|
Главная | Правила | Регистрация | Дневники | Справка | Пользователи | Календарь | Поиск | Сообщения за день | Все разделы прочитаны |
|
Опции темы | Опции просмотра |
25.11.2020, 19:25 | #1 (permalink) |
Новичок
Регистрация: 25.11.2020
Сообщений: 6
Сказал(а) спасибо: 0
Поблагодарили 2 раз(а) в 1 сообщении
Репутация: 1064
|
Утилита для удаления вируса Win32.Brontok.A
Несколько недель назад подцепил такой вот "подарочек" - индонезийский вирус Brontok. "Болячка" не особо злая - систему не крашит, файлы, вроде как, не удаляет; но ооочень плодовитая: сканит все папки на флешках и в "Моих документах", и сует туда свои копии - их имя повторяет название материнской папки, а значок экзешника подделывается под стандартный значок виндовской папки. Плюс, вирь блокирует запуск RegEdit'а, прячет стандартное меню "Свойства папки" и ребутит комп, если в заголовке какого либо окна увидит слова "regedit", "antivirus" и т.п. Ну и, конечно же, лезет в автозагрузку... Короче, решил я поступить "по спортивному", и "из любви к прекрасному" накатал на Delphi утилитку для удаления бяки. Прожка удаляет файлы вируса из тех мест, куда он их стандартно пихает; исправляет ключи реестра, блокирующие запуск редактора реестра и открытие "Свойств папки"; удаляет ключи автозапуска виря. И еще у нее есть сканер, ищущий копии Бронтока по заданным пользователям путям - чтобы не удалять вручную сотни копий "незваного гостя". Более подробно о функционале утилиты и принципах ее работы - в прилагаемом руководстве пользователя. Буду очень рад, если кому-то пригодится!!! Единственное: я ограничил запуск проги под 64-разрядные системы, т.к. не было возможности ее в таких испытать (у меня везде 32 разряда)... |
2 пользователя(ей) сказали cпасибо: | Gopnik987 (03.01.2021), imported_DTS (29.11.2020) |
25.11.2020, 19:25 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Наверняка в этих обсуждениях люди уже написали много дельного После удаления вируса После удаления вируса Win32/TrojanDownloader.Carberp.AF выскакивают окошки |
03.12.2020, 13:02 | #2 (permalink) |
support
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
|
Алексей, твоя утилита самописная это хорошо, конечно, но 25 из 71 детекта на VT напрягают https://www.virustotal.com/gui/file/...b966/detection
__________________
Убить всех человеков! |
03.12.2020, 19:35 | #4 (permalink) |
support
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
|
Утилита этого класса никак не может детектироваться как малварь или адварь, потому и напрягают результаты сканирования.
Архив с утилитой удалил из вложений как потенциально небезопасное ПО, если кому-то будет интересно ей воспользоваться - обратитесь к топикстартеру в личку.
__________________
Убить всех человеков! |
01.01.2021, 11:38 | #5 (permalink) |
Новичок
Регистрация: 25.11.2020
Сообщений: 6
Сказал(а) спасибо: 0
Поблагодарили 2 раз(а) в 1 сообщении
Репутация: 1064
|
Уже возникал такой прецидент на другом форуме, и уже приходилось оправдываться... Уж не знаю, за что Вирустотал так невзлюбил мою утилитку... Тогда в свое оправдание я написал модератору форума следующее письмо - приведу аргументы из него и здесь:
1. Как в интерфейсе программы, так и в прилагаемой к ней инструкции указаны не только мое имя и город проживания, но и е-мейл, номер яндекс-кошелька и даже ссылка на страничку на "Стихире" (где, помимо моих стихов есть и мое фото!). Много ли Вы видели вирусов, авторы которых предоставляют ТАК много сведений о себе??? Не один вир-мейкер в здравом уме не стал бы так щедро распыляться подобной информацией!!! 2. К программе прилагается подробная инструкция - аж на 5 листах формата A4 (которую, кстати, я писал чуть ли не дольше, чем саму программу!); много ли Вы видели вирусов с такими подробными инструкциями? Скорее бывает наоборот: авторы вполне легального и полезного софта зачастую не утруждают себя написанием хоть каких-то мануалов!.. 3. Вирус Win32.Brontok.A - малопопулярный и устаревший зловред, практически забытый в наше время (и только мне "посчастливилось" им "заразиться" - я, прямо-таки, "последний из Могикан"!). Много ли найдется людей, которым нужна будет программа для его удаления, и которые скачают ее? Подумайте: если бы я хотел написать вирус, стал бы я маскировать его под софт, который практически никому не нужен? Уж наверное, будь я вир-мейкером, то замаскировал бы своего зловреда под что-то актуальное, популярное в поисковиках и с большой вероятностью скачивания: под кейген к последней версии какой-нибудь модной софтины, под "форекс-бота с уникальным алгоритмом, который зарабатывает по миллиону в час", под трейнер к модной сетевой игре и т.п. Но нет! Я написал удалялку вируса Бронток, о который большинство людей даже и не слышали! Как Вы думаете - многие ее скачают? И стал бы вир-мейкер в здравом уме делать своему зловреду такую непопулярную маскировку? 4. Да, определенное кол-во антивирусных программ нашло мою утилиту подозрительной, что вполне нормально и объяснимо: антивирусные программы, как правило, используют не только сверку по своим базам данных, содержащим данные об известных вирусах, но и т.н. "эвристический анализ". При эвристическом анализе в программе ищутся, в т.