Приключения
Aug. 11th, 2003 11:11 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
ymsПодозреваю, что не у меня одного нижеописанные проблемы.
Давненько у меня не было ничего интересного в вирусно-троянском плане. Сегодня вечером комп (WinXP) стал вдруг перегружаться — event log потом показал, что упал сервис RPC по неизвестной причине. После перезагрузки через некоторое время он снова упал. После ещё одной перезагрузки я стал выяснять, что случилось, и в system32 обнаружил нечто интересное: маленький файлик msblast.exe с сегодняшней датой и временем, примерно соответствующим времени перезагрузки.
Беглый просмотр показал, что этот exe сжат UPX'ом — теперь уж точно стало понятно, что что-то здесь не так. Недолго думая, я его хотел удалить (перекинув в другое место), удаляться он не хотел, потому что оказался запущенным в память (что и так понятно, а что же ему там ещё делать). Я убил его фаром, попутно он оказался ещё и рид-онли. Распаковав .exe, увидел путь к SOFTWARE\Microsoft\Windows\CurrentVersion\Run — т.е. он себя ставит в автостарт. Зайдя туда, увидел, что он себя пишет как "windows auto update". Далее, в .exe оказались строчки:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!
Какую именно дырку нашёл добрый хакер, я пока не понял. Возможно, она связана с Windows Update. При подключении к инету перезагрузка продолжает происходить, и файлик продолжает возрождаться, как птица Феникс.
Кроме того, в теле .exe есть строка tftp — это мини-фтп, входящий в винду и позволяющий быстренько утянуть откуда-то файлик. Я его пока что переименовал, причём это понадобилось делать и в каталоге dllcache.
Продолжение следует...
Давненько у меня не было ничего интересного в вирусно-троянском плане. Сегодня вечером комп (WinXP) стал вдруг перегружаться — event log потом показал, что упал сервис RPC по неизвестной причине. После перезагрузки через некоторое время он снова упал. После ещё одной перезагрузки я стал выяснять, что случилось, и в system32 обнаружил нечто интересное: маленький файлик msblast.exe с сегодняшней датой и временем, примерно соответствующим времени перезагрузки.
Беглый просмотр показал, что этот exe сжат UPX'ом — теперь уж точно стало понятно, что что-то здесь не так. Недолго думая, я его хотел удалить (перекинув в другое место), удаляться он не хотел, потому что оказался запущенным в память (что и так понятно, а что же ему там ещё делать). Я убил его фаром, попутно он оказался ещё и рид-онли. Распаковав .exe, увидел путь к SOFTWARE\Microsoft\Windows\CurrentVersion\Run — т.е. он себя ставит в автостарт. Зайдя туда, увидел, что он себя пишет как "windows auto update". Далее, в .exe оказались строчки:
I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!
Какую именно дырку нашёл добрый хакер, я пока не понял. Возможно, она связана с Windows Update. При подключении к инету перезагрузка продолжает происходить, и файлик продолжает возрождаться, как птица Феникс.
Кроме того, в теле .exe есть строка tftp — это мини-фтп, входящий в винду и позволяющий быстренько утянуть откуда-то файлик. Я его пока что переименовал, причём это понадобилось делать и в каталоге dllcache.
Продолжение следует...
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2003-08-12 01:14 am (UTC)А антивирусы - те вообще про этого червяка не знали, да и не пользуюсь я ими вообще. Настоящему индейцу антивирусы не нужны :)
no subject
Date: 2003-08-12 01:25 am (UTC)Я долгое время пользовался Symantecoвскими файрволлом и антивирусом, годовая подписка на которые шли в комплекте с материнкой. Пользовался тем, что подписка каждый раз начинается заново, а систему я переставляю как раз примерно раз в год.
Потом воспользовался скидкой и купил новую версию.
P.S. Извиняюсь за тыкание в предыдущем комменте. Мне почему-то показалось спросонья, что пост -- другого юзера.
no subject
Date: 2003-08-12 01:31 am (UTC)Не доверяю я антивирусам: они или защищают только от того, что знают (что вчера не помогло бы), да ещё и за обновлением надо постоянно следить, или - в "параноидальном" режиме - только мешают.
Хороший файрволл - другое дело, он и массу других полезных вещей делает...
no subject
Date: 2003-08-12 01:45 am (UTC)У меня и антивирус, и Windows установлены на автообновление, так что заплатка у меня установилась сразу после выхода.
Безусловно, новые вещи антивирус не словит, но тут я рассчитываю на файрволл и заплатки. Но антивирусы обновляются каждый день, и если повезло не подцепить вирус в первые часы после его появления, можно рассчитывать на антивирус.