vidocq89 Опубликовано 2 ноября, 2007 Опубликовано 2 ноября, 2007 Самые прикольные описания вредоносных программ Предлагаю постить здесь описашки (хоть с вируслиста хоть от себя по опыту) самых прикольных, оригинальных и смешных зловредов. Начну: Примитивный троянец. Написан на BAT-языке. Размер - 983 байта.При запуске копирует себя в корневой каталог диска C: под именем "hally.bat". Из-за ошибок, допущенных автором троянца, дальнейший код троянца не выполняется. Этот "троянский конь" внешне очень похож на антивирусную программу DrWeb ("Диалог-Наука"). При нажатии на кнопку "Find Viruses And Kill Them" "троянец" удаляет с диска файлы C:\COMMAND.COM и WIN.COM. В результате запуск операционной системы Windows 95/98 становится невозможным. Примитивный троянец, написанный на командном языке DOS (т.е. является BAT-файлом). При запуске уничтожает все файлы на дисках C:, A:, B:, D: (именно в такой последовательности); использует при этом DOS-команду "DELTREE /Y". Затем троянец уничтожает на тех же дисках файлы SIMPSONS.* (непонятно зачем - все файлы уже и так уничтожены).
Frintessa Опубликовано 3 ноября, 2007 Опубликовано 3 ноября, 2007 (изменено) Virus.DOS.Vodka.560 Virus.DOS.Vodka.560 («Лаборатория Касперского») также известен как: Vodka.560 («Лаборатория Касперского»), Univ/r (McAfee), Vodka.560 (Symantec), Vodka.560 (Doctor Web), Dibilizator-560 (Sophos), Vodka.560 (RAV), Vodka (Trend Micro), VGEN/3733.512 (H+BEDV), Vodka.560 (FRISK), Dibilizator-560 (ALWIL), PS-MPC.0560.AV.Gen (SOFTWIN), Vodka.551 (ClamAV), Vodka.560 (Panda), Vodka (Eset) Virus.DOS.Vodka.551 («Лаборатория Касперского») также известен как: Vodka.551 («Лаборатория Касперского»), Univ/r (McAfee), Vodka.551 (Symantec), Vodka.551 (Doctor Web), Dibilizator-560 (Sophos), Vodka.551 (RAV), VODKA.551 (Trend Micro), VGEN/3733.512 (H+BEDV), Vodka.551 (FRISK), Dibilizator-560 (ALWIL), PS-MPC.0551.AK.Gen (SOFTWIN), Vodka.551 (ClamAV), Vodka.560 (Panda), TSR.EXE (Eset) Описание опубликовано 12 янв 2000 Неопасный резидентный вирус. Перехватывает INT 21h и записывается в конец EXE-файлов при их запуске. Выводит сообщение: (copyleft) ДИБИЛИЗАТОР ver. 1.2 Пиво,Водку пить - здоровью вредить!? (Y/N) Изменено 3 ноября, 2007 пользователем Frintessa
Falcon Опубликовано 3 ноября, 2007 Опубликовано 3 ноября, 2007 Напоминает молдавский вирус! Ээээ... Товарищ, попрошу без намеков на национальную принадлежность!