ч., и вызовы функций, характерные для типичных вирусов - а в моей программе такие имеются: во-первых, большинство вирусов имеют код, прибивающий процессы в памяти - для того, чтобы закрыть висящие в памяти антивирусы, флеш-сканеры и т.п. В моей программе такой код тоже имеется, причем запускается в самом начале; однако завершает он отнюдь не процессы антивирусов а, как раз-таки, процессы Бронтока! Во-вторых, вирусы почти обязательно ломятся в реестр Windows - как минимум для того, чтобы прописать себя в автозагрузке; а так же для того, чтобы заблокировать те или иные функции системы - например, отображение расширений файлов и т.п. Моя программа тоже тоже изменяет некоторые ключи реестра, причем в первую очередь - именно ключи автозагрузки: а как иначе запретить Бронтоку загружаться при старте системы? Таким образом, в реестре моя программа исправляет то, что изменил Бронток, а вовсе не то, что "подумали" антивирусы! В-третьих, многие вирусы (и Бронток, кстати - не исключение) имеют в своем составе сканер файлов: они переберают файлы в системе для произведения с ними злонамеренных действий - заражение, удаление, перемещение и т.п. Моя программа, при желании пользователя, тоже сканирует файловую систему - открывает каждый найденный файл и сверяет его с образцом кода Бронтока: это нужно для поиска и удаления копий вируса. Таким образом, некоторые функции моей утилиты действительно характерны для вирусного софта - с чем и связанно то, что часть эвристических алгоритмов, настроенных на поиск таких функций, восприняло мою программу как вирус!.. 5. Обратите внимание так же и на то, что на сайте многие антивирусные программы, оценившие мою утилиту как "вирус", "не сошлись во мнении" относительно того, что же это за вирус - практически все они "увидели" в моей утилите разных зловредов! А обычно, если файл заражен каким-то вирусом, то большая часть обнаруживших его программ упоминает одинаковое название вируса... Я законопослушный человек, и стараюсь не вступать в конфликты с правоохранительными органами; к тому же, мне уже 33 года - у меня нет никакого желания заниматься подобными делишками!!! Поэтому и пишу это письмо: не нужно приписывать мне то, чего я не совершал и совершать не собирался!.. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
01.01.2021, 12:56 | #6 (permalink) |
Специалист
Регистрация: 08.04.2015
Сообщений: 13,664
Сказал(а) спасибо: 107
Поблагодарили 56 раз(а) в 25 сообщениях
Репутация: 76096
|
Важно обращать не только на количество сработавших антивирусов, но и на их рейтинг. Среди отреагировавших на угрозу я не увидел ни одного солидного антивируса. DrWeb, ESET-NOD32, Malwarebytes промолчали, это о многом говорит. Ну и, как выше говорилось, сработавшие антивирусы не смогли однозначно идентифицировать угрозу - тоже показатель.
__________________
Errare humanum est, stultum est in errore perseverare. |
02.01.2021, 19:57 | #7 (permalink) |
Member
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
|
Brontok удаляют и KVRT, и Dr. Web CureIt!, и даже AVZ в режиме лечения.
У Бронтока несколько модификаций, не факт, что Ваша утилита удалит все. Энтузиазм поддерживаю, но к широкому применению не рекомендовал бы. |
03.01.2021, 14:59 | #8 (permalink) |
Новичок
Регистрация: 25.11.2020
Сообщений: 6
Сказал(а) спасибо: 0
Поблагодарили 2 раз(а) в 1 сообщении
Репутация: 1064
|
Да его уже все удалют, т.к. он древний, как мир... Я ж и не лезу в топы - да, именно из энтузиазма и "любви к искусству" прожку свою накодил!.. Просто обидно, когда тебе приписывают какие-то постыдные действия, которых ты восе и не совершал! Сайт-то не при чем - я понимаю админа, который дорожит репутацией форума и удаляет все подозрительное (я бы тоже так делал на его месте); но вот очень неприятен этот ярлык вирмейкера - "хотели - как лучше, а получилось - как всегда" (C) Виктор Степаныч... Дай бог еще, чтобы проблем никаких не прилетело!.. А ведь и в мыслях не было делать зловреда: если бы хотел - сделал бы, но мне 33 года уже, я дядька взрослый - вырос я из таких вот шалостей!..
|
03.01.2021, 15:24 | #9 (permalink) | |
Специалист
Регистрация: 08.04.2015
Сообщений: 13,664
Сказал(а) спасибо: 107
Поблагодарили 56 раз(а) в 25 сообщениях
Репутация: 76096
|
Alex Prozac, а Вы относитесь к этому с юмором. Мне, к примеру, реакция модератора на вашу утилиту напомнила реакцию Никиты Сергеевича Хрущёва, посетившего 1 декабря 1962 года выставку авангардистов.))
Цитата:
Правда, тут до нецензурных выражений дело не дошло, но суть проблемы одна и та же - если не хватает компетенции, чтобы разобраться в каком-либо вопросе, облечённому властью проще просто запретить и нет проблем.)))
__________________
Errare humanum est, stultum est in errore perseverare. |
|
05.01.2021, 19:00 | #10 (permalink) |
support
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
|
Скажем так, когда я натравил на архив с утилитой мой антивирь, он его определил как ПНП, о чём я упомянул выше при удалении ссылки.
__________________
Убить всех человеков! |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
Метки |
brontok, brontok hunter, антивирус, бронток, удалить brontok |
Опции темы | |
Опции просмотра | |
|
|