Есть в интернете такой сайт seriall.com, где по заверению авторов, можно найти крэки к платным программам. Вот на нем и ищем вирусы, только предупреждаю, без последних обновлений Windows от Майкрософт и установленной антивирусной программы туда не стоит заходить, автоматом впарят Trojan.Win32.Agent Мне достался Trojan.Win32.Agent.vg, когда попытался зайти без обновлений Windows от Майкрософт.Как говориться - бесплатный сыр в мышеловке. Вот и там вместо крэка по любому запросу получите Trojan.Win32.Agent, хотя названия программ будут разные, например windows xp sp2 keygen, avg crack, avg keygen, avg serial, nero 7 crack, nero 7 serial number, kaspersky key, activation key pinnacle studio plus, kaspersky activation code, windows 2003 crack и другие. Не советую запускать эти крэки на своем компьютере, получите троян со всеми вытекающими последствиями. Подобными штучками иногда нашпигованы разные эротические сайты, например зайдя по ссылке Вы заметите уменьшение баланса на своем сотовом телефоне. Если не знаете, что делаете, то не повторяйте мой эксперимент. Для остальных все программы для этого эксперимента Вы можете скачать с нашего сайта в разделе Каталог файлов. Скачать бесплатную программу sysinspektor
Итак, вернемся к нашим баранам. Ввиду того, что запускать вирусные программы на своем компьютере не хотелось, то решил запустить вирусов на виртуальной машине с помощью программы VMware Workstation 5.5.2. На виртуальной машине установлена операционная система Windows XP Professional с встроенным в дистрибутив Servisе Pack 2. Установлены все обновления Windows по декабрь 2006 года. Установил только программы FAR 1.7, HiddenFinder и естественно Kaspersky Internet Security 6.0 с последними обновлениями. Для проверки браузеров на вшивость установил два альтернативных браузера Mozilla Firefox 2.0 и Opera 9.02. Я с виртуальной машины захожу на сайт seriall.com Internet Exploreroм. Сайт замирает на некоторое время и вот он - seriall.com во всей красе.
Никаких подозрительных действий не замечено, значить обновления Windows помогли. Захожу на сайт браузером Mozilla Firefox, тоже все нормально, антивирус молчит. Третий подопытный браузер Opera 9.02. Тут же вплывает предупреждение антивируса: вредоносная программа Exploit.HTML.IframeBof. Закрываю Оперу и продолжаю работать Эксплорером. Выбираю крэк для антивируса Касперского версии 6.0 и пытаюсь скачать файл, но тут же выскакивает предупреждение антивирусной программы о том, что файл заражен Trojan.Win32.Agent.vg.
Долой сомнения, даю добро на скачивание, но антивирус не дает эту программу скачать, блокирует все мои попытки. Приходиться его отключить. Скачиваю аккуратно программу в папку virus. Опять включаю антивирус и пытаюсь открыть эту папку. Опять предупреждение, Kaspersky Internet Security не дает запустить этот крэк.
Придется бедолагу опять отключить, но отключаю только файловый монитор, оставляю запущенными другие службы. Запускаю спокойно скачанный троян.
Смотрю дальше, опять предупреждение о попытке получения доступа к реестру, а точнее к составу модулей загружаемых при старте компьютера. В эту ветвь реестра - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywinmmt32 и пытается вписать свой код этот крэк.
Разрешаю выполнить подозрительные действия, троян прописывается в автозапуск. Снова предупреждение о попытке запуска браузера из командной строки. Трус не играет в хоккей. Жмем разрешить.
Смотрим, что у нас в процессах программой HiddenFinder. Вот запустился IEXPLORER.EXE, а браузера не видно. И опять второе предупреждение о попытке запуска браузера из командной строки. Естественно разрешаем.
И замечаю запускаемый файл из проводника пропал, растворился в операционной системе. А HiddenFinder уже показывает два загруженных процесса iexplorer.exe. Отлично – заражение прошло успешно.
Запускаю Regedit и открываю ветвь реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifywinmmt32. Вот Вам и автозапуск при загрузки программы Winlogon. Теперь понятно как он прописался в автозагрузку.
Удаляю полностью эту ветвь реестра. Смотрю папочку C:Windowssystem32. Вот там и есть этот файлик, так что недаром запускался эксплорер из командной строки, скачал программку и установил с системную директорию. Вот он расположился и дата создания свежая.
Смотрю процессы в HiddenFinder, ничего подозрительного не обнаруживаю. В общем DLLка подгружается к программе Winlogon.exe, этим и скрывается ее существование. Дополнительно тело вируса оказывается в папке С:Do*****ents and SettingsAdministratorLocal SettingsTemporarymst1.tmp и в этой же папке пакетный файл mst1.bat. Запускаю для подтверждения заражения сканер Kaspersky Internet Security 6.0 и получаю в отчете два зараженных файла:
Поиск вирусов
-------------
Проверено: 70886
Обнаружено: 2
Не обработано: 2
Запуск: 12/14/2006 6:28:30 AM
Длительность: 00:21:38
Завершение: 12/14/2006 6:50:08 AM
Обнаружено
----------
Статус Объект
------ ------
обнаружено: вирус Packed.Win32.Klone.v Файл: C:Do*****ents and SettingsAdministratorLocal SettingsTempmst1.tmp/PE_Patch.PECompact/PecBundle/PECompact
обнаружено: вирус Packed.Win32.Klone.v Файл: C:WINDOWSsystem32winmmt32.dll/PE_Patch.PECompact/PecBundle/PECompact
Получили Packed.Win32.Klone.v вместо кейгена, теперь займемся удалением вредоносной программы. Удаляем файл winmmt32.dll. Но удалить файл невозможно, он используется системой. Да еще процессом Winlogon. Загрузка в Safe Mode тоже ничего не даст. Нужно переходить в консоль восстановления. Но для того, чтобы открыть системные папки в Recovery Console нужно изменить параметр безопасности, а именно включить доступ ко всем папкам и файлам в Recovery Console. По умолчанию, доступ к системным папкам запрещен. Включаю параметр и перезагружаю компьютер.
Беру компакт диск с дистрибутивом Windows и загружаю Recovery Console и выполняю:
cd system32
del winmmt32.dll
exit
Загружаюсь в нормальном режиме и проверяю папку system32 на наличие файла winmmt32.dll. Файла там уже нет. Опять проверяю реестр, а там ветвь winmmt32 осталась. Перед выгрузкой системы вредоносный код восстановил эту ветвь реестра, не хотел умирать. Опять удаляю, перегружаюсь, антивирус после сканирования диска не нашел никаких вредоносных программ. Восстановление системы удалось – вирус Packed.Win32.Klone.v обезврежен.
Скачать эту статью в документе Microsoft Word, плюс бесплатную программу ESET SysInspector версии 1.1.1.0 можно у нас в файловом архиве по адресу http://alov.ifolder.ru/f230524 Программа ESET SysInspector позволяет анализировать различные аспекты работы операционной системы, включая запущенные и текущие процессы, данные регистра, фиксирует запуск программ и соединений сети. Возможности программы ESET SysInspector аналогичны программе HiddenFinder, а в некоторых аспектах даже лучше.
Примечание: Крэки, серийники, кейгены и вирусы.
