API tools faq
paste
Advertisement
Guest User

Как скрываются вирусы

a guest
Mar 31st, 2010
1,164
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 4.15 KB | None | 0 0
raw download clone embed print report
  1. Может для кого-то боян, но я сегодня на флешке обнаружил вирус, использующий новый (для меня) метод скрытия.
  2. Точнее, метод для меня не новый, но вирусы, которые его используют, раньше мне не попадались.
  3.  
  4. <h5>Скрытые файлы</h5>
  5.  
  6. Всем известно, что вирусы, которые распространяются на переносимых носителях (флешках, дискетах etc.) создают себя скрытыми. Джентльменский набор - тело вируса + Autorun.inf. Если система настроена на автоматический запуск сменных носителей и у вас нет антивируса - вы заразитесь.
  7.  
  8. Когда я вставил флешку, NOD32 забил тревогу и отправил в карантин файл Autorun.inf. Зайдя на флешку эксплорером, я обнаружил там скрытый системный каталог со странным именем: KAMICAK. Выглядел этот каталог как <b>корзина</b>. Я сразу же запустил Far и зашел посмотреть что по чем. Внутри "корзины" было два файла: Desktop.ini и playground.exe.
  9.  
  10. <habracut />
  11. <h5>CLSID</h5>
  12.  
  13. Я выдернул файл Autorun.inf из карантина:
  14.  
  15. <img src="http://i.piccy.info/i4/02/23/9ab727c645294d1d869efddcda9d.jpeg" alt="image"/>
  16. (полный размер: http://i.piccy.info/i4/76/69/53a3957f6afcf99fbef127fea1c1.png)
  17.  
  18. Файл Desktop.ini делает то самое чудесное превращение каталога в "корзину":
  19. <code>X:\KAMICAK>more Desktop.ini
  20. [.ShellClassInfo]
  21. CLSID={645FF040-5081-101B-9F08-00AA002F954E}</code>
  22.  
  23. Кстати:
  24.  
  25. <code>X:\KAMICAK>dir
  26. Volume in drive M is 2G
  27. Volume Serial Number is 3387-AS99
  28.  
  29. Directory of X:\KAMICAK
  30.  
  31. File Not Found</code>
  32.  
  33. При попытке зайти в каталог-"корзину" - вы не увидите его содержимого, вместо него вы увидите содержимое системной корзины (корзины раздела).
  34.  
  35. <h5>CLSID. 2.0</h5>
  36.  
  37. На сайте <a href="http://www.xs4all.nl/~hwiegman/desktopini.html">xs4all</a> можно посмотреть список используемых CLSID.
  38.  
  39. Кроме того, можно просто дать имя каталогу "ИМЯ.{645FF040-5081-101B-9F08-00AA002F954E}" и он тоже станет "корзиной". Правда с кривым именем =)
  40.  
  41. Есть еще специальный CLSID с помощью которого можно напрочь скрыть файл. Даже при настройках "показывать системные и скрытые файлы" - каталог не будет отображаться.
  42.  
  43. Привести сейчас пример не могу, но у меня где-то записан этот ключ и если найду, то обязательно опубликую.
  44.  
  45. На Хабре нашел только статью, которая "помогает" обнаружить, заразилась ли флешка. http://habrahabr.ru/blogs/infosecurity/53642/
  46. Хак полезный, но только в случае, если флешка заражается непосредственно при подключении. Если стоят хуки на функцию отключения (извлечения) флешки, то зараженную флешку можно унести на другой компьютер и заразить его. При этом, мы будем думать, что <i>вирус уже был</i> на компьютере, т.к. перед выниманием флешки "убедились", что она "не заражена".
  47. Так что пока - лучше, чем антивирус, сложно что-то придумать.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!