Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > Антивирусы


Закрытая тема
 
Опции темы Опции просмотра
Старый 25.11.2020, 19:25   #1 (permalink)
Alex Prozac
Новичок
 
Регистрация: 25.11.2020
Сообщений: 6
Сказал(а) спасибо: 0
Поблагодарили 2 раз(а) в 1 сообщении
Репутация: 1064
По умолчанию Утилита для удаления вируса Win32.Brontok.A

Доброго времени суток всем!

Несколько недель назад подцепил такой вот "подарочек" - индонезийский вирус Brontok. "Болячка" не особо злая - систему не крашит, файлы, вроде как, не удаляет; но ооочень плодовитая: сканит все папки на флешках и в "Моих документах", и сует туда свои копии - их имя повторяет название материнской папки, а значок экзешника подделывается под стандартный значок виндовской папки. Плюс, вирь блокирует запуск RegEdit'а, прячет стандартное меню "Свойства папки" и ребутит комп, если в заголовке какого либо окна увидит слова "regedit", "antivirus" и т.п. Ну и, конечно же, лезет в автозагрузку...

Короче, решил я поступить "по спортивному", и "из любви к прекрасному" накатал на Delphi утилитку для удаления бяки. Прожка удаляет файлы вируса из тех мест, куда он их стандартно пихает; исправляет ключи реестра, блокирующие запуск редактора реестра и открытие "Свойств папки"; удаляет ключи автозапуска виря. И еще у нее есть сканер, ищущий копии Бронтока по заданным пользователям путям - чтобы не удалять вручную сотни копий "незваного гостя". Более подробно о функционале утилиты и принципах ее работы - в прилагаемом руководстве пользователя. Буду очень рад, если кому-то пригодится!!!

Единственное: я ограничил запуск проги под 64-разрядные системы, т.к. не было возможности ее в таких испытать (у меня везде 32 разряда)...
Миниатюры
01.jpg   02.jpg   03.jpg   04.jpg  
Alex Prozac вне форума  
2 пользователя(ей) сказали cпасибо:
Gopnik987 (03.01.2021), imported_DTS (29.11.2020)

Старый 25.11.2020, 19:25
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Наверняка в этих обсуждениях люди уже написали много дельного

После удаления вируса
После удаления вируса Win32/TrojanDownloader.Carberp.AF выскакивают окошки

Старый 03.12.2020, 13:02   #2 (permalink)
AlexZir
support
 
Аватар для AlexZir
 
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
По умолчанию

Алексей, твоя утилита самописная это хорошо, конечно, но 25 из 71 детекта на VT напрягают https://www.virustotal.com/gui/file/...b966/detection
__________________
Убить всех человеков!
AlexZir вне форума  
Старый 03.12.2020, 13:40   #3 (permalink)
Технарь
Member
 
Регистрация: 07.01.2008
Сообщений: 39,659
Записей в дневнике: 1
Сказал(а) спасибо: 783
Поблагодарили 834 раз(а) в 404 сообщениях
Репутация: 124544
По умолчанию

Цитата:
Сообщение от AlexZir Посмотреть сообщение
но 25 из 71 детекта на VT напрягают
На сколько знаю, это нормальное явление, когда один ав находит в другом ав угрозы.
Ни в коем случае не защищаю данную утилиту, просто мысли в слух.
Технарь на форуме  
Старый 03.12.2020, 19:35   #4 (permalink)
AlexZir
support
 
Аватар для AlexZir
 
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
По умолчанию

Утилита этого класса никак не может детектироваться как малварь или адварь, потому и напрягают результаты сканирования.

Архив с утилитой удалил из вложений как потенциально небезопасное ПО, если кому-то будет интересно ей воспользоваться - обратитесь к топикстартеру в личку.
__________________
Убить всех человеков!
AlexZir вне форума  
Старый 01.01.2021, 11:38   #5 (permalink)
Alex Prozac
Новичок
 
Регистрация: 25.11.2020
Сообщений: 6
Сказал(а) спасибо: 0
Поблагодарили 2 раз(а) в 1 сообщении
Репутация: 1064
По умолчанию

Уже возникал такой прецидент на другом форуме, и уже приходилось оправдываться... Уж не знаю, за что Вирустотал так невзлюбил мою утилитку... Тогда в свое оправдание я написал модератору форума следующее письмо - приведу аргументы из него и здесь:


1. Как в интерфейсе программы, так и в прилагаемой к ней инструкции указаны не только мое имя и город проживания, но и е-мейл, номер яндекс-кошелька и даже ссылка на страничку на "Стихире" (где, помимо моих стихов есть и мое фото!). Много ли Вы видели вирусов, авторы которых предоставляют ТАК много сведений о себе??? Не один вир-мейкер в здравом уме не стал бы так щедро распыляться подобной информацией!!!