starik Опубликовано 3 ноября, 2007 Опубликовано 3 ноября, 2007 (изменено) Прикольная тема Worm.VBS.Newley.a - недавно подцепил , а описания на viruslist не было . Описание в стиле viruslist.com Worm.VBS.Newley.a Другие названия ________________________________________________________________________________ ЛК:Worm.VBS.Newley,AhnLab-V3:VBS/Newley,AntiVir:Worm/Newley.A,Authentium:VBS/Newley.A, Avast:VBS:Malware-gen,BitDefender:VBS.Newley.A,DrWeb:SCRIPT.Virus,eTrust-Vet:VBS/Newly, Ewido:Worm.Newley.a,Fortinet:VBS/Newley.A!worm,F-Prot:VBS/Newley.A,McAfee:VBS/Psyme, Ikarus:Worm.VBS.Newley.A,Norman:VBS/Worm.gen,Panda:VBS/SlowDeath.A,TheHacker:VBS/Psyme, Rising:Worm.VB.Newley.a,Sophos:VBS/Newley-A,VBA32:Worm.VBS.Newley.a, VirusBuster:VBS.Ovbius.A,Webwasher-Gateway:Worm.Newley.A. ________________________________________________________________________________ Технические детали ________________________________________________________________________________ Сетевой червь выполняющий деструктивные действия на заражённом компьютере. Написан на Visual Basic Script , размер заражённой программы 3641 байт В процессе своей работы на заражённый компьютер загружает различное вредоносное ПО ________________________________________________________________________________ Деструктивная активность ________________________________________________________________________________ 1)_При открытии копируется в "C:\WinNT.Dat" "C:\Windows\System32\CompuSpeed.vbs" "C:\Winnt\System32\CompuSpeed.vbs" 2)_Добавляет себя в новую группу с полномочиями администратора (user:geo,password:geo) 3)_Противодействует антивирусу Sophos 4)_Создаёт ключи в автозапуске системного реестра "HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT", "C:\Winnt\System32\CompuSpeed.vbs" "HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP", "C:\Windows\System32\CompuSpeed.vbs" "HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName","Geography TX-A" "HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString","taskkill /f /im svchost.exe" 5)_Запускает Telnet с учётной записи созданного виросом пользователя "geo" 6)_Скачивает с http://www.meer.net/*****/nc.exe (nc.exe - not-a-virus:RemoteAdmin.Win32.NetCat) _Загруженный файл сохраняется C:\winnt\system32\winntsrv.exe C:\windows\system32\winntsrv.exe 7)_ После того как файл загружен червь прекращяет свою работу на 100 секунд, зделано так по простой причине - vbs скрипты слишком "медленны" + не известно за какое время будет загружен файл 8)_Для только что загруженного бэкдора создаётся ключ в автозапуске системного реестра (см.ниже) "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565", "winntsrv -l -p10001 -d -e cmd.exe -L" 9)_После всез выше описанных операций на заражённом хосте открывается 10001, к данному порту будет канектится злоумышленник 10)_Червь копирует своё тело "C:\WinNT.dat" по всем сетевым дискам с DISK:\CompuSpeed.vbs ________________________________________________________________________________ Рекомендации по удалению ________________________________________________________________________________ Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия: Удалить следущие ключи реестра(см.ниже) HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 XP HKLM\Software\Microsoft\Windows\Currentversion\run\Geography TX 1.0 NT HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\DisplayName HKLM\Software\Microsoft\Windows\Currentversion\uninstall\CompuSpeed\UninstallString HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NC1565 Необходимо удалить созданные червём файлы C:\WinNT.Dat C:\Windows\System32\CompuSpeed.vbs C:\Winnt\System32\CompuSpeed.vbs C:\winnt\system32\winntsrv.exe C:\windows\system32\winntsrv.exe А также на всех дисках DISK_NAME:\CompuSpeed.vbs Удалите созданную червём учётную запись User:Geo, Password:geo ________________________________________________________________________________ |_Вопросы "?"_| ________________________________________________________________________________ Почему *.dat? спросите вы, сделано с целью сокрытия от антивирусов, а также не вызвать подозрения у пользователя. Черви такого типа были наиболее распространены в 2004-2005ые года . Судя по камментариям в теле червя можно сказать что автор: from США ________________________________________________________________________________ Кому нужно отправить описание вредоносного ПО, чтоб описание присутствовало на viruslist.com/ru ? Изменено 3 ноября, 2007 пользователем starik
vidocq89 Опубликовано 4 ноября, 2007 Автор Опубликовано 4 ноября, 2007 (изменено) эту "великолепную" вещь скорее всего написал четырнадцатилетний подросток... Изменено 4 ноября, 2007 пользователем vidocq89
starik Опубликовано 5 ноября, 2007 Опубликовано 5 ноября, 2007 Наверно так оно и есть, кидисы восновном вредоносные сценарии пишут.
