|
Утилита для удаления вируса Win32.Brontok.A
Вложений: 4
Доброго времени суток всем!
Несколько недель назад подцепил такой вот "подарочек" - индонезийский вирус Brontok. "Болячка" не особо злая - систему не крашит, файлы, вроде как, не удаляет; но ооочень плодовитая: сканит все папки на флешках и в "Моих документах", и сует туда свои копии - их имя повторяет название материнской папки, а значок экзешника подделывается под стандартный значок виндовской папки. Плюс, вирь блокирует запуск RegEdit'а, прячет стандартное меню "Свойства папки" и ребутит комп, если в заголовке какого либо окна увидит слова "regedit", "antivirus" и т.п. Ну и, конечно же, лезет в автозагрузку... Короче, решил я поступить "по спортивному", и "из любви к прекрасному" накатал на Delphi утилитку для удаления бяки. Прожка удаляет файлы вируса из тех мест, куда он их стандартно пихает; исправляет ключи реестра, блокирующие запуск редактора реестра и открытие "Свойств папки"; удаляет ключи автозапуска виря. И еще у нее есть сканер, ищущий копии Бронтока по заданным пользователям путям - чтобы не удалять вручную сотни копий "незваного гостя". Более подробно о функционале утилиты и принципах ее работы - в прилагаемом руководстве пользователя. Буду очень рад, если кому-то пригодится!!! Единственное: я ограничил запуск проги под 64-разрядные системы, т.к. не было возможности ее в таких испытать (у меня везде 32 разряда)... |
Алексей, твоя утилита самописная это хорошо, конечно, но 25 из 71 детекта на VT напрягают https://www.virustotal.com/gui/file/...b966/detection
|
Цитата:
Ни в коем случае не защищаю данную утилиту, просто мысли в слух. |
Утилита этого класса никак не может детектироваться как малварь или адварь, потому и напрягают результаты сканирования.
Архив с утилитой удалил из вложений как потенциально небезопасное ПО, если кому-то будет интересно ей воспользоваться - обратитесь к топикстартеру в личку. |
Уже возникал такой прецидент на другом форуме, и уже приходилось оправдываться... Уж не знаю, за что Вирустотал так невзлюбил мою утилитку... Тогда в свое оправдание я написал модератору форума следующее письмо - приведу аргументы из него и здесь:
1. Как в интерфейсе программы, так и в прилагаемой к ней инструкции указаны не только мое имя и город проживания, но и е-мейл, номер яндекс-кошелька и даже ссылка на страничку на "Стихире" (где, помимо моих стихов есть и мое фото!). Много ли Вы видели вирусов, авторы которых предоставляют ТАК много сведений о себе??? Не один вир-мейкер в здравом уме не стал бы так щедро распыляться подобной информацией!!! 2. К программе прилагается подробная инструкция - аж на 5 листах формата A4 (которую, кстати, я писал чуть ли не дольше, чем саму программу!); много ли Вы видели вирусов с такими подробными инструкциями? Скорее бывает наоборот: авторы вполне легального и полезного софта зачастую не утруждают себя написанием хоть каких-то мануалов!.. 3. Вирус Win32.Brontok.A - малопопулярный и устаревший зловред, практически забытый в наше время (и только мне "посчастливилось" им "заразиться" - я, прямо-таки, "последний из Могикан"!). Много ли найдется людей, которым нужна будет программа для его удаления, и которые скачают ее? Подумайте: если бы я хотел написать вирус, стал бы я маскировать его под софт, который практически никому не нужен? Уж наверное, будь я вир-мейкером, то замаскировал бы своего зловреда под что-то актуальное, популярное в поисковиках и с большой вероятностью скачивания: под кейген к последней версии какой-нибудь модной софтины, под "форекс-бота с уникальным алгоритмом, который зарабатывает по миллиону в час", под трейнер к модной сетевой игре и т.п. Но нет! Я написал удалялку вируса Бронток, о который большинство людей даже и не слышали! Как Вы думаете - многие ее скачают? И стал бы вир-мейкер в здравом уме делать своему зловреду такую непопулярную маскировку? 