Привет всем кто читает этот текст!!! И если вы его читаете то вы посетили хороший сайт, который делали хорошие люди! Данная статья раскажет вам об одной из проблем windows XP, с которой сталкнулся я и многие, кто работает с Internet'ом,ну и не только работает (Около 40 млн. человек занимаются ЭТИМ по ночам. (Inet)). До декабря 2003 года на моём компе прижилась win 98 SE,довольно занятная вешь! (учитывая что дистрибутив весит всего 100 mb) и работала она без забот и хлопот. Windows XP мне принёс мой знакомый: "-поставь себе не пожалеешь!"сказал он. Ну я и поставил... По роду моей профессии мне приходиться постоянно работать в инете; качаю инфу, смотрю новости, пишу письма (усама бен ладэну) - ну это не важно. Так вот чуствую статья будет долгой, залажу я в инет врубаю www.aport.ru и начинаю искать нужное файло, тем временем пока происходит процесс поиска я иду заваривать себе кофе (полезная штука!), прихожу и наблюдаю такую картину, все окна закрыты а connect'а как не бывало, мне это показалось странным и интересным, только потом я выяснил что это, когда качал 7 метровый файл из всемирной сети. (15 CPS на Handshake EMSI. YooHooHoo! И бyтылка пива) Сижу смотрю как капают килобайты на мой винт и тут началось самое интересное (детям до 16 читать не рекомендуется). Всплывает окошко (Этот виpус тpебует Windows95!...) хрен знает от куда, и внятно даёт понять что я зря качаю этот файл и вообще инет создан не для меня (и как говориться "шёл бы ты отсюда на ..."), я в шоке, секунды тикают (кстати даёт только 60 секунд на то чтобы ты всё сохранил и закрыл) так я встретился с ним. С червём. И мне не хотелось получать сообщение типа-Virus check complete. All viruses are working properly. Да это червь которыё сидит в ядре вашей программы и каждый раз когда вы выходите в глобальную сеть он вам дает понять что ничего у вас не выйдет. Мне непонятен алгоритм работы червя (отрубает от инета он по разному в промежутке от 1 минуты до 7минут). Но это лечиться (двумя программами 1.ищет и мочит гада! а 2.заменяет и восстанавливает некотоные файлы), сразу возникает вопрос зачем заменять и восстанавливать? когда проше всего завалить букашку и дело с концом. Раньше было проше, с год назад можно было нажать Ctrl + Alt + Delete и в вкладке "процессы" снять галочку с одной строчки blaster и всё тип-топ, а щас такая фишка не канает. как говориться: "Большой программе - Большие глюки" :) в вашей системе только тело червя (типа обнадёжил:)) после первого выхода для проверки почты и т.д. он докачивает себе компаненты и все:-Привет!!! выход в WWW вам заказам в лучшел случае минут на 6-7в худшем 1-2. Мне только не понятен один факт:откуда тело червя берётся в ядре системы? кто его туда зарядил? и кому это надо? а может это афера в сфере компьютерных технологий?ведь эта прога(!!!прога которая мочит червя!!!) созданна в лаборатории Каспера (для ламеров :) Авторское право (C) Kaspersky Lab 2000-2003. Все права зарегистрированы. а накой тебе в своём софте писать червя? я думаю ответ прост как 3 копейки - это зашита от элементарного копирования (пиратства)аведь регистрация проходит через инет а следовательно microsoft'овский сервак может вырубить червя (тогда накой хрен Касперу писать антивирус?типа чтобы облегчить жизнь нашим пиратам!!!). но опять же, зачем в россии софт с вируснёй??? это их западные примочки, а у нас страна без уродов (типа билла гейтса III)
А теперь о самом главном, что делает прога когда находит червя:
Если программа обнаруживает HKEY_CLASSES_ROOT\rnjfile ключ в реестре она:
удаляет следующие ключи в реестре
HKEY_CLASSES_ROOT\rnjfile
HKEY_CLASSES_ROOT\.lha
восстанавливает следующие ключи в реестре в их значение по умолчанию:
HKEY_CLASSES_ROOT\.jpg to jpegfile
HKEY_CLASSES_ROOT\.jpeg to jpegfile
HKEY_CLASSES_ROOT\.jpe to jpegfile
HKEY_CLASSES_ROOT\.bmp to Paint.Picture
HKEY_CLASSES_ROOT\.gif to giffile
HKEY_CLASSES_ROOT\.avi to avifile
HKEY_CLASSES_ROOT\.mpg to mpegfile
HKEY_CLASSES_ROOT\.mpeg to mpegfile
HKEY_CLASSES_ROOT\.mp2 to mpegfile
HKEY_CLASSES_ROOT\.wmf to empty
HKEY_CLASSES_ROOT\.wma to wmafile
HKEY_CLASSES_ROOT\.wmv to wmvfile
HKEY_CLASSES_ROOT\.mp3 to mp3file
HKEY_CLASSES_ROOT\.vqf to empty
HKEY_CLASSES_ROOT\.doc to word.document.8 or wordpad.document.1
HKEY_CLASSES_ROOT\.xls to excel.sheet.8
HKEY_CLASSES_ROOT\.zip to winzip
HKEY_CLASSES_ROOT\.rar to winrar
HKEY_CLASSES_ROOT\.arj to archivefile or winzip
HKEY_CLASSES_ROOT\.reg to regfile
HKEY_CLASSES_ROOT\.exe to exefile
пытается удалить следующие файлы:
c:\windows\sysrnj.exe
действие программы:
Если программа обнаруживает HKEY_CURRENT_USER\Software\Navidad,
HKEY_CURRENT_USER\Software\xxxxmas or HKEY_CURRENT_USER\Software\Emanuel
ключ в реестре она: удаляет следующие ключи в регистри:
HKEY_CURRENT_USER\Software\Navidad
HKEY_CURRENT_USER\Software\xxxxmas
HKEY_CURRENT_USER\Software\Emanuel
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win32BaseServiceMOD восстанавливает следующие ключи в реестре в их значение
по умолчанию:
HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*
пытается удалить следующие файлы:
winsvrc.vxd
winfile.vxd
wintask.exe
Действие программы:
Если программа обнаруживает find HKEY_LOCAL_MACHINE\Software\SirCam ключ в реестре, "@win \recycled\sirc32.exe" в autoexec.bat файле или \windows\run32.exe файл и при этом \windows\rundll32.exe файл создан при помощи Delphi она: удаляет следующие ключи в реестре:<з> HKEY_LOCAL_MACHINE\Software\SirCam Software\Microsoft\Windows\CurrentVersion\RunServicesDriver32
восстанавливает следующие ключи в реестре в их значение по умолчанию HKEY_CLASSES_ROOT\exefile\shell\open\command to "%1" %*
пытается удалить следующие файлы:
%Windows drive%:\RECYCLED\SirC32.exe
%Windows directory%\ScMx32.exe
%Windows system directory%\SCam32.exe
%Windows startup directory%\"Microsoft Internet Office.exe"
%Windows drive%:\windows\rundll32.exe
пытается переименовать следующие файлы:
%Windows drive%:\windows\Run32.exe to
%Windows drive%:\windows\RunDll32.exe
пытается восстановить следующие файлы:
autoexec.bat
Если процесс gone.scr присутствует в памяти, программа попытается остановить его.
Если файл %Windows system directory%\gone.scr присутствует на жестком диске, программа
попытается удалить его.
Если программа найдет %Windows system directory%\gone.scr значение в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключе реестра, она удалит его.
название червей:
I-Worm.Klez.a,e-h,
Win32.Elkern.c,
I-Worm.Lentin.a-p,
I-Worm.Tanatos.a-b,
Worm.Win32.Opasoft.a-h,
I-Worm.Avron.a-e,
I-Worm.LovGate.a-l,
I-Worm.Fizzer,
I-Worm.Magold.a-e,
Worm.Win32.Lovesan
Если программа найдет в памяти следующие процессыпроцессы:
Krn132.exe
WQK.exe
или любой процесс, зараженный одним из этих вирусов, она попытается
снять вирусный Hook и изменить зараженный процесс где это необходимо
для избежания повторного заражения и затем остановить этот зараженный
процесс и вылечить или удалить зараженные файлы данного процесса с жесткого
диска и ссылки на него в реестре. Если программа найдет, что библиотека
WQK.DLL загружена каким-либо процессом, она переименует файл библиотеки
и поставит его в очередь на удаление после перезагрузки системы. В случае
если программа найдет эту библиотеку в памяти компьютера, для полного
удаления вируса будет необходимо, по завершению работы программы, перезагрузить
компьютер и запустить программу еще раз после перезагрузки для очистки
реестра. Если программа найдет хотябы один зараженный процесс в памяти,
запустится сканирование жесткого диска (и всех присоединенных сетевых
дисков если указать в коммандной строке /netscan). Программа будет сканировать
только на заражение указанными вирусами. Если указан параметр коммандной
строки /s программа будет сканировать жесткий диск (и все присоединенные
сетевые диски если указать в коммандной строке /sn) в любом случае.
Если вирус Win32.Elkern.c создает свой mapping в памяти, программа вылечит
эту облать памяти. Программа может восстанавливать следующие ссылки
автозапуска, используемые вирусами:
autoexec.bat
win %infected file%
win.ini в разделе [Windows]
run=<вирусный файл>
ключи в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
значения
AppInit_DLLs
Run
HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command (txt ассоциация)
восстонавливается ссылка на notepad.exe файл
HKEY_CLASSES_ROOT\exefile\shell\open\command (exe ассоциация)
восстонавливается в "%1" %*
HKEY_CLASSES_ROOT\comfile\shell\open\command (com ассоциация)
восстонавливается в "%1" %*
HKEY_CLASSES_ROOT\batfile\shell\open\command (bat ассоциация)
восстонавливается в "%1" %*
HKEY_CLASSES_ROOT\piffile\shell\open\command (pif ассоциация)
восстонавливается в "%1" %*
HKEY_CLASSES_ROOT\scrfile\shell\open\command (scr ассоциация)
восстонавливается в "%1" %*
установленные NT сервисы
скрипты запуска mIRC
<директория Program Files>\Mirc\script.ini
<директория Program Files>\Mirc32\script.ini
скрипты запуска Pirch
<директория Program Files>\Pirch98\events.ini
Ну вот вроде-бы и всё что я хотел вам рассказать, осталось только
попрасить Monstr'а чтобы он кинул эти
две проги к себе на сайт. Одна голова хорошо, а две - уже некрасиво!
re5pect всем кто делал сайт и помагал советами в его создании и графическом
оформлении. Удачи вам!!! :) и меньше багов вашей системе!!! С ув.ARHItektor
P.S. !!!внимательно читайте текст!!!! если система работает без проблемы описанной в этой статье то, ни надо качать и распаковывать какие либо файлы!!! а, то потом системе будет помагать доктор: format c:\ или очень хороший реаниматор... о котором я может быть напишу вам в следущей статье. и ещё о виндах!!! появилась новая версия Windows которая взяла все самое лучшее из win SE, win ME, win NT в свет выходит win с зашитой о т взлома !!! и имя его Windows SEMENT :)
