IPB

Здравствуйте, гость ( Вход | Регистрация )

 
ОтветитьСоздать новую тему
> вирус Vbs/bigag-a, или другой отключающий диспетчер задач и реестр
Serega
сообщение 24.10.2008, 8:42
Сообщение #1


tourist


Группа: Teremki@LAN
Сообщений: 1718
Регистрация: 13.2.2004
Из: Теремки
Пользователь №: 3



вирус копирует свой файл в системный каталог Windows: c:\windows\System\Gigabyte.vbs И добавляет ссылку на этот файл в ключи автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs"

[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs"

Данный файл автоматически запускается при каждой последующей загрузке Windows.

Также червь создает следующие параметры в ключе реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"SwapNT" = "rundll32 user32, SwapMouseButton"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Swap98" = "rundll32.exe user.exe, swapmousebutton"

Таким образом, при каждом новом старте операционной системы действия, назначенные на кнопки мыши, будут меняться местами.

Программа отключает мышь при следующей загрузке системы (только для Win9x):

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Mad" = "rundll32 mouse,disable" Затем червь выполняет команду, в результате которой действия от кнопок мыши немедленно меняются местами:

rundll32 user32, SwapMouseButton Также червь изменяет значения следующих ключей реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer]
NoClose = 1

После этого вызов «Диспетчера Задач» Windows становится невозможным, а также блокируется возможность завершать работу системы.

Кроме того, червь переименовывает все файлы, находящиеся в папках «Мои документы» и «Главное меню\Программы», в файлы с именем, содержащим строку «Ты лох!!!» и произвольное число. Расширений данные файлы не имеют. Сами папки аналогично подвергаются переименованию — после того, как это происходит со всеми содержащимися в них файлами.

Вредоносная программа пытается удалить специальные папки Windows: «Рабочий стол», «Главное меню», «Избранное», «Мои документы».

Червь выводит на экран в бесконечном цикле следующее сообщение:

Действия, выполняемые данной программой, приводят к сбоям в работе операционной системы.


Распространение через e-mail
Используя OLE-объект Microsoft Outlook («Outlook.Application»), вирус рассылает свое тело посредством вложений в e-mail по всем адресам в адресной книге данной почтовой программы.


Характеристики зараженных писем

Тема письма
Встречаются следующие варианты:

  • Новое_Название
  • Программа
  • Kaspersky Lab
  • Very Gooooood Day
  • Привет!

Текст письма
Возможные варианты:

  • Новое_Название
  • Нажимай
  • Здравствуйте, не обнаружено вредоносного кода в файле kasperofsky.zip
  • If your Windows is not O.K, save this file an then lunch, and then you Windows will be all right. And you too (IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif)
  • Лови мою фотку!
Рекомендации по удалению Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить исходный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Удалить файл: c:\windows\System\Gigabyte.vbs
  3. Удалить параметры в ключах реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "SwapNT" = "rundll32 user32, SwapMouseButton"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Swap98" = "rundll32.exe user.exe, swapmousebutton"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Mad" = "rundll32 mouse,disable"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs"

    [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices]
    "Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    DisableTaskMgr = 1

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer]
    NoClose = 1
Вернуться к началу страницы
 
+Цитировать сообщение
Cooler
сообщение 24.10.2008, 8:55
Сообщение #2





Группа: Teremki@LAN
Сообщений: 715
Регистрация: 20.11.2005
Пользователь №: 569



Имо автор вирусни особо интелектом не блещет. Учитывая скрин, и некоторые фразы.... Автору походу лет на первый курс пту по програмированию, а то еще хуже - школьник....
Вернуться к началу страницы
 
+Цитировать сообщение
Serega
сообщение 24.10.2008, 9:04
Сообщение #3


tourist


Группа: Teremki@LAN
Сообщений: 1718
Регистрация: 13.2.2004
Из: Теремки
Пользователь №: 3