2. К программе прилагается подробная инструкция - аж на 5 листах формата A4 (которую, кстати, я писал чуть ли не дольше, чем саму программу!); много ли Вы видели вирусов с такими подробными инструкциями? Скорее бывает наоборот: авторы вполне легального и полезного софта зачастую не утруждают себя написанием хоть каких-то мануалов!..

3. Вирус Win32.Brontok.A - малопопулярный и устаревший зловред, практически забытый в наше время (и только мне "посчастливилось" им "заразиться" - я, прямо-таки, "последний из Могикан"!). Много ли найдется людей, которым нужна будет программа для его удаления, и которые скачают ее? Подумайте: если бы я хотел написать вирус, стал бы я маскировать его под софт, который практически никому не нужен? Уж наверное, будь я вир-мейкером, то замаскировал бы своего зловреда под что-то актуальное, популярное в поисковиках и с большой вероятностью скачивания: под кейген к последней версии какой-нибудь модной софтины, под "форекс-бота с уникальным алгоритмом, который зарабатывает по миллиону в час", под трейнер к модной сетевой игре и т.п. Но нет! Я написал удалялку вируса Бронток, о который большинство людей даже и не слышали! Как Вы думаете - многие ее скачают? И стал бы вир-мейкер в здравом уме делать своему зловреду такую непопулярную маскировку?

4. Да, определенное кол-во антивирусных программ нашло мою утилиту подозрительной, что вполне нормально и объяснимо: антивирусные программы, как правило, используют не только сверку по своим базам данных, содержащим данные об известных вирусах, но и т.н. "эвристический анализ". При эвристическом анализе в программе ищутся, в т.ч., и вызовы функций, характерные для типичных вирусов - а в моей программе такие имеются: во-первых, большинство вирусов имеют код, прибивающий процессы в памяти - для того, чтобы закрыть висящие в памяти антивирусы, флеш-сканеры и т.п. В моей программе такой код тоже имеется, причем запускается в самом начале; однако завершает он отнюдь не процессы антивирусов а, как раз-таки, процессы Бронтока! Во-вторых, вирусы почти обязательно ломятся в реестр Windows - как минимум для того, чтобы прописать себя в автозагрузке; а так же для того, чтобы заблокировать те или иные функции системы - например, отображение расширений файлов и т.п. Моя программа тоже тоже изменяет некоторые ключи реестра, причем в первую очередь - именно ключи автозагрузки: а как иначе запретить Бронтоку загружаться при старте системы? Таким образом, в реестре моя программа исправляет то, что изменил Бронток, а вовсе не то, что "подумали" антивирусы! В-третьих, многие вирусы (и Бронток, кстати - не исключение) имеют в своем составе сканер файлов: они переберают файлы в системе для произведения с ними злонамеренных действий - заражение, удаление, перемещение и т.п. Моя программа, при желании пользователя, тоже сканирует файловую систему - открывает каждый найденный файл и сверяет его с образцом кода Бронтока: это нужно для поиска и удаления копий вируса. Таким образом, некоторые функции моей утилиты действительно характерны для вирусного софта - с чем и связанно то, что часть эвристических алгоритмов, настроенных на поиск таких функций, восприняло мою программу как вирус!..

5. Обратите внимание так же и на то, что на сайте многие антивирусные программы, оценившие мою утилиту как "вирус", "не сошлись во мнении" относительно того, что же это за вирус - практически все они "увидели" в моей утилите разных зловредов! А обычно, если файл заражен каким-то вирусом, то большая часть обнаруживших его программ упоминает одинаковое название вируса...


Я законопослушный человек, и стараюсь не вступать в конфликты с правоохранительными органами; к тому же, мне уже 33 года - у меня нет никакого желания заниматься подобными делишками!!! Поэтому и пишу это письмо: не нужно приписывать мне то, чего я не совершал и совершать не собирался!..
Alex Prozac вне форума  
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 01.01.2021, 12:56   #6 (permalink)
IronArgument
Специалист
 
Аватар для IronArgument
 
Регистрация: 08.04.2015
Сообщений: 13,664
Сказал(а) спасибо: 107
Поблагодарили 56 раз(а) в 25 сообщениях
Репутация: 76096
По умолчанию

Важно обращать не только на количество сработавших антивирусов, но и на их рейтинг. Среди отреагировавших на угрозу я не увидел ни одного солидного антивируса. DrWeb, ESET-NOD32, Malwarebytes промолчали, это о многом говорит. Ну и, как выше говорилось, сработавшие антивирусы не смогли однозначно идентифицировать угрозу - тоже показатель.
__________________
Errare humanum est, stultum est in errore perseverare.
IronArgument вне форума  
Старый 02.01.2021, 19:57   #7 (permalink)
Vvvyg
Member
 
Регистрация: 17.05.2011
Адрес: Тула
Сообщений: 9,825
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 9863
По умолчанию

Brontok удаляют и KVRT, и Dr. Web CureIt!, и даже AVZ в режиме лечения.
У Бронтока несколько модификаций, не факт, что Ваша утилита удалит все.
Энтузиазм поддерживаю, но к широкому применению не рекомендовал бы.
Vvvyg вне форума  
Старый 03.01.2021, 14:59   #8 (permalink)
Alex Prozac
Новичок
 
Регистрация: 25.11.2020
Сообщений: 6
Сказал(а) спасибо: 0
Поблагодарили 2 раз(а) в 1 сообщении
Репутация: 1064
По умолчанию

Цитата:
Сообщение от Vvvyg Посмотреть сообщение
Brontok удаляют и KVRT, и Dr. Web CureIt!, и даже AVZ в режиме лечения.
У Бронтока несколько модификаций, не факт, что Ваша утилита удалит все.
Энтузиазм поддерживаю, но к широкому применению не рекомендовал бы.
Да его уже все удалют, т.к. он древний, как мир... Я ж и не лезу в топы - да, именно из энтузиазма и "любви к искусству" прожку свою накодил!.. Просто обидно, когда тебе приписывают какие-то постыдные действия, которых ты восе и не совершал! Сайт-то не при чем - я понимаю админа, который дорожит репутацией форума и удаляет все подозрительное (я бы тоже так делал на его месте); но вот очень неприятен этот ярлык вирмейкера - "хотели - как лучше, а получилось - как всегда" (C) Виктор Степаныч... Дай бог еще, чтобы проблем никаких не прилетело!.. А ведь и в мыслях не было делать зловреда: если бы хотел - сделал бы, но мне 33 года уже, я дядька взрослый - вырос я из таких вот шалостей!..
Alex Prozac вне форума  
Старый 03.01.2021, 15:24   #9 (permalink)
IronArgument
Специалист
 
Аватар для IronArgument
 
Регистрация: 08.04.2015
Сообщений: 13,664
Сказал(а) спасибо: 107
Поблагодарили 56 раз(а) в 25 сообщениях
Репутация: 76096
По умолчанию

Alex Prozac, а Вы относитесь к этому с юмором. Мне, к примеру, реакция модератора на вашу утилиту напомнила реакцию Никиты Сергеевича Хрущёва, посетившего 1 декабря 1962 года выставку авангардистов.))
Цитата:
Руководитель СССР, будучи неподготовленным к восприятию абстрактного искусства, подверг резкой критике их творчество, использовав нецензурные выражения.
Нажмите на изображение для увеличения
Название: Хрущев_разносит_Белютина.jpg
Просмотров: 82
Размер:	14.9 Кб
ID:	463758
Правда, тут до нецензурных выражений дело не дошло, но суть проблемы одна и та же - если не хватает компетенции, чтобы разобраться в каком-либо вопросе, облечённому властью проще просто запретить и нет проблем.)))
__________________
Errare humanum est, stultum est in errore perseverare.
IronArgument вне форума  
Старый 05.01.2021, 19:00   #10 (permalink)
AlexZir
support
 
Аватар для AlexZir
 
Регистрация: 19.08.2007
Адрес: Зея
Сообщений: 15,794
Записей в дневнике: 71
Сказал(а) спасибо: 166
Поблагодарили 203 раз(а) в 86 сообщениях
Репутация: 75760
По умолчанию

Скажем так, когда я натравил на архив с утилитой мой антивирь, он его определил как ПНП, о чём я упомянул выше при удалении ссылки.
__________________
Убить всех человеков!
AlexZir вне форума  
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Закрытая тема

Метки
brontok, brontok hunter, антивирус, бронток, удалить brontok

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 17:17.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.