vidocq89 Опубликовано 8 ноября, 2007 Автор Опубликовано 8 ноября, 2007 Создает файл C:\README.TXT и записывает в него текст "Fuck!" до тех пор, пока на диске не закончится свободное место. При этом выводит текст: Пожалуйста подождите, проверяется структура каталогов Это может занять несколько минут ... хе-хе... вот еще немного... странно, что от вас нету никаких описаний... ведь вы же как я понял по общению в чате качаете себе троев/вирей, вот бы и нажимали на ссылку-название что бы перейти на вируслист) может бы чего прикольного нашли)
Константин Опубликовано 19 ноября, 2007 Опубликовано 19 ноября, 2007 Наткнулся в одном из журналов: -Самый религиозный вирус.этого титула удостоился червь USBToy.A, поскольку при каждой загрузке системы он демонстрирует цитату из Библии: "Вначале сотворил Бог небо и землю. Земля же была пуста и хаотична, и тьма над бездною, и дух Божий витал над водой. И сказал Бог: <Да будет свет.> И стал свет. Историю нужно помнить!" -Чудеса GPS. Троян Burglar.A, кроме кражи паролей и выполнения других вредоносных действий, сообщает пользователям точное местоположение их компьютера, используя Google Maps. -Член профсоюза. ArmyMovement.A мог бы стать гордым членом профсоюза, потому что он рассылает розыгрыш с темой, написанной на турецком языке: "50%-ое повышение зарплаты от правительства для военных и гражданских служащих". -Лучший журналист. Червь Rinbot.B мог бы участвовать в конкурсе на получение премии Пулицера. Его код содержит мнимое интервью CNN со своим создателем, который объясняет, зачем он написал данного червя. -Самый нерешительный. Он распространяется по электронной почте, в случайном порядке генерируя имя отправителя. Текст и тема сообщения варьируются. Он содержит вложение... также под различными названиями. Имя этого червя Piggy.B. -Вот так сплетник. XPCSpy записывает все нажатия на клавиши, делает скриншоты, ведёт учёт посещаемых веб-страниц, открывает окна, запускает программы и даже читает электронную почту, чаты и сообщения мессенджера... Продолжение следует
Константин Опубликовано 19 ноября, 2007 Опубликовано 19 ноября, 2007 Продолжение -Самый коварный.VideoCach обманывает пользователей, предупреждая их о несуществующих угрозах и показывая сообщение о наличии на компьютере вредоносого ПО. Цель его действий - заставить жертву купить определённую программу. Если не следовать его советам, то сообщения о заражении будут часто всплывать на мониторе. -Шут из коробочки. Ketava.A получает звание главного шутника года. Помимо поведения, свойственного трояну, то есть создания файлов и редактирования реестра, он демонстрирует окно с шуткой на индонезийском языке. -Итак, лучшим актёром... В категории юниоров представлен Harrenix.A за свою симуляцию трейлера к фильму "Гарри Поттер и Орден Феникса". Во взрослой категории - Pirabbean.А номинированного за эффективную симуляцию трейлера к Пиратам Карибского моря: "На краю света". -Звуки музыки. Неоспоримим победителем в этой категории становится червь Gronev.А, потому что он открывает Windows Media Player и проигрывает отрывок под названием Lagu. -Самый болтливый. Данный титул уходит трояну BotVoice.А, который проигрывает следующую запись: "Вы были заражены, повторяю, вы были заражены, а ваши системные файлы - удалены. Извините. Хорошего дня и до свидания". Факт издёвки конечно есть, но не всегда смешно.
starik Опубликовано 19 ноября, 2007 Опубликовано 19 ноября, 2007 (изменено) Всю вторую половину дня занимался очисткой сервера одной урюдической конторы, признаюсь что настолько беспомощен я не был, не разу ... система была обложена вредоносами... одних пинчей пять штук, парочка кейлогеров, и даже спам боты, и всё это было чательно скрыто руткитом - автор рута отлично знаком с внутренем устройством винды, сокрытие трафа,ключей реестра,процессов,файлов,скрытие сетевых портов - размер рута 20 килобайт. Резгребусь со всем и выложу парочку интересных описаний Изменено 19 ноября, 2007 пользователем starik
vidocq89 Опубликовано 19 ноября, 2007 Автор Опубликовано 19 ноября, 2007 главное что-бы они были прикольными))
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти