Такой вопрос , если у тебя не отключен автозапуск и ты подключаешь пустую флэшку (в системных файлах которых сидит троян) , комп считывает инфу и заражается , вопрос : вирус сядет куда захочет или куда-то в определённое место ?
Тему наверное можно закрыть , да и наверно сюда ее нежелательно было писать , но вдруг пригодится то , что я нарыл
W32.Ircbrute
Тип:Червь
Черви - вредоносные программы, распространяющиеся копированием себя целиком либо непосредственно при помощи функции копирования, либо при помощи эксплуатации критических уязвимостей систем к удалённому выполнению кода, не требующих участия пользователя, либо при помощи массовой рассылки себя по электронной почте, либо при помощи рассылки ссылок на своё местонахождение в интернете (в том числе - ссылок на вредоносные страницы, эксплуатирующие уязвимости браузеров для установки своей копии в систему).
Операционная система:Windows
Уровень:низкий
Размер:12.506 байт
Признаки
При запуске проверяет наличие процесса explorer.exe (а он всегда запущен) и встраивает туда свой код. Код используется для создания одного из двух мутексов, применяющихся для проверки наличия червя в памяти:
asd-6+094997_
dfsfdh546fg3243fgmj
Создает следующие файлы (два последних - копии червя):
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe (copy of W32.Ircbrute)
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe (copy of W32.Ircbrute)
(%SystemDrive% - системный диск, обычно C:)
Через реестр обеспечивает себе автозагрузку при старте системы:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"internet security manager" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Printer Spooler" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"
Через реестр обеспечивает себе автозапуск вместе с explorer.exe:
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\"StubPath": "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}\"StubPath" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}\"StubPath": "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}\"StubPath" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"
Создает также следующие подключи:
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}
Копирует себя на все диски, которым присвоена буква, в корень, под именами spoolsv.exe и dll32.exe. Там же создает файл автозапуска autorun.inf.
Пытается подключиться к атакующему через IRC-протокол (cерверы me.cashirc.com:7000 и 124.217.248.112:6667).
ЗАЩИТА
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на все диски, открывает "черный ход" в захваченной системе. Загружает свои обновления, может участвовать в DoS-атаках типа UDP flood и SYN flood.
источник: Symantec.com
В зависимости от того, для каких пакостей предназначен, может оказаться в любом месте, но чаще всего сидит на C, очень любит System Volume Information, и прописку в реестре.
Короче надо чистить всё
Короче надо чистить всё
В тему пришла свежая новость c :
оригинал:
Цитата | Quote
Ни один из документированных способов не отключает полностью функцию автоматического запуска, что активно используется вредоносными программами. Предлагается внести следующую запись в реестр (@ означает значение по-умолчанию): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] @="@SYS:DoesNotExist"
Приложения: Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server
Приложения: Windows 2000 Server, Windows 2000 Professional, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server
оригинал:
Можно создать в корне каждого диска папку autoruns.inf и кинуть в неё пару файликов. Лучше всего помогает.
SoftoRooM © 2004-2024