(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif) ну может быть, но хлопот доставляет нормально)

ещё решения
Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

а если запрещен и реестр то -
Для включения опции необходимо в строке "Выполнить" написать команду GPEDIT.MSC. Откроется административное окно "Групповая политика". USER CONFIGURATION (Конфигурация пользователя) > ADMINISTRATIVE TEMPLATES (Административные шаблоны) > SYSTEM (система)> PREVENT ACCESS TO REGISTRY EDITING TOOLS (Сделать недоступными средства редактирования реестра) > RIGHT CLICK > PROPERTIES (свойства) > CLICK ENABLE (выбрать "Включен") > OK.
Вернуться к началу страницы
 
+Цитировать сообщение
_SMAK
сообщение 24.10.2008, 10:19
Сообщение #4


проверка связи


Группа: Teremki@LAN
Сообщений: 1108
Регистрация: 17.8.2005
Пользователь №: 455



У меня наверно какая-то бета версия этой пурги %) - мышка после включения не работает вообще - после принудительной перезагрузки - все пучком...
Аваст молчит...
Вернуться к началу страницы
 
+Цитировать сообщение
medOK
сообщение 30.10.2008, 13:55
Сообщение #5



Иконка группы

Группа: Admin
Сообщений: 1735
Регистрация: 15.3.2004
Пользователь №: 41



Смак
А ты попробуй аваст в предзагрузку запустить.

С уважением, Мёд
Вернуться к началу страницы
 
+Цитировать сообщение
Divine
сообщение 2.11.2008, 22:57
Сообщение #6





Группа: Teremki@LAN
Сообщений: 947
Регистрация: 24.9.2007
Из: Глушкова 30-121
Пользователь №: 4630



Все антивири эту штучку видят?
Вернуться к началу страницы
 
+Цитировать сообщение
Cooler
сообщение 3.11.2008, 1:37
Сообщение #7





Группа: Teremki@LAN
Сообщений: 715
Регистрация: 20.11.2005
Пользователь №: 569



(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) Divine
100% гарантию тебе может дать только тот антивирус, который забетонирует твой комп в 20 метровый слой бетона, отключит любой доступ по сети, а так-же электричество. Вот это и будет тебе 95% защиты от вирусов =)

А по сабжу, то гораздо проще предотвратить заражение чем его лечить. Советую OpenOffice. Почти тот-же мелкософтовский офис... Разве что на лицензии гну/гпл, и побоку ему вбс-ные вирусняки..
Вернуться к началу страницы
 
+Цитировать сообщение
Nagrik
сообщение 3.11.2008, 21:57
Сообщение #8





Группа: Teremki@LAN
Сообщений: 232
Регистрация: 9.6.2005
Из: Киев,Теремки
Пользователь №: 396



Цитата
100% гарантию тебе может дать только тот антивирус, который забетонирует твой комп в 20 метровый слой->Вот это и будет тебе 95%

Так 100% или 95%, ты определись=))
Вернуться к началу страницы
 
+Цитировать сообщение
Cooler
сообщение 4.11.2008, 1:02
Сообщение #9





Группа: Teremki@LAN
Сообщений: 715
Регистрация: 20.11.2005
Пользователь №: 569



Последние 5% это сам пользователь =) Вот в сумме и 100 =)
Вернуться к началу страницы
 
+Цитировать сообщение
KOHCTAHTIH
сообщение 7.2.2009, 13:29
Сообщение #10





Группа: Teremki@LAN
Сообщений: 170
Регистрация: 25.11.2006
Из: kiev
Пользователь №: 1401



а можно код сюда етого вбс"а?)
Вернуться к началу страницы
 
+Цитировать сообщение

ОтветитьСоздать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 28.3.2024, 16:43
Ошибка работы драйвера БД

Ошибка при работе с базой данных

Возникла проблема при работе с базой данных.
Вы можете попробовать обновить эту страницу, нажав сюда