4. Да, определенное кол-во антивирусных программ нашло мою утилиту подозрительной, что вполне нормально и объяснимо: антивирусные программы, как правило, используют не только сверку по своим базам данных, содержащим данные об известных вирусах, но и т.н. "эвристический анализ". При эвристическом анализе в программе ищутся, в т.ч., и вызовы функций, характерные для типичных вирусов - а в моей программе такие имеются: во-первых, большинство вирусов имеют код, прибивающий процессы в памяти - для того, чтобы закрыть висящие в памяти антивирусы, флеш-сканеры и т.п. В моей программе такой код тоже имеется, причем запускается в самом начале; однако завершает он отнюдь не процессы антивирусов а, как раз-таки, процессы Бронтока! Во-вторых, вирусы почти обязательно ломятся в реестр Windows - как минимум для того, чтобы прописать себя в автозагрузке; а так же для того, чтобы заблокировать те или иные функции системы - например, отображение расширений файлов и т.п. Моя программа тоже тоже изменяет некоторые ключи реестра, причем в первую очередь - именно ключи автозагрузки: а как иначе запретить Бронтоку загружаться при старте системы? Таким образом, в реестре моя программа исправляет то, что изменил Бронток, а вовсе не то, что "подумали" антивирусы! В-третьих, многие вирусы (и Бронток, кстати - не исключение) имеют в своем составе сканер файлов: они переберают файлы в системе для произведения с ними злонамеренных действий - заражение, удаление, перемещение и т.п. Моя программа, при желании пользователя, тоже сканирует файловую систему - открывает каждый найденный файл и сверяет его с образцом кода Бронтока: это нужно для поиска и удаления копий вируса. Таким образом, некоторые функции моей утилиты действительно характерны для вирусного софта - с чем и связанно то, что часть эвристических алгоритмов, настроенных на поиск таких функций, восприняло мою программу как вирус!.. 5. Обратите внимание так же и на то, что на сайте многие антивирусные программы, оценившие мою утилиту как "вирус", "не сошлись во мнении" относительно того, что же это за вирус - практически все они "увидели" в моей утилите разных зловредов! А обычно, если файл заражен каким-то вирусом, то большая часть обнаруживших его программ упоминает одинаковое название вируса... Я законопослушный человек, и стараюсь не вступать в конфликты с правоохранительными органами; к тому же, мне уже 33 года - у меня нет никакого желания заниматься подобными делишками!!! Поэтому и пишу это письмо: не нужно приписывать мне то, чего я не совершал и совершать не собирался!.. |
Важно обращать не только на количество сработавших антивирусов, но и на их рейтинг. Среди отреагировавших на угрозу я не увидел ни одного солидного антивируса. DrWeb, ESET-NOD32, Malwarebytes промолчали, это о многом говорит. Ну и, как выше говорилось, сработавшие антивирусы не смогли однозначно идентифицировать угрозу - тоже показатель.
|
Brontok удаляют и KVRT, и Dr. Web CureIt!, и даже AVZ в режиме лечения.
У Бронтока несколько модификаций, не факт, что Ваша утилита удалит все. Энтузиазм поддерживаю, но к широкому применению не рекомендовал бы. |
Цитата:
|
Вложений: 1
Alex Prozac, а Вы относитесь к этому с юмором. Мне, к примеру, реакция модератора на вашу утилиту напомнила реакцию Никиты Сергеевича Хрущёва, посетившего 1 декабря 1962 года выставку авангардистов.))
Цитата:
Правда, тут до нецензурных выражений дело не дошло, но суть проблемы одна и та же - если не хватает компетенции, чтобы разобраться в каком-либо вопросе, облечённому властью проще просто запретить и нет проблем.))) |
Скажем так, когда я натравил на архив с утилитой мой антивирь, он его определил как ПНП, о чём я упомянул выше при удалении ссылки.
|
| Часовой пояс GMT +4, время: 14:59. |
Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.