, смотрю что подозрительного там есть. потом уж по обстоятельствам. вообще на любые look2me модификации почти всегда можно найти ремуверы. хотя иногда попарят мозги, это да. я сам до сих пор еще на домашние выезды по бруклину мотаюсь, и в общем то в основном любая новинка гуглится. сочувствую по поводу убитого дня.. еще и не заработал ничего...
Максим Юрьевич

[madmaxthesniper.livejournal.com]

Нет, не берет. Новая мода, не мочаленная Семантиком или другими еще.
Хайджэк не поможет, только покажет, где сидит. И то ладно..

[aaz-2.livejournal.com]

Отдельное спасибо, напоролся в одной конторе - не мог найти, что гадит. ОНО, сука ;(
Вроде убил, щас полный скан машины, и каленым железом...

[madmaxthesniper.livejournal.com]

От души, коллега! :)

[tever.livejournal.com]

Есть такой антивирь - NOD32
Скачай триал, попробуй...
Я уже полтора года юзаю
http://eset.com

[(Anonymous)]

чувак, поставь линукс, забудь этот факаный адрес - асталависта. а иже с ним всякие даунлод.ком и прочую фигню. болванку для ламеров можно всосать с http://vectorlinux.com наилучших пожеланий! кстаи, вирусов, червей, прочей нечисти забудь. только не выходи в инет рутом! будь здоров. Серый Кот.

[(Anonymous)]

а из под доса ручками ее пробовал аа..

[madmaxthesniper.livejournal.com]

Что из ДОСа? Какими ручками? Уважаемый, вы хоть разбираетесь, как заразу лечить, или только ляпнуть?

Кстати, раз тут ананизмусы такие умные, напишу-ка я, как эту дрянь правильно лечить. Почему правильно? Пока никто не жаловался...

[pascendi.livejournal.com]

Да, который раз взираю на людей, работающих под Виндами, с искренним сожалением. Столько лишней, ненужной работы!
Мак рулез однозначно.

za Notify spasibo

[likhtin.livejournal.com]

V intimnye otnoshenoya s domashnim kompom vstupayu ne tak chasto (paru let uzhe t'fu, t'fu) no erogennye zony znat nado
Naschet Linux i t.d. Kogda mesta budet bolshe u menya, ya vsem postavlyu po otdelnoi mashine a sebe chonit' zheleznoe a poka moya zhenushka mozhet pokalechit prosto za otdelny account na mashine ibo nado logofat'sya i t.p A veremni nikto teryat ne lyubit
Eshe raz spasibo za Notify

Re: za Notify spasibo

[madmaxthesniper.livejournal.com]

Ot dushi.