![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Мэрри факин кристмас!
Dec. 27th, 2005 09:22 amНу что вы думаете?
Моя ненаглядная получила в подарок iPod. Радости, визги - ее Креатив Джукбокс разваливался на глазах. С утра поставил софт, синхронайзнул - все работает. И тут Макс решил перегнать ДВД на иПод.
Скачал софтину, там демка забесплатно. Демка пишет через весь экран, что это, собственно, демо, и рипает только треть диска. Мне это не понравилось, решил искать крак. Не то, чтобы я такой пират, но если мне понравится, то куплю. Всего-то 35 долларей, но ОБЯЗАТЕЛЬНО надо знать, что покупаешь.
Иду на Асталависту, вбиваю поиск, иду по первой-же ссылке - БАМ. Антивирус ругнулся и замолк, Микрософт Антиспайвэр заорал благим матом, весь экран в поп-апах. Поймал, бля. Все апдейты поставлены, антивирус по последнему дню. Вот так. Просто открыл веб-страницу, ничего не кликая. Залезло моментом.
Я потратил полтора дня, вычищая эту сволочь. День и нервы насмарку. Дрянь оказалась очень грамотно писанная, еще не встречался с такой. По Семантику, это было Adware.Look2Me, но это была модификация. Стандартные тулы не работают. Явная модификация. Перепробовал все из стандартного набора. Атнивирус, Ад-Аваре, СпайБот - похую мороз. И эта дрянь притащила с собой еще 15 продуктов, но с ними я быстро справился.
Тварь играет под Локал Систем Аккаунт и ранается как процесс внутри svchost. Остановить нельзя, Винды не дают. Запускается из Notify, а не из Run/Run Once, умно, я даже и не знал, что оттуда можно что-то заранать. Процесс сидит в памяти, пишет ДЛЛ-ку с произвольным именем на диск и мониторит регистр. Что-то удаляется - процесс мгновенно воссоздает, ключ или файл, с произвольными именами. Он даже мониторит пермишшны на ключах регистра, при их изменениях он их ресеттает.
Вылечил. Есть у этой суки один баг. Я поменял пермишшаны на том ключе Notify, с которого оно запускается, на Deny Everyone. Эта тварь естественно мгновенно все убрала и поставила SYSTEM Full Control. Тут я делаю SYSTEM Deny All, и баг проявился - поганка мониторит наличие SYSTEM в пермишшанах значения, но не мониторит само значение.
Получилось, что Local System Account не сможет прочитать данные со всего ключа Notify при старте, а, следовательно, не сможет и запустить заразу. Да, дитяты, Local System Account не всесилен, даже его можно ограничить.
Так и вышло. На рестарте ничего не запустилось, потом антивирус по-полной, потом take ownership на Notify, меняются пермишшаны и каленым железом выжигается любое упоминание о чем-либо подозрительном.
Пиво. Много пива. Коньяк. С пивом.
Узнаю, кто написал эту хуйню - покалечу. За компьютером этот ублюдок точно сидеть не сможет. Испортил мне все выходные.
Моя ненаглядная получила в подарок iPod. Радости, визги - ее Креатив Джукбокс разваливался на глазах. С утра поставил софт, синхронайзнул - все работает. И тут Макс решил перегнать ДВД на иПод.
Скачал софтину, там демка забесплатно. Демка пишет через весь экран, что это, собственно, демо, и рипает только треть диска. Мне это не понравилось, решил искать крак. Не то, чтобы я такой пират, но если мне понравится, то куплю. Всего-то 35 долларей, но ОБЯЗАТЕЛЬНО надо знать, что покупаешь.
Иду на Асталависту, вбиваю поиск, иду по первой-же ссылке - БАМ. Антивирус ругнулся и замолк, Микрософт Антиспайвэр заорал благим матом, весь экран в поп-апах. Поймал, бля. Все апдейты поставлены, антивирус по последнему дню. Вот так. Просто открыл веб-страницу, ничего не кликая. Залезло моментом.
Я потратил полтора дня, вычищая эту сволочь. День и нервы насмарку. Дрянь оказалась очень грамотно писанная, еще не встречался с такой. По Семантику, это было Adware.Look2Me, но это была модификация. Стандартные тулы не работают. Явная модификация. Перепробовал все из стандартного набора. Атнивирус, Ад-Аваре, СпайБот - похую мороз. И эта дрянь притащила с собой еще 15 продуктов, но с ними я быстро справился.
Тварь играет под Локал Систем Аккаунт и ранается как процесс внутри svchost. Остановить нельзя, Винды не дают. Запускается из Notify, а не из Run/Run Once, умно, я даже и не знал, что оттуда можно что-то заранать. Процесс сидит в памяти, пишет ДЛЛ-ку с произвольным именем на диск и мониторит регистр. Что-то удаляется - процесс мгновенно воссоздает, ключ или файл, с произвольными именами. Он даже мониторит пермишшны на ключах регистра, при их изменениях он их ресеттает.
Вылечил. Есть у этой суки один баг. Я поменял пермишшаны на том ключе Notify, с которого оно запускается, на Deny Everyone. Эта тварь естественно мгновенно все убрала и поставила SYSTEM Full Control. Тут я делаю SYSTEM Deny All, и баг проявился - поганка мониторит наличие SYSTEM в пермишшанах значения, но не мониторит само значение.
Получилось, что Local System Account не сможет прочитать данные со всего ключа Notify при старте, а, следовательно, не сможет и запустить заразу. Да, дитяты, Local System Account не всесилен, даже его можно ограничить.
Так и вышло. На рестарте ничего не запустилось, потом антивирус по-полной, потом take ownership на Notify, меняются пермишшаны и каленым железом выжигается любое упоминание о чем-либо подозрительном.
Пиво. Много пива. Коньяк. С пивом.
Узнаю, кто написал эту хуйню - покалечу. За компьютером этот ублюдок точно сидеть не сможет. Испортил мне все выходные.
