Бакинский завод Искра    Главная
Начальная
страница
 ЧаВо
Вопросы
и ответы
 Разделы
Наши
темы
 Ссылки
Каталог
сайтов
 Файлы
Каталог
программ
 Форум
Наш
форум
  Логин: Пароль:

  Поиск:  



· Главная
· Архив новостей
· Видео и аудио
· Видеочат
· День рождения
· Добавить новость
· Игры онлайн
· Каталог ссылок
· Каталог файлов
· Наши форумы
· Обмен валют
· Обратная связь
· Рейтинг пользователей
· Рекомендовать нас
· Список Искровцев
· Список пользователей
· Темы новостей
· Фотоальбом
· ЧаВО

Загрузка...


Ищем крэки, а получаем троян

Интернет и компьютеры Есть в интернете такой сайт seriall.com, где по заверению авторов, можно найти крэки к платным программам. Вот на нем и ищем вирусы, только предупреждаю, без последних обновлений Windows от Майкрософт и установленной антивирусной программы туда не стоит заходить, автоматом впарят Trojan.Win32.Agent Мне достался Trojan.Win32.Agent.vg, когда попытался зайти без обновлений Windows от Майкрософт.Как говориться - бесплатный сыр в мышеловке. Вот и там вместо крэка по любому запросу получите Trojan.Win32.Agent, хотя названия программ будут разные, например windows xp sp2 keygen, avg crack, avg keygen, avg serial, nero 7 crack, nero 7 serial number, kaspersky key, activation key pinnacle studio plus, kaspersky activation code, windows 2003 crack и другие. Не советую запускать эти крэки на своем компьютере, получите троян со всеми вытекающими последствиями. Подобными штучками иногда нашпигованы разные эротические сайты, например зайдя по ссылке Вы заметите уменьшение баланса на своем сотовом телефоне. Если не знаете, что делаете, то не повторяйте мой эксперимент. Для остальных все программы для этого эксперимента Вы можете скачать с нашего сайта в разделе Каталог файлов. Скачать бесплатную программу sysinspektor

     Итак, вернемся к нашим баранам. Ввиду того, что запускать вирусные программы на своем компьютере не хотелось, то решил запустить вирусов на виртуальной машине с помощью программы VMware Workstation 5.5.2. На виртуальной машине установлена операционная система Windows XP Professional с встроенным в дистрибутив Servisе Pack 2. Установлены все обновления Windows по декабрь 2006 года. Установил только программы FAR 1.7, HiddenFinder и естественно Kaspersky Internet Security 6.0 с последними обновлениями. Для проверки браузеров на вшивость установил два альтернативных браузера Mozilla Firefox 2.0 и Opera 9.02. Я с виртуальной машины захожу на сайт seriall.com Internet Exploreroм. Сайт замирает на некоторое время и вот он - seriall.com во всей красе.  

Вот он - seriall.com во всей красе


     Никаких подозрительных действий не замечено, значить обновления Windows помогли. Захожу на сайт браузером Mozilla Firefox, тоже все нормально, антивирус молчит. Третий подопытный браузер Opera 9.02. Тут же вплывает предупреждение антивируса: вредоносная программа Exploit.HTML.IframeBof. Закрываю Оперу и продолжаю работать Эксплорером. Выбираю крэк для антивируса Касперского версии 6.0 и пытаюсь скачать файл, но тут же выскакивает предупреждение антивирусной программы о том, что файл заражен Trojan.Win32.Agent.vg.

Файл заражен Trojan.Win32.Agent.vg


     Долой сомнения, даю добро на скачивание, но антивирус не дает эту программу скачать, блокирует все мои попытки. Приходиться его отключить. Скачиваю аккуратно программу в папку virus. Опять включаю антивирус и пытаюсь открыть эту папку. Опять предупреждение, Kaspersky Internet Security не дает запустить этот крэк.

Kaspersky Internet Security не дает запустить этот крэк


     Придется бедолагу опять отключить, но отключаю только файловый монитор, оставляю запущенными другие службы. Запускаю спокойно скачанный троян.

Запускаю спокойно скачанный троян


     Смотрю дальше, опять предупреждение о попытке получения доступа к реестру, а точнее к составу модулей загружаемых при старте компьютера. В эту ветвь реестра - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywinmmt32 и пытается вписать свой код этот крэк.

Пытается вписать свой код этот крэк


     Разрешаю выполнить подозрительные действия, троян прописывается в автозапуск. Снова предупреждение о попытке запуска браузера из командной строки. Трус не играет в хоккей. Жмем разрешить.

Предупреждение о попытке запуска браузера


     Смотрим, что у нас в процессах программой HiddenFinder. Вот запустился IEXPLORER.EXE, а браузера не видно. И опять второе предупреждение о попытке запуска браузера из командной строки. Естественно разрешаем.

Что у нас в процессах программой HiddenFinder


     И замечаю запускаемый файл из проводника пропал, растворился в операционной системе. А HiddenFinder уже показывает два загруженных процесса iexplorer.exe. Отлично – заражение прошло успешно.

HiddenFinder показывает два загруженных процесса


     Запускаю Regedit и открываю ветвь реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywinmmt32. Вот Вам и автозапуск при загрузки программы Winlogon. Теперь понятно как он прописался в автозагрузку.

