вирус Vbs/bigag-a, или другой отключающий диспетчер задач и реестр |
Здравствуйте, гость ( Вход | Регистрация )
вирус Vbs/bigag-a, или другой отключающий диспетчер задач и реестр |
24.10.2008, 8:42
Сообщение
#1
|
|
tourist Группа: Teremki@LAN Сообщений: 1718 Регистрация: 13.2.2004 Из: Теремки Пользователь №: 3 |
вирус копирует свой файл в системный каталог Windows: c:\windows\System\Gigabyte.vbs И добавляет ссылку на этот файл в ключи автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs" [HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Gigabyte" = "C:\WINDOWS\SYSTEM\Gigabyte.vbs" Данный файл автоматически запускается при каждой последующей загрузке Windows. Также червь создает следующие параметры в ключе реестра: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "SwapNT" = "rundll32 user32, SwapMouseButton" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Swap98" = "rundll32.exe user.exe, swapmousebutton" Таким образом, при каждом новом старте операционной системы действия, назначенные на кнопки мыши, будут меняться местами. Программа отключает мышь при следующей загрузке системы (только для Win9x): [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Mad" = "rundll32 mouse,disable" Затем червь выполняет команду, в результате которой действия от кнопок мыши немедленно меняются местами: rundll32 user32, SwapMouseButton Также червь изменяет значения следующих ключей реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] DisableTaskMgr = 1 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explоrer] NoClose = 1 После этого вызов «Диспетчера Задач» Windows становится невозможным, а также блокируется возможность завершать работу системы. Кроме того, червь переименовывает все файлы, находящиеся в папках «Мои документы» и «Главное меню\Программы», в файлы с именем, содержащим строку «Ты лох!!!» и произвольное число. Расширений данные файлы не имеют. Сами папки аналогично подвергаются переименованию — после того, как это происходит со всеми содержащимися в них файлами. Вредоносная программа пытается удалить специальные папки Windows: «Рабочий стол», «Главное меню», «Избранное», «Мои документы». Червь выводит на экран в бесконечном цикле следующее сообщение: Действия, выполняемые данной программой, приводят к сбоям в работе операционной системы. Распространение через e-mail Используя OLE-объект Microsoft Outlook («Outlook.Application»), вирус рассылает свое тело посредством вложений в e-mail по всем адресам в адресной книге данной почтовой программы. Характеристики зараженных писем Тема письма Встречаются следующие варианты:
Текст письма Возможные варианты:
|
|
|
24.10.2008, 8:55
Сообщение
#2
|
|
Группа: Teremki@LAN Сообщений: 715 Регистрация: 20.11.2005 Пользователь №: 569 |
Имо автор вирусни особо интелектом не блещет. Учитывая скрин, и некоторые фразы.... Автору походу лет на первый курс пту по програмированию, а то еще хуже - школьник....
|
|
|
24.10.2008, 9:04
Сообщение
#3
|
|
tourist Группа: Teremki@LAN Сообщений: 1718 Регистрация: 13.2.2004 Из: Теремки Пользователь №: 3 |
(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_smile.gif) ну может быть, но хлопот доставляет нормально)
ещё решения Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK. Закройте окно Групповая политика. Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить). а если запрещен и реестр то - Для включения опции необходимо в строке "Выполнить" написать команду GPEDIT.MSC. Откроется административное окно "Групповая политика". USER CONFIGURATION (Конфигурация пользователя) > ADMINISTRATIVE TEMPLATES (Административные шаблоны) > SYSTEM (система)> PREVENT ACCESS TO REGISTRY EDITING TOOLS (Сделать недоступными средства редактирования реестра) > RIGHT CLICK > PROPERTIES (свойства) > CLICK ENABLE (выбрать "Включен") > OK. |
|
|
24.10.2008, 10:19
Сообщение
#4
|
|
проверка связи Группа: Teremki@LAN Сообщений: 1108 Регистрация: 17.8.2005 Пользователь №: 455 |
У меня наверно какая-то бета версия этой пурги %) - мышка после включения не работает вообще - после принудительной перезагрузки - все пучком...
Аваст молчит... |
|
|
30.10.2008, 13:55
Сообщение
#5
|
|
Группа: Admin Сообщений: 1735 Регистрация: 15.3.2004 Пользователь №: 41 |
Смак
А ты попробуй аваст в предзагрузку запустить. С уважением, Мёд |
|
|
2.11.2008, 22:57
Сообщение
#6
|
|
Группа: Teremki@LAN Сообщений: 947 Регистрация: 24.9.2007 Из: Глушкова 30-121 Пользователь №: 4630 |
Все антивири эту штучку видят?
|
|
|
3.11.2008, 1:37
Сообщение
#7
|
|
Группа: Teremki@LAN Сообщений: 715 Регистрация: 20.11.2005 Пользователь №: 569 |
(IMG:http://board.teremki.net.ua/style_emoticons/default/icon_arrow.gif) Divine
100% гарантию тебе может дать только тот антивирус, который забетонирует твой комп в 20 метровый слой бетона, отключит любой доступ по сети, а так-же электричество. Вот это и будет тебе 95% защиты от вирусов =) А по сабжу, то гораздо проще предотвратить заражение чем его лечить. Советую OpenOffice. Почти тот-же мелкософтовский офис... Разве что на лицензии гну/гпл, и побоку ему вбс-ные вирусняки.. |
|
|
3.11.2008, 21:57
Сообщение
#8
|
|
Группа: Teremki@LAN Сообщений: 232 Регистрация: 9.6.2005 Из: Киев,Теремки Пользователь №: 396 |
Цитата 100% гарантию тебе может дать только тот антивирус, который забетонирует твой комп в 20 метровый слой->Вот это и будет тебе 95% Так 100% или 95%, ты определись=)) |
|
|
4.11.2008, 1:02
Сообщение
#9
|
|
Группа: Teremki@LAN Сообщений: 715 Регистрация: 20.11.2005 Пользователь №: 569 |
Последние 5% это сам пользователь =) Вот в сумме и 100 =)
|
|
|
7.2.2009, 13:29
Сообщение
#10
|
|
Группа: Teremki@LAN Сообщений: 170 Регистрация: 25.11.2006 Из: kiev Пользователь №: 1401 |
а можно код сюда етого вбс"а?)
|
|
|
Текстовая версия | Сейчас: 28.3.2024, 14:52 |