Запускаю Regedit и открываю ветвь реестра


     Удаляю полностью эту ветвь реестра. Смотрю папочку C:Windowssystem32. Вот там и есть этот файлик, так что недаром запускался эксплорер из командной строки, скачал программку и установил с системную директорию. Вот он расположился и дата создания свежая.

Смотрю папочку C:Windowssystem32


     Смотрю процессы в HiddenFinder, ничего подозрительного не обнаруживаю. В общем DLLка подгружается к программе Winlogon.exe, этим и скрывается ее существование. Дополнительно тело вируса оказывается в папке С:Do*****ents and SettingsAdministratorLocal SettingsTemporarymst1.tmp и в этой же папке пакетный файл mst1.bat. Запускаю для подтверждения заражения сканер Kaspersky Internet Security 6.0 и получаю в отчете два зараженных файла:
Поиск вирусов
-------------
Проверено: 70886
Обнаружено: 2
Не обработано: 2
Запуск: 12/14/2006 6:28:30 AM
Длительность: 00:21:38
Завершение: 12/14/2006 6:50:08 AM

Обнаружено
----------
Статус Объект
------ ------
обнаружено: вирус Packed.Win32.Klone.v Файл: C:Do*****ents and SettingsAdministratorLocal SettingsTempmst1.tmp/PE_Patch.PECompact/PecBundle/PECompact
обнаружено: вирус Packed.Win32.Klone.v Файл: C:WINDOWSsystem32winmmt32.dll/PE_Patch.PECompact/PecBundle/PECompact
Получили Packed.Win32.Klone.v вместо кейгена, теперь займемся удалением вредоносной программы. Удаляем файл winmmt32.dll. Но удалить файл невозможно, он используется системой. Да еще процессом Winlogon. Загрузка в Safe Mode тоже ничего не даст. Нужно переходить в консоль восстановления. Но для того, чтобы открыть системные папки в Recovery Console нужно изменить параметр безопасности, а именно включить доступ ко всем папкам и файлам в Recovery Console. По умолчанию, доступ к системным папкам запрещен. Включаю параметр и перезагружаю компьютер.

Изменяю параметр безопасности в Recovery Console


     Беру компакт диск с дистрибутивом Windows и загружаю Recovery Console и выполняю:
cd system32
del winmmt32.dll
exit
     Загружаюсь в нормальном режиме и проверяю папку system32 на наличие файла winmmt32.dll. Файла там уже нет. Опять проверяю реестр, а там ветвь winmmt32 осталась. Перед выгрузкой системы вредоносный код восстановил эту ветвь реестра, не хотел умирать. Опять удаляю, перегружаюсь, антивирус после сканирования диска не нашел никаких вредоносных программ. Восстановление системы удалось – вирус Packed.Win32.Klone.v обезврежен.
     Скачать эту статью в документе Microsoft Word, плюс бесплатную программу ESET SysInspector версии 1.1.1.0 можно у нас в файловом архиве по адресу http://alov.ifolder.ru/f230524  Программа  ESET SysInspector позволяет анализировать различные аспекты работы операционной системы, включая запущенные и текущие процессы, данные регистра, фиксирует запуск программ и соединений сети. Возможности программы ESET SysInspector аналогичны программе HiddenFinder, а в некоторых аспектах даже лучше.



Примечание: Крэки, серийники, кейгены и вирусы.


Разместил: admin [15/12/2006]

 
· Больше про Интернет и компьютеры
· Новость от admin


Самая читаемая статья: Интернет и компьютеры:
Звонить бесплатно? Сейчас возможно и такое


Средняя оценка: 5
Ответов: 2


Пожалуйста, проголосуйте за эту статью:

Отлично
Очень хорошо
Хорошо
Нормально
Плохо



 Напечатать текущую страницу Напечатать текущую страницу


Спасибо за проявленный интерес

Вы не можете отправить комментарий анонимно, пожалуйста зарегистрируйтесь.

Re: Ищем крэки, а получаем троян (Всего: 1)
от Pol 16/12/2006
(Информация о пользователе | Отправить сообщение)
Неожиданная и очень интересная статья. Напоминает исследования какого-то врача, который умышленно заражал себя инфекцией, описывал симптомы (если был в состоянии) и искал способы лечения. :-)



Re: Ищем крэки, а получаем троян (Всего: 1)
от Pol 16/12/2006
(Информация о пользователе | Отправить сообщение)
Не совсем понятно, что хотел пояснить автор в примечании. См.: Примечание: Крэки, серийники, кейгены и вирусы.




Играй Бесплатно!!! - www.FreeLoto.ru



Архив статей  ::  Добавить новость ::  Контакт с автором ::  Рекомендовать Нас

RusNuke2003 theme by PHP-Nuke по-русски
© 2006 г. Сообщество бывших работников Бакинского Завода Искра http://uckpa.net
PHP-Nuke Copyright © 2006 by Francisco Burzi. This is free software, and you may redistribute it under the GPL. PHP-Nuke comes with absolutely no warranty, for details, see the license.
The Russian localization - project Rus-PhpNuke.com
Открытие страницы: 0.12 секунды

Получить WMR-бонус Balans.kz на свой кошелек!

Rambler's Top100       VIP каталог Рунета             Каталог Ресурсов Интернет